多國政府靠Sandvine網路設備散播間諜軟體與採礦程序

E安全3月14日訊 根據加拿大公民實驗室（Citizen Lab）的調查結果，目前已有多國政府利用安裝在互聯網服務供應商處的 Sandvine 網路設備散播間諜軟體與採礦程序。

發現過程

加拿大公民實驗室人權研究小組的研究人員們發現，土耳其、埃及以及敘利亞等國網民在從官方供應商網站處下載合法 Windows 應用程序時（具體包括Avast Antivirus、CCleaner、Opera 以及 7-Zip等），會受到政府方面所散播之惡意軟體的感染。根據該小組所言，各國政府在互聯網服務供應商的幫助下利用深度數據包檢測設備以劫持網民的訪問流量。

由公民實驗室發布的報告指出，「此份報告描述了研究人員如何利用互聯網掃描，發現 Sandvine/Procera Networks 深度數據包檢測（簡稱DPI）設備（作為中間設備）被用作惡意或可疑用途，且相關行為很可能出自所在國政府或互聯網服務供應商之手。」

在此之前，ESET 的研究人員曾發現利用新型 FinFisher （FinSpy）間諜軟體實施的監視活動，而公民實驗室也迅速反應、從2017年9月開始著手推進此項調查。

七國部分設備被FinFisher 感染，含土耳其、敘利亞

FinFisher 已經感染了七個國家的受害者，且專家們認為其中的兩股傳播活動得到了主要互聯網服務供應商的支持。

公民實驗室的研究人員們發現，土耳其電信與埃及電信公司在網路中使用的 Sandvine PacketLogic 設備被用於分發各類惡意軟體。這些惡意軟體擁有著多種多樣的既定目標，從監控用戶到加密貨幣採礦可謂一應俱全。

研究人員經過廣泛的調查，將發生在土耳其與埃及的網路注入特徵與 Sandvine PacketLogic 設備匹配了起來。研究人員為在土耳其、敘利亞以及埃及發現的惡意注入活動建立了指紋，並將該指紋與研究人員獲得的二手 PacketLogic 設備進行了配對，且全部採購與測量工作全部在實驗室環境下完成。可以肯定的是，Sandvine 設備明顯被用於暗中向土耳其、敘利亞以及埃及的用戶注入惡意及可疑的重新定向代碼，這將引發嚴重的人權侵犯問題。

研究人員們強調稱，這些合法應用程序的官方網站默認將用戶們重新定向至某非 HTTPS 下載點處，這使得攻擊者將能夠輕鬆對用戶進行重新定向。

專家們在報告中還提到了 CBS Interactive 的 Download.com 案例，其用戶同樣被重新定向至包含土耳其與敘利亞間諜軟體的下載點處。

研究人員們發現，互聯網運營商所捆綁的監視惡意軟體與 StrongPity APT 在間諜活動中使用的類型非常相似。專家們同時指出，埃及方面還在利用 Sandvine 設備發布會員廣告或瀏覽器加密貨幣採礦腳本。

報告進一步補充稱，「該中間件被用於將用戶在數十家互聯網服務供應商之間進行重新定向，從而加入廣告以及瀏覽器加密張貼採礦腳本。我們將這種僅出現在埃及的狀況稱為 AdHose，其擁有兩種具體模式。在噴霧模式當中，AdHose會將埃及用戶一次性重新定向至短時間廣告處; 而在滲漏模式下，AdHose 則會針對一部分 JavaScript 資源以信用網站以實現廣告注入。AdHose 的核心目標很可能是為了悄悄斂財。」

根據公民實驗室所言，這些設備亦被用於審查工作，例如阻止人權觀察家、無國別記者、半島電視台、Mada Masr 以及 HuffPost Arabic 等網站的訪問請求。

研究人員與Sandvine矛盾激化

公民實驗室向 Sandvine 方面提交了他們的發現，但該公司將相關研究結果評論為「虛假的、存在誤導性的錯誤結論」，並要求公民實驗室方面返還他們在調查當中使用的二手 PacketLogic 設備。

Sandvine 公司要求專家們推遲發表此份報告，並宣稱研究人員刻意在其中添加不正確的信息。2018年3月7日，Sandvine 公司向多倫多大學致信，藉以表達對公民實驗室分析結果的失望態度。2018年3月8日，代表多倫多大學與公民實驗室的外部律師對 Sandvine 的來信作出了回復。Sandvine 公司批評研究人員們的調查方法不符合道德要求，並指出此次測試所使用的為二手 Sandvine PacketLogic PL7720 設備。

在多倫多大學與公民實驗室寫給 Sandvine 公司的回信中，雙方指出「Sandvine 公司一直宣傳高度重視企業所應承擔的社會責任以及符合道德要求的產品使用承諾。然而，貴方並沒有回應公民實驗室在2018年2月16日與3月1日提出的、關於 Sandvine 設備惡意使用情況的任何具體問題。」

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/22039068.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！