Vlády přesměrovávají uživatele na software doplněný o malware

13. 3. 2018
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Vlády některých zemí začaly ovlivňovat připojení k internetu tak, že při stahování populárních aplikací přesměrují uživatele na vlastní verzi instalačního balíčku, který je ovšem doplněný o malware.

Avast, CCleaner, VLC, Opera, 7-Zip a další populární aplikace. Pokud se je pokusíte stáhnout v Turecku, dostanete k nim zvláštní dárek – malware. Citizen Lab z Torontské univerzity totiž objevil, že některé vlády ovlivňují cíleně připojení k internetu přes své poskytovatele a přesměrovávají uživatele na vlastní servery s upravenými instalačními soubory.

Využívají přitom zařízení od společnosti Sandvine network, které je schopné sledovat nešifrovaný provoz a podle nastavených pravidel do něj zasáhnout. Pokud se tak pokusíte stáhnout některou z vyjmenovaných aplikací, dostanete ji z jiného zdroje. Podle Citizen Lab byl do instalačních souborů nejprve přidáván malware FinFisher, později byl změněn na StrongPity. Nejde přitom o běžný malware, ale o velmi drahé řešení prodávané vládám a určené ke sledování uživatelů.

Přesměrovat nebo blokovat

Přesměrování navíc neprobíhá jen při návštěvě oficiálních stránek daných aplikací, ale také například při použití serveru Download.com, který patří společnosti CNET. Zajímavé je, že přesměrování neprobíhá plošně, ale jen u vybraných IP adres. Odborníci objevili 259 IP adres, u kterých je cíleně provoz odkloněn. Některé z nich patří uživatelům v Sýrii, kteří se přes hranici připojují pomocí Wi-Fi.

Podle autorů zprávy jsou stejná zařízení od společnosti Sandvine použita také k blokování některých webů jako Wikipedie, kurdské politické strany PKK nebo nizozemské nadace NOS. Cenzura politicky orientovaných webů a nasazení komerčního malware podle Citizen Lab jasně ukazuje na přímé zapojení turecké vlády. Není ovšem jasné, zda jde o akci namířenou proti disidentům nebo proti kurdským vojákům v rámci hybridní války.

Zařízení společnosti Sandvine schopné sledovat a upravovat provoz

Problému si už všimla společnost ESET, která na něj upozornila v září a poté znovu v prosinci. ESET varoval před některými sítěmi, které přesměrovávají uživatele a doručují mu malware FinFisher a později StrongPity. Neobjevil ale souvislost mezi sítěmi a konkrétními státy. Citizen Lab začal problém zkoumat právě na základě zveřejnění těchto zářijových zjištění.

Kromě Turecka i Egypt

Turecko se svým poskytovatelem Türk Telekom však není jedinou zemí, kde byla tato praktika objevena. Stejné zařízení pro zkoumání provozu bylo objeveno také v Egyptě u společnosti Telekom Egypt. Blokují přístup k mnoha webům organizací jako Reportéři bez hranic, Human Rights Watch, Al Jazeera, Mada Masr a HuffPost Arabic.

Egyptský poskytovatel sice nepřesměrovává uživatele na instalační soubory s malware, ale podstrkává uživatelům vlastní reklamy, které obsahují skripty pro těžbu kryptoměn. Egyptské schéma, které je nazváno AdHose, má dva režimy: v jednom plošně přesměrovává uživatele na reklamu, ve druhém pak za provozu upravuje některé javascriptové knihovny, které pak místo své běžné funkce těží kryptoměny.

Šifrování problémům zabrání

Odborníci ze Citizen Lab zdůrazňují, že oficiální weby pro stahování aplikací používají nešifrované připojení, což umožňuje velmi snadno komunikaci upravovat. Pikantní přitom je, že například web společnosti Avast používá na svém webu EV certifikát, ale při stahování pošle uživatele na server, který šifrování nepoužívá. Pokud by weby používaly důsledně šifrování s důvěryhodným certifikátem, nebylo by možné nepozorovaně uživatele přesměrovat jinam.

bitcoin_skoleni

Objevitelé problémů konfrontovali přímo společnost Sandvine, která ale jejich zjištění označila za falešná, chybná a špatná, požádala o zastavení šíření chybné zprávy a zároveň vyzvala k vrácení zařízení PacketLogic, které Citizen Lab používá při svých testech. Firma také 7. března poslala na univerzitu dopis [PDF], ve kterém vyjadřuje nespokojenost s celou analýzou. Odpověď [PDF] byla odeslána následující den, přičemž univerzita žádá o konkrétní výtky, které firma odmítla dříve zveřejnit.

(Zdroje: Bleeping Computer, Security Affairs, Citizen Lab)

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.