A Rostelecom, az Orosz Föderáció legnagyobb szélessávú hozzáférési szolgáltatója, amely mintegy 13 millió előfizetőt szolgál ki, felesleges reklámozás nélkül olyan rendszer, amely hirdetési bannereit az előfizetők titkosítatlan HTTP-forgalmára helyettesíti. Mivel a tranzitforgalomba beillesztett JavaScript blokkok homályos kódot és a Rostelecomhoz nem kapcsolódó, kétes oldalakhoz való hozzáférést (p.analytic.press, d.d1tracker.ru, dmd.digitaltarget.ru) tartalmaztak, először felmerült a gyanú, hogy a szolgáltató berendezései feltörték, és rosszindulatú szoftvereket vezettek be. Szoftver a házon belüli útválasztóban. De a panasz elküldése után a Rostelecom képviselői jelezték, hogy a reklámok helyettesítését a február 10-e óta működő, az előfizetőknek szalaghirdetések megjelenítésére szolgáló szolgáltatás keretében hajtották végre.
A hirdetések a mail.ru szalaghirdetés-hálózaton keresztül jelennek meg, a mozgásokat pedig a d1tracker.ru-n keresztül (a processzort az Amazon felhője tárolja). A kód tartalmazza a december végén regisztrált analytic.press domain hívásait is.
Általában vagy egy teljes képernyős hirdetés jelenik meg, amely lefedi az oldal teljes tartalmát, vagy egy szalaghirdetés kerül az oldalak tetejére. A legtöbb esetben az elhelyezett blokkok úgy néznek ki, mint maguk az oldalak idegesítő reklámok elhelyezése, és az előfizető nem veszi észre, hogy a hirdetést valójában a szolgáltató helyezte el. Harmadik féltől származó (a Rostelecomhoz nem kapcsolódó) szolgáltatást hirdetnek, beleértve a zseblámpák értékesítését is.
Példa a soron belüli kódra itt található . A kód egy része obfuszkált és dinamikusan töltődik be, így részletes elemzés nélkül nehéz megítélni, hogy a kliens böngésző oldalán csak reklámot illesztenek be, vagy más műveletet hajtanak végre.
Személyes fiókjának szabványos felületein keresztül nincs lehetőség a hirdetési helyettesítés letiltására, de igény írása után , A Rostelecom alkalmazottai letiltják a hirdetési helyettesítést bizonyos előfizetőknél. A kérdés az, hogy a helyettesítés csak a titkosítatlan HTTP-forgalomra vonatkozik-e, vagy a vállalatra is és a HTTPS-forgalomban a tanúsítványcserén keresztül válasz nélkül maradt. A társaság weboldala nem tartalmaz információt az ügyfelek tranzitforgalmának módosításának megkezdéséről.
Forrás: opennet.ru