Ростелеком и «Мегафон» пользуются уязвимостью сайтов для пропаганды войны в Украине

Ростелеком и реклама «национальной идеи нашего лидера»

Российский провайдер Ростелеком размещает новости пропагандистских государственных СМИ о войне в Украине на сайтах без протокола HTTPS (Hypertext Transport Protocol Secure), который поддерживает шифрование в целях повышения безопасности и обеспечивает защиту от атак, основанных на прослушивании сетевого соединения (то есть на сайтах с «http»). Первым на это обратил внимание пользователь Twitter с ником @MosSobyaniin, когда «тестировал свой сайт» на веб-сервисе GitHub. Специалисты Роскомсвободы подтвердили The Insider, что, согласно их наблюдениям, почти все мобильные операторы и некоторые «проводные» занимаются подменной http-трафика.

По словам пользователя, который тестировал свой сайт, ссылки ведут на материалы Царьграда, Regnum, ИноСМИ, «Ленты.ру» и других СМИ о войне, «национальной идее нашего лидера», а также на тексты, в которых оправдываются преступления Росси в Украине.

Автор треда объяснил, что Ростелеком перехватывает первый JS-скрипт по незашифрованному http-протоколу и редиректом отправляет браузеру фишинговый скрипт, вставляющий баннеры на страницу. В параметры запроса фишингового скрипта «прокидываются адрес подмененного скрипта» и регион подключения абонента. Далее загружается уже настоящий скрипт запрашиваемого сайта. При этом подмена происходит только с некоторыми сайтами, не использующими HTTPS (таких, по словам пользователя, осталось мало) и имеющих хоть один JS-скрипт. Россиянин возмутился фактом изменения пользовательского трафика в пользу государственной пропаганды и призвал отказаться от услуг Ростелекома.

«Разумеется, от услуг такого оператора нужно сразу отказываться и пользоваться VPN ВСЕГДА — даже когда сидите не в Twitter или Instagram. Страшно, что сегодня трафик подменяет Ростелеком — а завтра уже могут на всех операторах с СОРМ».

«Мегафон» и «Билайн» используют сайты малого бизнеса для «рекламы войны»

Источник The Insider, пожелавший остаться анонимным, рассказал, что российский малый бизнес сталкивается с такой «рекламой», так как создавать сайты с протоколом HTTPS выходит дороже. Он рассказал, как его друг, владелец стоматологической клиники, пытался разобраться с ситуацией, подумав в первую очередь о взломе сайта (собеседник разрешил опубликовать видео с сайта клиники). При проверке выяснилось, что реклама появляется, если заходить на сайт с мобильными операторами «Билайн» и «Мегафон».

«Где-то полтора месяца назад ко мне обратился мой друг — владелец клиники — с просьбой срочно помочь, так как его сайт „взломали”. Когда он заходил на сайт, выводилось очень много однотипной пропагандистской рекламы, оправдывающей военные действия России против Украины».

По словам собеседника, сначала он подумал, что были взломаны хостинг, сайт или какой-то внешний сервис, который используется на сайте. Однако оказалось, что реклама была видна только со смартфонов. Предположение о том, что взломан телефон, также не подтвердилось: на «чистых» Android и iPhone все равно высвечивалась реклама. Оказалось, что рекламу вставляет мобильный оператор абсолютно на все сайты, которые работают по небезопасному протоколу http, отмечает источник. При этом сайты, работающие на протоколе https, функционируют нормально, так как внедрить в них посторонний код со стороны оператора невозможно.

«Подобные атаки называют называются „Man-in-the-middle“ (Атака посредника, дословно: „человек посередине“) и считаются злонамеренными. Такая атака была замечена при использовании мобильных операторов «Билайн» и «Мегафон». Единственным решением ситуации является переход сайта на https-протокол. Но очень многие владельцы малого бизнеса, которые имеют простые сайты, не знают, как это сделать, и обычно такой переход сопровождается дополнительными финансовыми расходами, что также не каждый себе может позволить».

Собеседник добавил, что неподготовленному пользователю будет очень сложно найти причину высвечивания таких баннеров, которые появляются из-за «нелегальных действий» операторов.

«То, что провайдеры делают это с новостями про Украину, — какой-то сюр»

Как рассказал The Insider эксперт Алексей Шкитин, такую подмену на незащищенных сайтах использовали и раньше, в основном рекламщики. Однако теперь ее взяли на вооружение для продвижения пропагандистских текстов о войне в Украине. По его мнению, за пропагандой, скорее всего, стоят региональные провайдеры. При этом ничего «экстремально нового» они не придумали: эту технологию используют рекламщики, подставляя «фишинговые сайты». По сути это не фишинг в чистом виде, а преступление, добавляет Шкитин.

«Грубо говоря, когда ты идешь по незащищенному каналу на сайт, то позволяешь туда прописать различные гадости: например, как с рекламой провайдер может подставить. То есть незащищенное соединение — оно потому и незащищенное, что туда может попасть другой пользователь, в данном случае — провайдер. Но то, что провайдеры делают это с новостями про Украину, — какой-то сюр».

По словам Шкитина, московский Ростелеком настолько «зарегулированная контора», что вряд ли занимается подобными вещами. В случае с размещением пропаганды в виде рекламы «выслуживаются региональные провайдеры», считает эксперт. Сейчас при переходе практически на любой сайт возникают «пропагандистские новости про войну в Украине».

«Раньше рекламу подбрасывали, а сейчас подбрасывают пропаганду. Это похоже на инициативу на местах, вряд ли так системно. Смысла в этом особого нет. Все оппозиционные СМИ в России недоступны, они закрыты по сути. То есть теперь в России что ни откроешь — будет пропаганда».

Письма про войну — в спам

Не только мобильные операторы стремятся доносить до россиян удобную властям позицию о войне в Украине. Россиянка, получавшая антивоенную рассылку на «Яндекс.Почту», рассказала The Insider, что обнаружила подобные письма в папке «Спам». Так, без ее ведома в числе «ненужных» писем оказался ответ из Антивоенного комитета России.

«Я писала в Комитет, мне нужно было кое-что узнать, и они мне ответили. Но письмо попало в спам, и я его не видела несколько дней. Помимо этого письма я обнаружила в спаме подборку новостей от издания «Повестка», которое придерживается антивоенной линии и делает честные новости. Я подписана на несколько подобных рассылок. И вот, оказывается, что делает с ними Яндекс-почта».

Собеседница считает, что это не могло произойти случайно, и отмечает, что в последние недели в папке «Входящие» не появляются письма от изданий, «которые не подчиняются государственной цензуре». По ее словам, рассылка должна приходить часто, поэтому она предположила, что «Яндекс» их «просто удалил».

Компания не первый раз пытается скрыть информацию, с которой не согласны российские власти. 1 марта бывший руководитель «Яндекс.Новостей» Лев Гершензон обвинил сервис «Яндекс.Новости» в замалчивании войны в Украине.

«Сегодня шестой день, когда на главной странице „Яндекса“ минимум 30 миллионов российских пользователей видят, что никакой войны нет, тысяч погибших российских солдат нет, десятков погибших под российскими бомбежками мирных жителей нет, нет десятков пленных, нет огромных разрушений в разных украинских городах. То, что значительная часть населения России может считать, что войны нет, является основой и движущей силой этой войны. „Яндекс“ сегодня — ключевой элемент в сокрытии информации о войне. Каждый день и час таких „новостей“ — это человеческие жизни. И вы, мои бывшие коллеги, за это тоже отвечаете».

При этом компания решила избавиться от «Яндекс.Новостей» и «Дзена», покупатель нашелся в лице VK, гендиректором которой в 2021 году был назначен сын замглавы Администрации президента Владимир Кириенко. Еще в 2016 году «Яндекс» отказался от работы со СМИ, у которых не было лицензии Роскомнадзора, писала «Медуза». В итоге сейчас в топе «Яндекса» остались только провластные СМИ.

Одним — реклама, другим — запреты

После начала войны Роскомнадзор потребовал от российских СМИ использовать при освещении вторжения в Украину только формулировку «специальная операция». С 24 февраля в России были заблокированы The Insider, «Радио Свобода», «Настоящее Время», «Крым.Реалии», «Голос Америки», New Times, «Тайга.инфо», DOXA, «Эхо Москвы», «Дождь», «Медуза», Русская служба Би-Би-Си, Deutsche Welle и другие. Телеканал «Дождь», радио «Эхо Москвы» и томское агентство ТВ2 приняли решение прекратить работу. В большинстве случаев инициатором блокировки была Генеральная прокуратура России. Также Роскомнадзор заблокировал социальные сети Facebook, Twitter и Instagram. А суд признал экстремистской деятельность американской корпорации Meta и запретил ее в России.