Báo cáo cho thấy Ai Cập lén lút khai thác Cryptocurrency trên nhiều máy tính công dân

Thông qua một quá trình bắt đầu bằng việc quét tất cả các địa chỉ IP ở một số quốc gia, chính phủ Ai Cập đã được nhắc tới trong một báo cáo mới cho thấy họ không chỉ theo dõi và kiểm duyệt internet công dân của họ mà còn sử dụng chúng để khai thác tiền điện tử.


Chính phủ lén lút đào tiền điện tử
Phòng thí nghiệm Citizen Lab, một phòng thí nghiệm liên ngành tại Đại học Toronto,đã phát đi thông báo vào thứ sáu cho thấy khẳng định mạnh mẽ rằng Ai Cập đã khai thác tiền điện tử trên các máy tính của công dân. Báo cáo giải thích rằng Sandvine/Procera Networks Deep Packet Inspection (DPI) đã được sử dụng để "bí mật kiếm tiền thông qua quảng cáo liên kết và khai thác cryptocurrency ở Ai Cập."

Tổng công ty Sandvine đã được mua lại vào tháng 9 năm ngoái bởi công ty cổ phần tư nhân Francisco Partners cũng là công ty đã mua Procera Networks vào năm 2015. Sandvine và Procera Networks sau đó sáp nhập và đã sản xuất phần mềm lọc trang web có tên là Packetlogic mà bản báo cáo cho biết "có thể đã được các thực thể liên quan đến chính phủ ở Thổ Nhĩ Kỳ và Ai Cập sử dụng để gắn các phần mềm gián điệp".

Ngoài ra, Lab cũng phát hiện ra rằng phần mềm này đang cài đặt ít nhất một kịch bản khai thác cryptocurrency, Coinhive, có sẵn để khai thác đồng monero (XMR).

Phương pháp phát hiện
Thông qua một quá trình bắt đầu bằng việc quét tất cả các địa chỉ IP ở một số quốc gia, các nhà nghiên cứu đã tìm thấy các thiết bị DPI được gọi là middleboxes mà được sử dụng để chặn lưu lượng truy cập trên mạng Turk Telekom giữa các trang web công cộng và các trang web không được mã hóa khác nhau.

Các thiết bị này đã được sử dụng để chuyển hướng hàng trăm người dùng ở Thổ Nhĩ Kỳ và Syria tới các phần mềm gián điệp quốc gia khi những người dùng cố gắng tải các ứng dụng Windows hợp pháp nhất định, các nhà nghiên cứu giải thích. Tại Ai Cập, nhóm nghiên cứu đã phát hiện ra không chỉ phần mềm gián điệp, họ nói rõ:

Chúng tôi tìm thấy các middlebox tương tự tại điểm phân định Viễn thông Ai Cập. Middlebox đã được sử dụng để chuyển hướng người dùng trên hàng chục ISP để liên kết các quảng cáo và các kịch bản khai thác tiền điện tử của trình duyệt.

Cài đặt các tập lệnh khai thác
Telecom Ai Cập là công ty điện thoại chính của nước này với số thuê bao cố định trên 6 triệu. Họ được Bộ Truyền thông và Công nghệ Thông tin của Ai Cập sở hữu 80%.

Báo cáo giải thích rằng Adhose có hai chế độ: chế độ spray và chế độ trickle. Nguyên tắc "chuyển hướng người dùng Internet ở Ai Cập tới các quảng cáo hoặc các kịch bản khai thác cryptocurrency bất cứ khi nào họ yêu cầu bất kỳ trang web nào" và "nhắm mục tiêu một số tài nguyên Javascript và trang web ngừng hoạt động để chèn quảng cáo”. Báo cáo tiết lộ rằng kế hoạch này đã được thực hiện bởi cùng một thực thể "kể từ ít nhất là tháng 10 năm 2016".

Trong khi quét một nhóm 5.702 địa chỉ IP vào tháng Giêng thuộc về 4 trong số 17 ASN hiện diện tại Ai Cập, nhóm nghiên cứu kết luận:

Trong số 5.702 IP, 5,443 trong bốn ASN đã trả về kết quả chuyển hướng quảng cáo, với tỷ lệ khoảng ~ 95%.

Phòng thí nghiệm Citizen đã gửi thư cho Sandvine và Francisco Partners tổng kết những phát hiện của họ vào tháng Hai. Trong lời trả lời của mình, Sandvine tuyên bố rằng báo cáo là "sai, gây hiểu nhầm, và sai lầm." Tuy nhiên, phòng thí nghiệm cho biết, "Chúng tôi nhấn mạnh rằng chúng tôi tin tưởng vào kết quả nghiên cứu của chúng tôi, hai bài phê bình độc lập đã được xác nhận."

Nguồn: https://goo.gl/yZXG59