Египтяне майнят криптовалюту и не знают об этом

Власти Египта или аффилированные структуры, предположительно, перехватывают трафик граждан страны, устанавливая ПО для майнинга криптовалют, говорится в докладе исследователей Университета Торонто. Среди подозреваемых также провайдеры из Турции и Сирии, которые тайно устанавливали ПО для слежки.

Некоторые правительства или связанные с ними ведомства используют технологию глубокой проверки пакетов, чтобы перехватывать веб-трафик, а также манипулировать компьютерами конечных пользователей. Эта технология позволяет провайдерам ухудшать качество, блокировать, записывать, внедрять и определять приоритетность для разных видов веб-трафика, используя метод проверки отдельных пакетов.

Как сказано в отчете, в Египте схема работает за счет оборудования, установленного в сети Telecom Egypt. С каждого сайта, к которому пораженный браузер пытался получить доступ, пользователь перенаправлялся на рекламные сети или же майнер Coinhive. В январе уже 5 700 устройств были заражены, однако в окончательным докладе точное число пострадавших не указано.

Исследователи из Citizen Lab обнаружили, что провайдеры используют схему под названием AdHose для тайного зарабатывания денег путем майнинга криптовалюты Monero. «Мы нашли похожие промежуточные устройства в точке демаркации Telecom Egypt. Они использовались для перенаправления пользователей десятка провайдеров для подключения рекламы и браузерных майнинг-скриптов», – говорится в отчете.

Кроме того, оборудовани также является инструментом цензуры и блокирует сайты таких организаций как Al Jazeera и Human Rights Watch. Похожие схемы под видом антивирусов используются в Турции и Сирии для слежки за гражданами, обнаружили исследователи.

Компания по кибербезопасности Talos подсчитала, что скрытый майнинг на 2000 устройств может принести более $100 млн в год. Очевидно, что в случае с гражданами Египта устройств намного больше.

По данным исследования крупнейшей компании по кибербезопасности Symantec Threat Intelligence, с октября 2017 г. по январь 2018 г. наблюдается резкий рост хакерских атак на компьютеры пользователей с целью криптоджекинга. Наиболее активно хакеры действовали в Великобритании, где рост атак составил 1200%, в США, Японии, Франции, Германии.

Одной из жертв стал американский производитель электромобилей Tesla: хакеры внедрили майнер через облачный сервис компании. Также хакеры атаковали сайты британских правительственных организаций, среди которых "Информационная канцелярия" (Information Commissioner's Office, ICO), Национальная служба здравоохранения Шотландии (Scottish NHS) и "Компания студенческих займов" (Student Loans Company).

Сайты были заражены скриптом Coinhive, который, встроившись в код пораженного сайта, использовал вычислительные мощности компьютеров его посетителей для майнинга криптовалюты Monero. Посетители взломанных хакерами сайтов были предупреждены своими антивирусными обеспечениями об опасности, однако многие подобное предупреждение проигнорировали. Компьютеры пользователей заражению вирусом не поддались, единственным неудобством для них стала замедленная работа.

Всего хакеры заразили вирусом 4700 сайтов, среди которых оказалось несколько частных: Служба медицинского обслуживания Virgin (Virgin Care), а также UK Power Networks.

Разработчики антивируса Malwarebytes обратили внимание на то, что участились кибератаки, направленные на пользователей мобильных устройств на базе Android с использованием скрипта для майнинга криптовалюты Monero Coinhive. Для того чтобы скрипт проработал на смартфоне жертвы подольше, злоумышленники используют капчу, где надо ввести буквенно-цифровой код.

По этой схеме мошенники действуют с ноября прошлого года. На страницы со зловредным кодом они привлекают пользователей, размещая свои рекламные объявления на других сайтах в сети. Исследователи обнаружили 5 доменов, используемых в кампании, на каждом из которых размещена одна и та же страница с одинаковой капчей. По их оценкам, все пять страниц в среднем посещает 800 тыс. пользователей в день, находясь на них по 4 минуты.