Un sistema hardware e software che dirotterebbe di nascosto il traffico web, con l’obiettivo di estrarre criptovaluta ma anche di bloccare l’accesso a siti di informazione indipendenti. E’ quanto risulta da un rapporto di un gruppo di ricercatori del Citizen Lab dell'Università di Toronto, pubblicato da Qz.com, che ha chiamato in causa Egitto, Siria e Turchia e una società canadese chiamata Sandvine, che si è fusa con una società chiamata Procera Networks lo scorso anno, e i cui dispositivi sarebbero stati utilizzati come hardware intrusivo. I ricercatori hanno detto che Sandvine, quando è stato informato dei risultati dell’indagine, ha definito il loro rapporto "falso, fuorviante e sbagliato".
Secondo l’analisi il governo egiziano avrebbe dirottato le connessioni locali degli utenti di Internet per fare estrazione di criptovaluta (mining) di massa e raccogliere fondi. I ricercatori del Citizen Lab hanno identificato uno schema chiamato "AdHose" per reindirizzare segretamente il traffico web degli utenti Internet egiziani verso malware che utilizzano i loro computer per estrarre la criptovaluta Monero o visualizzare annunci pubblicitari.
AdHose farebbe affidamento su hardware installato all'interno delle reti di Telecom Egypt. Due i modi in cui agirebbe il meccanismo. In modalità “spray": un un qualsiasi sito Web visitato dagli utenti reindirizzava i loro browser ad una rete pubblicitaria o ad un malware di criptovaluta chiamato Coinhive. Una scansione a gennaio ha rilevato che il 95% dei dispositivi osservati, su un numero di oltre 5.700 analizzati, era affetto da AdHose.
Il report non ha però quantificato il numero totale di utenti interessati. La modalità “Spray”, hanno precisato i ricercatori, viene usata con parsimonia. L’altro schema è la modalità "trickle", che reindirizza il traffico web solo quando gli utenti visitano determinati siti. Fra questi il sito a contenuto religioso CopticPope.org e Babylon-X.com, un sito porno. I ricercatori hanno scoperto che la modalità di Trickle funziona ininterrottamente. AdHose opera anche come strumento di censura. Blocca infatti l'accesso a fonti di informazione come Human Rights Watch, Reporter senza frontiere, Al Jazeera, Mada Masr e HuffPost.
Non solo Egitto, Citizen Lab ha trovato schemi simili anche in Turchia e in Siria. Nel paese di Erdogan i ricercatori scrivono di aver scovato “una serie di middlebox sulla rete di Türk Telekom che venivano utilizzati per reindirizzare centinaia di utenti, che tentavano di scaricare determinati programmi legittimi, verso versioni di quei programmi in bundle con spyware”.
I programmi legittimi consistevano in applicazioni Windows da siti web di fornitori ufficiali come Avast Antivirus, CCleaner, Opera e 7-Zip. Oltre alla Turchia, colpiti anche alcuni utenti situati in Siria che utilizzavano i servizi Internet inoltrati sul posto dagli abbonati a Türk Telekom, a volte tramite collegamenti Wi-Fi direzionali transfrontalieri.