根据加拿大公民实验室(Citizen Lab)的调查结果,目前已有多国政府利用安装在互联网服务供应商处的 Sandvine 网络设备散播间谍软件与采矿程序。

发现过程

加拿大公民实验室人权研究小组的研究人员们发现,土耳其、埃及以及叙利亚等国网民在从官方供应商网站处下载合法  Windows 应用程序时(具体包括Avast  Antivirus、CCleaner、Opera 以及 7-Zip等),会受到政府方面所散播之恶意软件的感染。根据该小组所言,各国政府在互联网服务供应商的帮助下利用深度数据包检测设备以劫持网民的访问流量。

由公民实验室发布的报告指出,“此份报告描述了研究人员如何利用互联网扫描,发现 Sandvine/Procera Networks 深度数据包检测(简称DPI)设备(作为中间设备)被用作恶意或可疑用途,且相关行为很可能出自所在国政府或互联网服务供应商之手。”

在此之前,ESET 的研究人员曾发现利用新型 FinFisher (FinSpy)间谍软件实施的监视活动,而公民实验室也迅速反应、从2017年9月开始着手推进此项调查。

七国部分设备被FinFisher 感染,含土耳其、叙利亚

FinFisher 已经感染了七个国家的受害者,且专家们认为其中的两股传播活动得到了主要互联网服务供应商的支持。

公民实验室的研究人员们发现,土耳其电信与埃及电信公司在网络中使用的 Sandvine PacketLogic 设备被用于分发各类恶意软件。这些恶意软件拥有着多种多样的既定目标,从监控用户到加密货币采矿可谓一应俱全。

研究人员经过广泛的调查,将发生在土耳其与埃及的网络注入特征与  Sandvine PacketLogic  设备匹配了起来。研究人员为在土耳其、叙利亚以及埃及发现的恶意注入活动建立了指纹,并将该指纹与研究人员获得的二手 PacketLogic  设备进行了配对,且全部采购与测量工作全部在实验室环境下完成。可以肯定的是,Sandvine  设备明显被用于暗中向土耳其、叙利亚以及埃及的用户注入恶意及可疑的重新定向代码,这将引发严重的人权侵犯问题。

研究人员们强调称,这些合法应用程序的官方网站默认将用户们重新定向至某非 HTTPS 下载点处,这使得攻击者将能够轻松对用户进行重新定向。

专家们在报告中还提到了 CBS Interactive 的 Download.com 案例,其用户同样被重新定向至包含土耳其与叙利亚间谍软件的下载点处。

研究人员们发现,互联网运营商所捆绑的监视恶意软件与 StrongPity APT 在间谍活动中使用的类型非常相似。专家们同时指出,埃及方面还在利用 Sandvine 设备发布会员广告或浏览器加密货币采矿脚本。

报告进一步补充称,“该中间件被用于将用户在数十家互联网服务供应商之间进行重新定向,从而加入广告以及浏览器加密张贴采矿脚本。我们将这种仅出现在埃及的状况称为  AdHose,其拥有两种具体模式。在喷雾模式当中,AdHose会将埃及用户一次性重新定向至短时间广告处; 而在渗漏模式下,AdHose  则会针对一部分 JavaScript 资源以信用网站以实现广告注入。AdHose 的核心目标很可能是为了悄悄敛财。”

根据公民实验室所言,这些设备亦被用于审查工作,例如阻止人权观察家、无国别记者、半岛电视台、Mada Masr 以及 HuffPost Arabic 等网站的访问请求。

研究人员与Sandvine矛盾激化

公民实验室向 Sandvine 方面提交了他们的发现,但该公司将相关研究结果评论为“虚假的、存在误导性的错误结论”,并要求公民实验室方面返还他们在调查当中使用的二手 PacketLogic 设备。

Sandvine  公司要求专家们推迟发表此份报告,并宣称研究人员刻意在其中添加不正确的信息。2018年3月7日,Sandvine  公司向多伦多大学致信,借以表达对公民实验室分析结果的失望态度。2018年3月8日,代表多伦多大学与公民实验室的外部律师对 Sandvine  的来信作出了回复。Sandvine 公司批评研究人员们的调查方法不符合道德要求,并指出此次测试所使用的为二手 Sandvine  PacketLogic PL7720 设备。

在多伦多大学与公民实验室写给  Sandvine 公司的回信中,双方指出“Sandvine  公司一直宣传高度重视企业所应承担的社会责任以及符合道德要求的产品使用承诺。然而,贵方并没有回应公民实验室在2018年2月16日与3月1日提出的、关于  Sandvine 设备恶意使用情况的任何具体问题。”

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。