Все началось с того, что пользователь обнаружил попытки подключения к порту 5900, который обычно использует протокол RFB, предназначенный для удаленного доступа к рабочему столу. "Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или еще что-то похуже. Конечно же, меня пробил холодный пот, и я пошел искать данного вредителя. Быстрый анализ показал, что долбежка идет каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает", – написал force.
Проведя некоторые изыскания, пользователь установил, что к порту пытался подключиться браузер Firefox, а вскоре выяснилось, что запросы осуществлялись с открытой вкладки личного кабинета "Ростелекома". Всего же сайт сканировал по меньшей мере 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.
По версии force такая активность может объясняться либо взломом кабинета (злоумышленники пытаются заразить компьютер вирусами), либо действиями самого провайдера, который собирает данные о пользователе или же сам пытается причинить абоненту вред. Код скрипта, найденного force на сайте оператора, был обфусцирован (намеренно запутан, чтобы усложнить изучение). В комментариях на "Хабре" отметили, что скрипт разработан компанией Group-IB, которая специализируется на противодействии кибератакам.
В Group-IB не стали комментировать публикацию пользователя, посоветовав обратиться в "Ростелеком". В Пресс-службе оператора TJ сообщили, что скрипт на сайте используется для предотвращения онлайн-мошенничества.
"Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя", – заявили в "Ростелекоме", отметив, что сканирование портов является одним из способов борьбы с мошенничеством: на основании анализа система оценивает угрозы учетной записи абонента.
Внедрение скрипта в компании объяснили участившимися попытками махинаций с лицевыми счетами абонентов и бонусными программами компании.