Citizen Lab, междисциплинарная лаборатория в Университете Торонто, опубликовала в пятницу отчет, в котором говорится, что правительство Египта тайно майнит криптовалюты на компьютерах своих граждан. В докладе объясняется, что устройства Deep Packet Inspection (DPI) компании Sandvine/Procera Networks использовались «для скрытого сбора денег за счет аффилированных объявлений и майнинга криптовалют в Египте».
Sandvine Corporation была приобретена в сентябре прошлого года частной акционерной фирмой Francisco Partners, которая купила Procera Networks в 2015 году. Затем Sandvine и Procera Networks объединились и выпускали программное обеспечение для фильтрации сайтов Packetlogic, которое, как сообщается в отчете, «возможно, было использовано компаниями, связанными с правительством Турции и Египта, для распространения шпионских программ».
Кроме того, Citizen Lab также обнаружила, что программное обеспечение устанавливает по крайней мере один криптовалютный скрипт - Coinhive, который используется для майнинга анонимной криптовалюты Monero (XMR). Благодаря сканированию IP-адресов в некоторых странах, исследователи обнаружили устройства DPI, называемые промежуточными устройствами, которые перехватывают трафик сети Turk Telekom между пользователями и различными незашифрованными веб-сайтами.
Эти устройства были «использованы для перенаправления сотен пользователей в Турции и Сирии на скачивание государственных шпионских программ, когда они пытались загрузить определенные приложения для Windows», - уточнили исследователи. В Египте команда обнаружила не только шпионское ПО:
«Мы нашли аналогичные промежуточные устройства в точке разграничения Telecom Egypt. Устройства использовались для перенаправления пользователей десятков интернет-провайдеров на аффилированные объявления и скрипты для криптовалютного майнинга».
Исследователи назвали египетскую схему Adhose. По их утверждениям она работает по крайней мере с октября 2016 года. Citizen Lab отправила письма Sandvine и Francisco Partners, в которых они обобщили свои выводы в феврале этого года. В своем ответе Sandvine утверждает, что отчет «ложный, вводящий в заблуждение и неверный». Однако в лаборатории утверждают: «Мы подчеркнули, что были уверены в наших результатах исследований, подтвержденных двумя независимыми экспертными оценками».
Атака на пользователей России, Турции и Украины
Более 400 000 персональных компьютеров были атакованы в рамках попытки распространения вредоносного ПО для майнинга криптовалют. Хакеры использовали сложные трояны для заражения ПК в основном в России, но также в Турции, Украине и других странах. Комплексное вредоносное ПО пыталось противостоять антивирусной защите более 12 часов 6 марта. По данным Microsoft, большинство атакованных компьютеров - 73%, находились в России, 18% - Турции, 4% - в Украине. Другие страны также пострадали.
«Защитник Windows заблокировал более 80 000 попыток нескольких сложных троянов, в которых были представлены передовые методы внедрения перекрестных процессов, механизмы устойчивости и методы обхода», - заявила исследовательская группа, разрабатывающая программное обеспечение Microsoft.
Более 400 000 пользователей подверглись нападению, сообщает Bleeping Computer. Исследователи утверждают, что идентифицировали атаку троянами на ранней стадии. Угроза была обнаружена с помощью антивирусной программы, которая начала блокировать дальнейшие попытки в течение нескольких минут.
Согласно команде разработчиков Защитника Windows, вредоносная программа Dofoil пыталась проникнуть в процесс explorer.exe и внедрить вредоносный код. Затем другой explorer.exe должен был загрузить и запустить майнер криптовалют, замаскированный под файл Windows wuauclt.exe. Антивирусное программное обеспечение смогло обнаружить эти попытки, поскольку процесс выполнялся из другого места на жестком диске.
Microsoft утверждает, что компьютеры с ОС Windows 10, 8.1 и Windows 7 с установленным Защитником Windows или Microsoft Security Essentials были защищены автоматически. Согласно Bleeping Computer, другие антивирусные программы, скорее всего, также обнаружили угрозу. Dofoil - активная модификация вредоносного ПО, известная уже несколько лет.
Скрытый майнинг – весьма прибыльное для мошенников дело, пользующееся популярностью у хакеров по всему миру уже не первый год. В октябре прошлого года компания Adguard проанализировала 100 000 самых популярных сайтов на предмет наличия скрытых скриптов для майнинга криптовалют и заявила, что жертвами скрытого майнинга стали уже полмиллиарда человек.