Rostelecom, le plus grand opérateur d'accès haut débit de la Fédération de Russie, dessert environ 13 millions d'abonnés, sans publicité inutile un système de substitution de ses bannières publicitaires dans le trafic HTTP non crypté des abonnés. Étant donné que les blocs JavaScript insérés dans le trafic de transit comprenaient du code obscurci et l'accès à des sites douteux non affiliés à Rostelecom (p.analytic.press, d.d1tracker.ru, dmd.digitaltarget.ru), on a d'abord soupçonné que l'équipement du fournisseur avait a été compromis et un logiciel malveillant a été introduit. Logiciel dans le routeur intra-maison. Mais après avoir envoyé la plainte, les représentants de Rostelecom ont indiqué que le remplacement de la publicité avait été effectué dans le cadre du service d'affichage de bannières publicitaires aux abonnés, en service depuis le 10 février.
La publicité est affichée via le réseau de bannières mail.ru et les mouvements sont suivis via d1tracker.ru (le processeur est hébergé dans le cloud Amazon). Le code comprend également des appels au domaine analytic.press, enregistré fin décembre.
En règle générale, soit une publicité plein écran est affichée et couvre l'intégralité du contenu de la page, soit une bannière est ajoutée en haut des pages. Dans la plupart des cas, les blocs placés ressemblent au placement de publicités gênantes par les sites eux-mêmes, et l'abonné ne se rend pas compte que la publicité est réellement placée par le fournisseur. Toutes sortes de services de sociétés tierces (non associées à Rostelecom) sont annoncés, y compris la vente de lampes de poche.
Un exemple de code en ligne peut être trouvé dans . Une partie du code est obscurcie et chargée dynamiquement, donc sans une analyse détaillée, il est difficile de juger s'ils insèrent uniquement de la publicité ou effectuent d'autres actions du côté du navigateur client.
Grâce aux interfaces standards de votre compte personnel, il n'est pas possible de désactiver la substitution publicitaire, mais après avoir rédigé une réclamation pour , les employés de Rostelecom désactivent la substitution publicitaire pour des abonnés spécifiques. La question est de savoir si la substitution concerne uniquement le trafic HTTP non crypté ou si l'entreprise également. et le trafic HTTPS via la substitution de certificats est resté sans réponse. Le site Internet de la société ne contient aucune information sur le début de la modification du trafic de transit des clients.
Source: opennet.ru