К хакерам и сомнительным сайтам, которые используют ресурсы чужих компьютеров для майнинга криптовалют, примкнули интернет-провайдеры. Согласно новому исследованию, некоторые правительства или связанные с ними ведомства перехватывают интернет-трафик, чтобы тайно устанавливать на ПК пользователей ПО для майнинга криптовалют.
Среди подозреваемых – провайдеры из Турции и Сирии, которые тайно устанавливали ПО для слежки, а также египетские провайдеры, которые использовали ту же технологию для установки в браузеры пользователей майнингового ПО.
Согласно отчету Citizen Lab, эти страны используют технологию глубокой проверки пакетов от Sandvine, чтобы перехватывать веб-трафик, а также манипулировать компьютерами конечных пользователей. Эта технология позволяет провайдерам ухудшать качество, блокировать, записывать, внедрять и определять приоритетность для разных видов веб-трафика, используя метод проверки отдельных пакетов.
К примеру, турецкий провайдер Telecom использует устройства Sandvine PacketLogic, чтобы перенаправлять тысячи пользователей на вредоносные сайты и распространять шпионские программы. То же самое было замечено в Сирии, где некоторым пользователям поставлялись фальшивые версии антивирусных программ, содержащие вредоносное правительственное ПО.
Египетские телекоммуникационные операторы пошли на шаг дальше и начали использовать эту технологию, чтобы тайно устанавливать скрипты для майнинга криптовалют на каждую HTTP-страницу, к которой получает доступ пользователь. Исследователи из Citizen Lab обнаружили, что провайдеры используют схему под названием AdHose для тайного зарабатывания денег путем майнинга криптовалюты Monero.
«Мы нашли похожие промежуточные устройства в точке демаркации Telecom Egypt. Они использовались для перенаправления пользователей десятка провайдеров для подключения рекламы и браузерных майнинг-скриптов», – говорится в отчете.
Похожий рефрен звучит в отчете специалистов по кибербезопасности из Microsoft, которым на этой неделе удалось остановить масштабную вспышку распространения троянского ПО для тайного майнинга. По словам исследователей Windows Defender, она затронула более полумиллиона компьютеров в России, Турции и Украине.
Хакерская программа Dofoil взламывала компьютер жертвы, чтобы майнить на них криптовалюту Electroneum.
Позднее Microsoft выпустила об этом официальное заявление: «Dofoil – это новое семейство вредоносного ПО, которое при помощи хакерской атаки устанавливает ПО для майнинга. Поскольку стоимость биткоина и других криптовалют продолжает расти, операторы этого хакерского ПО видят возможность в том, чтобы добавить в свои атаки компоненты для майнинга токенов. К примеру, эксплойт-наборы теперь оснащаются не программами-вымогателями, а крипто-майнерами. Кроме того, мошенники добавляют скрипты для майнинга на поддельные сайты технической поддержки».
Ранее к похожему заключению пришли сотрудники «Лаборатории Касперского», обратившие внимание на распространение ПО для скрытого майнинга криптовалют в последнее время.
