Как утверждают исследователи из Citizen Lab в Университете Торонто, в Египте власти страны или те, кто связан с высшими государственными чиновниками, использовали интернет-подключения для «для скрытого сбора денег за счет аффилированных объявлений и майнинга криптовалют в Египте».

Что известно

Для этого использовалась схема под названием AdHose. Судя по описанию, правительство перенаправляло часть трафика на онлайн-майнер Coinhive, который способен майнить криптовалюту Monero. Также производились редиректы на сайты с рекламой.

Вся система работала на базе телеком-оператора Telecom Egypt, используя устройства Deep Packet Inspection (DPI), которые являются, кроме прочего, инструментом цензуры для блокировки сайтов. Сканирование сети в январе выявило 5700 устройств, 95% из них оказались «заражены» AdHose, однако общие масштабы остаются неизвестными. Кроме этого, работал также «точечный режим», когда переадресация шла только с определённых сайтов. В их числе был ранее ресурс CopticPope.org и сайт для взрослых Babylon-X.com. Как утверждают специалисты, схема работает и сегодня. При этом, активность была зафиксирована также в сети Turk Telekom (Турция) и в сирийских сетях.

Нами было обнаружено, что в сети Türk Telekom применялись промежуточные устройства с целью перенаправления большого количества пользователей, намеревающихся загрузить какие-то разрешенные программы, на версии тех программ, которые идут в комплекте со шпионским ПО. Подобные «устройства-посредники» были найдены в точке демаркации компании Telecom Egypt. «Посредники» использовались, чтобы перенаправить пользователей через интернет-провайдеры на партнерскую рекламу, а также скрипты криптомайнинг-браузера

Citizen Lab

Кто виноват

Судя по информации Citizen Lab, оборудование DPI оператору поставляла канадская фирма Sandvine/Procera Networks. Она принадлежит частной акционерной компании Francisco Partners. Фирма ранее выпускала обеспечение для фильтрации сайтов Packetlogic, которое, по словам исследователей, «возможно, было использовано компаниями, связанными с правительством Турции и Египта, для распространения шпионских программ».

Вышеупомянутое оборудование использовалось «для перенаправления сотен пользователей в Турции и Сирии на скачивание государственных шпионских программ, когда они пытались загрузить определенные приложения для Windows».

Какова реакция

В Sandvine заявили, что это ложное обвинение, которое вводит в заблуждение.

В связи с данными отчета, отметим, что некоторые из утверждений лаборатории Citizen Lab являются технически неточными, и намеренно сбивают с толку. Мы никогда, ни прямо, ни опосредованно, не «вступали в отношения» с какими-либо из известных поставщиков вредоносного ПО. А наши продукты не внедряют и не могут внедрять вредоносные программы. И хотя наша продукция действительно включает функцию перенаправления, отметим следующее. Перенаправление HTTP – это достаточно привычный момент, который характерен для многих типов техно-продукции

Ответ Sandvine

Однако Citizen Lab ссылаются на два независимых исследования. Пока до суда дело не дошло, однако прецедент уже есть. Тем более, по данным специалистов, «зацепило» также ПК в России, Украине и других странах, хотя и намного меньше.

В целом же масштаб заражения составляет порядка 400 тысяч ПК. По данным Microsoft, большинство атакованных компьютеров — 73%, находились в России, 18% — Турции, 4% — в Украине. А само ПО пыталось противостоять антивирусной защите 6 марта более 12 часов.

Что делать

По информации Microsoft компьютеры с ОС Windows 10, 8.1 и Windows 7 с установленным Защитником Windows или Microsoft Security Essentials были защищены автоматически. Также скорее всего помогут и другие антивирусы, поскольку активный компонент вируса — зловред под названием Dofoil, известен уже не первый год.

При этом важно отметить, что вирус работал весьма хитро, подменяя реальные сайты. В результате при скачивании с официальных сайтов легальных утилит вроде Avast Antivirus, CCleaner, Opera и 7-Zip в том числе с портала Download.com. Причиной стало использование протокола HTTP вместо безопасного HTTPS.