Исследователи кибербезопасности и рядовые пользователи оказались всерьез обеспокоены странным поведением NordVPN, которое сервис вдруг начал демонстрировать. Как оказалось, NordVPN подключается к странным доменам очень похоже на тот механизм, как скомпрометированные системы подключаются к C&C-серверам ботнетов.
О том, что происходит что-то неладное, первым сообщил читатель сетевого издания The Register по имени Дэн. Установленные в его офисной сети решения безопасности вдруг начали выдавать предупреждения о подозрительном трафике с ноутбука одного из посетителей. Дэн проанализировал записи журнала, и увидел, что устройство подключалось к нескольким «мусорным» доменам.
Странный трафик также был почти одновременно обнаружен исследователем безопасности Райаном Нимесом. Будучи профессионалом, тот сумел выявить еще одну странную вещь – у подозрительных доменов отсутствовал владелец. Исследователь купил их и запустил EC2 с целью выяснить, что же на самом деле происходит. Запустив команду netstat, он увидел подключение к порту 443. «Я зарегистрировал сертификат Letsencrypt и стал наблюдать за появлением записей в журнале», – сообщил Нимес.
Исследователь в частном порядке уведомил разработчиков NordVPN о своей находке, и в качестве благодарности получил три года бесплатной подписки. Разработчики пообещали исправить проблему, однако после выхода обновлений подозрительные подключения никуда не делись. Нимес установил обновленную версию NordVPN для тестирования и обнаружил входящие подключения, устанавливаемые клиентами с «NordVPN» в строках user-agent. Внутри HTTPS-трафика были запросы API уже к другим доменам.
Как заявляют разработчики NordVPN, подключение к странным доменам является «частью механизма для обхода блокировок» (дополнительных пояснений разработчики не предоставили).
АКБ напоминает, что в конце марта 2018 года Роскомнадзор впервые направил VPN-сервисам официальные требования подключиться к государственной информационной системе (ФГИС) для ограничения доступа к запрещенным сайтам. В «расстрельном списке» были упомянуты: NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. При этом Openvpn является не сервисом, а программой для создания VPN-сетей. У сервисов было 30 рабочих дней на выполнение требования Роскомнадзора.
VyprVPN и NordVPN сразу заявили, что не собираются выполнять требования РКН, а TorGuard вообще решил убрать сервера из России. Таким образом, странные телодвижения NordVPN как раз накануне истечения обозначенного Жаровым 30-дневного срока (на момент написания материала) могут оказаться тестированием какого-то нового способа обойти блокировку сервиса со стороны РКН.
