مصر تستغل حواسب مواطنيها سراً من أجل تعدين العملات الرقمية

[KANE]

الصحف المصرية والعربية

اقتباس موقع أميركي: الحكومة المصرية تستغل حواسب مواطنيها سراً من أجل تعدين العملات الرقمية! هاف بوست عربي تم النشر: 22:10 09/03/2018 AST تم التحديث: 22:10 09/03/2018 AST YYY كشف تقرير جديد أعده باحثون أمنيون في جامعة تورونتو الأميركية، أن الحكومة المصرية، أو بعض الهيئات المرتبطة بها، قرصنت سراً وسائل المستخدمين المحليين للاتصال بالإنترنت، بغرض تعدين العملات الرقمية -مثل "بيتكوين"- "تعديناً جماعياً" بطريقةٍ سرية، ويقول الباحثون إنَّ كشف الدليل على هذا النوع من التدخل الذي ترتكبه دولةٌ قومية كمصر، "شديد الصعوبة"؛ لأنَّ اكتشاف التقنيات المستخدمة أمرٌ صعب للغاية، بحسب تقرير لموقع Quartz الأميركي الجمعة 9 مارس/آذار 2018. وتعرَّف باحثون في مختبر سيتيزن لاب بالجامعة على برنامج يسمونه "AdHose" يعيد توجيه حركة مرور مستخدمي الإنترنت المصريين سراً إلى برمجيات خبيثة (Malware) تستغل أجهزة الكمبيوتر لديهم في تعدين عملة مينيرو الرقمية، أو تصفح الإعلانات. ويعتمد AdHose على معداتٍ مثبتة داخل شبكات شركة المصرية للاتصالات. وبحسب الموقع الأميركي، وجد الباحثون أنَّ البرنامج يُستخدم بطريقتين: الأولى هو وضع "Spray"، الذي يؤدي تفعيله إلى أن يعيد أي موقع يحاول المستخدمون المتضررون زيارته، توجيه متصفحاتهم إما إلى شبكة الإعلانات، وإما إلى برمجيات خبيثة تُستخدم لتعدين العملات الرقمية وتُسمَّى Coinhive. ووجد مسحٌ أُجري في يناير/كانون الثاني، أنَّ 95% من الأجهزة، التي وضعت تحت الملاحظة ويزيد عددها على 5700 جهاز، تأثرت بـAdHose، فيما لم يُحدِّد التقرير إجمالي عدد المستخدمين المتضررين. لكنَّهم قالوا إنَّ وضع "Spray" يُستخدم على نحو ضيق، والبديل عنه هو وضع "Tickle"، الذي يعيد توجيه حركة مستخدمي الإنترنت فقط عندما يزورون مواقع معينة، وتشمل هذه المواقع موقع CopticPope.org (الذي كان موقعاً دينياً فيما سبق) وموقع Babylon-X.com الجنسي. واكتشف الباحثون أنَّ الوضع الثاني يُستخدم باستمرار، بحسب الموقع الأميركي. ويمكن للمعدات المستخدمة في تشغيل برنامج AdHose أن تتحول إلى أداة رقابة أيضاً تمنع الوصول إلى شبكات إعلامية بعينها مثل "الجزيرة"، ومنظماتٍ غير حكومية مثل "هيومان رايتس ووتش". ووجد فريق سيتيزن لاب برامج مماثلة بدول أخرى، لكن بدلاً من التعدين أو الإعلانات، تسببت في غزو أجهزة المستخدمين ببرامج تجسس عندما ظنوا أنَّهم يُحمِّلون برامج قانونية لمكافحة الفيروسات. جديرٌ بالذكر أنَّ الجهة المسؤولة عن صناعة هذه المعدات المتطفلة هي شركة كندية تدعى Sandvine، دُمجت مع شركةٍ أخرى تُدعى Procera Networks العام الماضي (2017). وقال الباحثون إنَّ الشركة الكندية وصفت تقريرهم بأنَّه "زائف ومضلل وخاطئ"، عندما أُخطِرَت بالنتائج. جدير بالذكر أنَّ موقع "كوارتز" طلب من Sandvine التعليق على الواقعة.

https://www.huffpostarabi.com/2018/0...arhpmg00000001

اقتباس 18 HOURS AGO By Molly Jane Zuckerman Telecom Egypt Covertly Redirecting Internet Users To Crypto Mining Sites, Report Says 25795 Total views Telecom Egypt Covertly Redirecting Internet Users To Crypto Mining Sites, Report Says NEWS Devices found at Telecom Egypt demarcation points have been found to be surreptitiously redirecting Egyptian Internet users to advertisements and cryptocurrency mining sites, according to a report published by Citizen Lab at the University of Toronto Friday, March 9. The technology research lab’s report explains that the scheme, referred to as Adhose, operates via middleboxes, computer networking devices for manipulating internet traffic. The report identifies two modes of redirection used on Egyptian citizens: “spray mode” and “trickle mode.” “Spray mode” means that a middlebox “redirects Egyptian Internet users en masse to ads or cryptocurrency mining scripts whenever they make a request to any website,” and is seemingly used “sparingly.” “Trickle mode” means that only attempts to open certain URLs redirects users to these ads or mining scripts, specifically CopticPope.org (which was formerly the website of the Pope of the Coptic Orthodox Church of Alexandria) and Babylon-X.com (formely a porn site). Coinhive, a Monero mining platform that positions itself to sites as an online advertising alternative, was also listed in the table of links for AdHose middleboxes to redirect Egyptian users. Coinhive has previously been linked to a large case of cryptojacking at the end of January 2018, when hackers ran YouTube ads with a Coinhive script that secretly used up the users’ CPU power for mining. American cable network Showtime was also found to be using Coinhive on two of their websites as an alternative for advertisements back in September of last year, albeit without informing their customers. After Showtime’s surreptitious use of the mining script was exposed, Coinhive announced that in future it would seek permission from users before using their computers to mine Monero. Citizen Lab’s report showed that the same middlebox that runs AdHose was also responsible for Internet censorship in Egypt, blocking websites for Human Rights Watch and the news outlet Al Jazeera. The report noted as well that middleboxes in Turkey and Syria were redirecting users attempting to download software to different versions of the same software with spyware attached. A fingerprint of a network injection of the middleboxes, deep packet inspection (DPI) devices, was patched with a second-hand PacketLogic device made by Canadian network equipment company Sandvine. In the report, Sandvine denied that their products could be used in such a manner, and highlighted to Citizen Lab their human rights protection standards that prompt a review of a sale when the customer is part of a country ranked low on the Worldwide Governance Indicators. Citizen Lab writes in their report that Sandvine’s safeguards have “come up short,” and recommends that the company begin engaging in “regular consultation with civil society regarding its human rights due diligence and business ethics program.” While Egypt’s first Bitcoin exchange was reported to be opening in August 2017, the Egyptian government has taken a hard line against cryptocurrencies in the country. Egypt’s top cleric called Bitcoin (BTC) “unlawful” under Sharia law in January of this year. A year earlier in February 2017, a Sharia law expert had told Cointelegraph that since Islam has historically only recognized “commodities of intrinsic value” as money, “Bitcoin probably misses the mark.” It is unclear how Monero or Coinhive’s mining script would thus fall under Sharia law.

https://citizenlab.ca/2018/03/bad-tr...-turkey-syria/

اقتباس أزمة مرورية أجهزة ساندفين باكيت لوجيك استُخدمت لنشر برامج التجسس الحكومية في تركيا وإعادة توجيه المستخدمين المصريين إلى الإعلانات التابعة لها؟ By Bill Marczak, Jakub Dalek, Sarah McKune, Adam Senft, John Scott-Railton, and Ron Deibert March 9, 2018 BAD TRAFFIC: Sandvine’s PacketLogic Devices Used to Deploy Government Spyware in Turkey and Redirect Egyptian Users to Affiliate Ads? يشرح هذا التقرير تحقيقنا عن استخدام واضح لأجهزة فحص عميق للحزم (DPI) من شركة ساندفين\بروكيرا لنشر البرامج الضارة في تركيا وبشكل غير مباشر إلى سوريا، وجمع الأموال سرا من خلال الإعلانات التابعة لتعدين العملات الرقمية في مصر. الكتّاب: بيل مارزاك, جايكب داليك, سارة ماككون, ادام سينفت, جون سكوت رايلتون, رون ديبرت 1. ملخص هذا التقرير يشرح كيف قمنا بفحص شبكة الانترنت للكشف عما يبدو أنه استخدام لأجهزة ساندفاين\بروكيرا الخاصة “بفحص عميق للحزم” (Deep Packet Inspection) في نشاطات مشبوهة أو مريبة، على الأغلب من قبل حكومات أو مخدمات الإنترنت في بلدين. 1.1 تركيا عثرنا على مجموعة من الأجهزة (middleboxes) ضمن شبكة تورك تيليكوم، كانت هذه الأجهزة تستخدم لإعادة توجيه المستخدمين الذين يقومون بتحميل برامج من الإنترنت إلى نسخ أخرى مدمجة من البرنامج تحتوي على البرنامج المطلوب وبرنامج تجسس بنفس الوقت. برنامج التجسس الذي تم اضافته من قبل المشغّلين شبيه بذلك المُستخدم في هجمة StrongPity APT. قبل الانتقال إلى برنامج StrongPity قام المشّغلون باستخدام برنامج فينفيشر للتجسس و “الاعتراض القانوني”، والذي تؤكد فينفيشر أنه يباع فقط لجهات حكومية. قام المستخدمون المستهدفون في تركيا وسوريا بتحميل برامج من المواقع الرسمية لهذه التطبيقات والتي تشمل : مضاد فيروسات افاست, سي كلينر, متصفح اوبرا, و برنامج 7-Zip لفك الضغط. تم تحويلهم بشكل صامت إلى نسخ خبيثة وذلك عبر حقن إعادة توجيه (http redirect). عملية إعادة التوجيه هذه ممكنة بسبب المواقع الرسمية لهذه البرامج، على الرغم من أنهم يقدموا دعم HTTPS إلا انهم يقومون بإعادة تحويل المستخدمين إلى صفحات HTTP للتحميل بشكل افتراضي. إضافة لذلك، أعيد توجيه المستخدمين المستهدفين في تركيا وسوريا والذين قامو بتحميل البرامج من موقع Download.com (منصة تحميل برامج من CNET) ايضاً إلى نسخ خبيثة تحتوي فيروسات. موقع download.com لا يبدو انه يدعم https على الرغم من أنه يقّدم روابط “تحميل آمن”(1). عندما قمنا بفحص الانترنت في تركيا, اكتشفنا بأن عملية حقن الملفات الخبيثة تحدث على الأقل في 5 مناطق. فبالإضافة إلى المستهدفين في تركيا، هنالك أيضاً مستخدمون موجودون فعلياً في سوريا، يستخدمون الانترنت المرسل من تركيا بواسطة مشتركي تورك تيليكوم عبر الحدود عبر اتصال Wi-Fi موّجه. في حالة واحدة، مئات المستخدمين من سوريا يتشاركون بعنوان IP تركي واحد. بالاعتماد على المعلومات المتاحة للعموم، على الأقل عنوان IP واحد يبدو أنه يستخدم من قبل قوات وحدات حماية الشعب (ميليشيا كردية).[قوات وحدات حماية الشعب يتم استهدافها من قبل القوات الجوية والارضية التركية ضمن حملة بدأت في كانون الثاني 2018]. وهناك ايضاً استهداف لمناطق غير مسيطر عليها من قبل وحدات حماية الشعب, مثل المناطق المحيطة بمدينة إدلب. 1.2 مصر عثرنا على (middle boxes) مشابه في نقطة حدودية في تليكوم مصر. هذه الاجهزة تم استخدامها لإعادة توجيه مستخدمي العديد من مزودي خدمة الإنترنت إلى إعلانات وسكربتات تعدين عملات رقمية. الهيكلية المصرية (والتي اصطلحنا على تسميتها خرطوم الإعلانات AdHose) تحتوي على نمطين: نمط “الرشّ” بحيث تقوم بتحويل الزوار بشكل جماعي إلى إعلانات لفترة قصيرة من الزمن، والنمط الثاني “التنقيط” حيث يتم استهداف بعض موارد الجافا سكربت في المواقع وإبطالها بغاية حقن إعلانات. من المرجح أن AdHose هي محاولة لجمع الأموال سرا. 1.3 تكنولوجيا تطابق أجهزة ساندفاين باكيت لوجيك Sandvine PacketLogic بعد تحقيق موسّع ومكّثف، تمكننا من مطابقة الخصائص المميزة لأجهزة middleboxes في تركيا ومصر مع اجهزة ساندفاين باكيت لوجيك (Sandvine PacketLogic). أجهزة ساندفاين باكيت لوجيك قادرة على إعطاء الأولوية لأنواع مختلفة من حركة المرور على الإنترنت و تحليلها وحظرها وحقنها وتسجيلها. الشركة التي تصنّع أجهزة باكيت لوجيك كانت تعرف سابقاً باسم بروكيرا نيتورك (Procera Networks), ولكن تمت إعادة تسميتها مؤخرًا باسم Sandvine بعد قيام شركة أسهم خاصة مقرها في الولايات المتحدة تدعى Francisco Partners ، بالاستحواذ على الشركة المالكة Procera وعلى شركة Sandvine لأجهزة الشبكات ودمجت الشركتين في عام 2017. لدى شركة Francisco Partners العديد من الاستثمارات في شركات تقنية ثنائية الاستخدام، تشمل بعض مزودي أدوات مراقبة الانترنت مثل مجموعة NSO الإسرائيلية التي تطور وتبيع أدوات تجسس للهواتف. تم استخدام أدوات مجموعة NSO للتجسس في العديد من البلدان للتجسس على صحفيين، ومحامين، ومدافعين عن حقوق انسان. في مقالة تعود لعام 2014 ذكرت صحيفة تركية بأن تركيا بدأت مفاوضات مع بروكيرا لشراء نظام باكيت لوجيك لأهداف المراقبة والرقابة, الصفقة سببت الذعر داخل الشركة. 1.4. حجب محتويات سياسية وحقوق انسان في تركيا ومصر، عثرنا على أجهزة تطابق بصمة جهاز Sandvine PacketLogic الموجود لدينا، تقوم هذه الأجهزة بحجب محتويات سياسية، صحفية، ومحتويات متعلقة بحقوق الإنسان. في مصر،استخدمت هذه الأجهزة لحجب العشرات من المواقع الإخبارية، والسياسية والحقوقية. مثل مواقع مراسلون بلا حدود، والجزيرة، ومدى مصر، وهفنغتون بوست عربي، وهيومن رايتس ووتش. أما في تركيا فقد استخدمت هذه الأجهزة لحجب مواقع مثل ويكيبيديا، ومؤسسة الاذاعة الهولندية (NOS)، وكذلك موقع حزب العمال الكردستاني (PKK). 1.5 موظفو ساندفاين\بروكيرا على الارض؟ عبر بحث على موقع لينكدإن عن “Procera Networks” اكتشفنا “مهندس حلول” في اسطنبول, تركيا وبالبحث عن “Sandvine” سابقاً Procera Networks وجدنا “مهندس مقيم – مستوى عال” في مصر. صفحة “التوظيف” في ساندفاين تشرح مسؤوليات “مهندس عمليات مقيم”, وتشمل هذه المسؤوليات “القيام بأنشطة قائمة على العمليات، أو الإقامة في موقع العميل” وأيضاً “العمل عن كثب مع عمليات العملاء وفرق التطوير”. نشرة “حالات الاستخدام” (2) الإعلانية لبروكيرا تحتوي على فقرة عن “الامتثال للرقابة – منع الوصول” حيث تذكر بأن الشركة تقدّم “خدمات مهندس مقيم” لدعم المهام الحكومية لعملاء بروكيرا التي تتطلب حجب خدمات مثل VPN او المكالمات عبر الإنترنت (VoIP). في ضوء هذه المعلومات, قمنا بإرسال رسالة إلى ساندفاين في 12 شباط\فبراير 2018، سألناها إن كانت ساندفاين تقدّم خدمات “مهندس عمليات مقيم” أو أي موظف دعم في تركيا أو مصر. ساندفاين لم تجب على هذا السؤال. ويثير احتمال العمل من داخل البلد، -لا سيما على مستوى مقدم خدمات إنترنت- التساؤلات بشأن معرفة الشركة بالأنشطة ذات الأثر الكبير على حقوق الإنسان أو المشاركة فيها. رسائلنا المرسلة بتاريخ 12 شباط\فبراير 2018 إلى ساندفاين وفرانسيسكو براتنرز (Francisco Partners) لخّصت الاكتشافات في تقريرنا، واحتوت على اسئلة مفصّلة عن اكتشافاتنا وعن ممارسات المسؤولية الاجتماعية للشركة. في رسالة بتاريخ 18 شباط\فبراير 2018 من ساندفاين لخّصت البيانات في رسالتنا بأنها “كاذبة، و مضللة، وخاطئة” وطالبتنا بإعادة جهاز باكيت لوجيك المستعمل الذي استخدمناه لتأكيد إسناد البصمة الرقمية. في 20 شباط\فبراير 2018 قامت شركة فرانسيسكو براتنرز بإرسال رسالة تحتوي على ردهم, تذكر فيه أن الشركة “تدرك أهمية حوكمة الشركات والمسؤولية الاجتماعية”. جميع مراسلاتنا مع ساندفاين وفرانسيسكو براتنرز تم مناقشة تفاصيلها في القسم 7. الهوامش (1) النص “تحميل آمن” يظهر عندما يقوم الزائر بوضع المؤشر على رابط “تحميل الآن” عند تحميل ملف من موقع download.com (2) تم العثور عليها عبر بحث على غوغل, رابط النشرة الدعائية تحوي على معرّف Hubspot (482141) ويمكننا مشاهدته نفسه في الكود المصدري (html) للموقع https://sandvine.com/, وبالتالي استنتجنا ان هذه النشرة الدعائية هي نشرة رسمية.

https://citizenlab.ca/2018/03/%D8%A3...C%D9%8A%D9%83/


https://citizenlab.ca/2018/03/bad-tr...-turkey-syria/