Власти Египта или аффилированные структуры взломали интернет-соединение граждан страны с помощью схемы «AdHose», которая перенаправляет трафик на майнинг Monero или отображение дополнительной рекламы. Об этом говорится в докладе исследователей Университета Торонто.
Как сказано в отчете, схема «AdHose» работает за счет оборудования, установленного в сети Telecom Egypt. Исследователи определили два типа работы «AdHose» — распространение «спреем» и «струей».
В первом случае, каждый сайт, к которому пораженный браузер пытался получить доступ, перенаправлял трафик на рекламные сети или же малварь Coinhive. В январе уже 5 700 устройств были заражены, однако в окончательным докладе точное число пострадавших не указано.
Распространение «струей» затрагивало только пользователей отдельных сайтов, связанных с религией или порнографией. Особенностью этого типа работы «AdHose» является непрерывность.
Кроме того, оборудование, использованное для распространения «AdHose», также является инструментом цензуры и блокирует сайты таких организаций как Al Jazeera и Human Rights Watch. Похожие схемы под видом антивирусов используются в Турции и Сирии для слежки за гражданами, обнаружили исследователи.
Напомню, несколько тысяч интернет-ресурсов, в основном принадлежащих правительствам США и Великобритании, были заражены майнером криптовалюты Monero. Все зараженные сайты использовали популярный скрипт преобразования текста в речь под названием BrowseAloud от TextHelp.com.
Ранее брешь в клиенте Telegram для Windows позволяла хакерам майнить Monero и Zcash посредством атаки RLO (right-to-left override), с помощью которой менялся порядок символов в названии и расширении файла. Разработчики Telegram впоследствии устранили проблему, жертвами которой стали несколько сотен человек.