Исследователи зафиксировали странное поведение NordVPN

Исследователи безопасности и пользователи всерьез обеспокоены странным поведением NordVPN, которое разработчики приложения не могут толком объяснить. Как оказалось, NordVPN подключается к странным доменам подобно тому, как скомпрометированные системы подключаются к C&C-серверам ботнетов.

О том, что происходит что-то неладное, первым сообщил читатель сетевого издания The Register по имени Дэн (Dan). Установленные в его офисной сети решения безопасности вдруг начали выдавать предупреждения о подозрительном трафике с ноутбука одного из посетителей. Как показал анализ записей журнала, устройство подключалось к нескольким «мусорным» доменам.

Странный трафик также был обнаружен исследователем безопасности Райаном Нимесом (Ryan Niemes). Однако Нимес выявил еще одну вещь – у подозрительных доменов отсутствовал владелец. Исследователь купил их и запустил EC2 с целью выяснить, что же на самом деле происходит. Запустив команду netstat, он увидел подключение к порту 443. «Я зарегистрировал сертификат Letsencrypt и стал наблюдать за появлением записей в журнале», – сообщил Нимес.

Исследователь в частном порядке уведомил разработчиков NordVPN о своей находке, и в качестве благодарности получил три года бесплатной подписки. Разработчики пообещали исправить проблему, однако после выхода обновлений подозрительные подключения никуда не делись. Нимес установил обновленную версию NordVPN для тестирования и обнаружил входящие подключения, устанавливаемые клиентами с «NordVPN» в строках user-agent.

Исследователь обнаружил внутри HTTPS-трафика запросы API уже к другим доменам. «Обнаруженные мною POST-запросы вызывают опасения, так как поле renewtoken является уникальным», — заметил Нимес. По его словам, строка user-agent и запросы раскрывали версию приложения, сборку ОС хоста и адрес IPv4 пользователя.

Как заявляют в NordVPN, подключение к странным доменам является частью механизма для обхода блокировок.

Источник: Securitylab