В сентябре этого года в прессе появилась первая информация о том, что агенты британской внешней разведки GCHQ взломали бельгийского интернет-провайдера Belgacom и провели таргетированную атаку на отдельных пользователей. В документах сообщалось, что для перехвата паролей спецслужбы создали фальшивые версии некоторых сайтов.
Вчера немецкое издание Der Spiegel опубликовало новые подробности этой истории. Стало известно, какие конкретно веб-сайты использовались в операции: социальная сеть для поиска работы LinkedIn и популярный компьютерный форум Slashdot.
Кроме того, стали известны некоторые технические детали. Внедрение GCHQ осуществлялось через крупную точку обмена трафиком GRX (Global Roaming Exchange). Компания Belgacom International Carrier Services (BICS) — один из нескольких операторов GRX в мире. Операция под названием Quantum Insert предполагала использование скрытых серверов на уровне бэкбона, которые перехватывают запросы от пользователей в адрес конкретных сайтов — и отвечают на них раньше, чем настоящие сервера, для которых предназначены эти запросы. Технически, подобную атаку можно назвать MiTM с инъекцией пакетов.
Представители разведки GCHQ уже ответили на публикацию секретных документов. Они отказались от комментариев по поводу этой истории, но сказали, что «вся работа GCHQ осуществляется в строгом соответствии с законом».
