Se ha descubierto que los gobiernos de Turquía y Siria secuestran las conexiones de Internet de los usuarios de sus respectivos países para inyectar secretamente malware de vigilancia, a la vez que la misma tecnología de interceptación masiva se ha encontrado scripts de minería de criptomonedas ocultos, dichos scripts corren en el navegador web de los usuarios en Egipto.
Los gobiernos o agencias vinculadas a dicho malware y los ISP en los tres países están utilizando la tecnología de Deep Packet Inspection de Sandvine (que se fusionó con Procera Networks el año pasado) para interceptar y alterar el tráfico web de los usuarios de Internet.
La tecnología de inspección profunda de paquetes permite a los ISP priorizar, degradar, bloquear, inyectar y registrar varios tipos de tráfico de Internet, en otras palabras, pueden analizar cada paquete para ver lo que los usuarios están haciendo en Internet.
De acuerdo con un nuevo informe de Citizen Lab, la red de telecomunicaciones de Turquía ha utilizado los dispositivos de Sandvine, PacketLogic, para redirigir a cientos de usuarios específicos (periodistas, abogados y defensores de los derechos humanos) a las versiones maliciosas de los programas legítimos infectados con FinFisher y el spyware StrongPity, cuando estos usuarios descargan programas de fuentes oficiales.
Según dice el informe de Citizen Lab: “Esta redirección fue posible porque los sitios web oficiales de estos programas, a pesar de que podrían haber admitido HTTPS, dirigieron a los usuarios a descargas que no son HTTPS por defecto“.
Se ha visto una campaña similar en Siria, donde los usuarios de Internet fueron redirigidos silenciosamente a versiones maliciosas de varias aplicaciones populares, incluidas las aplicaciones de Avast Antivirus, CCleaner, Opera y 7-Zip en todas las cuales se inyectaron spyware del gobierno.
En Turquía, los dispositivos Sandvine PacketLogic se usaban para bloquear sitios web como Wikipedia, los sitios de Dutch Broadcast Foundation (NOS) y Kurdistan Workers Party (PKK).
Sin embargo, en Egipto, un operador de telecomunicaciones usaba los dispositivos Sandvine PacketLogic para ganar dinero:
Inyectar secretamente un script de minería de criptomonedas en cada página web HTTP que visiten los usuarios para minar la criptomoneda Monero,
Redirigir a los usuarios egipcios a páginas web con anuncios afiliados.
En Egipto, estos dispositivos también se utilizan para bloquear el acceso a website de defensa de los derechos humanos, políticos y medios de noticias como Al Jazeera, HuffPost árabe, Reporteros sin Fronteras, y Mada Masr, así como la ONG Human Rights Watch.
Los investigadores de Citizen Lab informaron a Sandvine de sus hallazgos, pero la compañía calificó su informe de “falso, engañoso e incorrecto” y también les exigió devolver el dispositivo PacketLogic de segunda mano que utilizaron para confirmar la atribución de su huella digital.
Citizen Lab comenzó esta investigación en septiembre del año pasado luego de que los investigadores de ESET publicaron un informe que revela que las descargas de varias aplicaciones populares se vieron comprometidas a nivel de ISP en dos países (sin nombrarlos) para distribuir el spyware FinFisher.