Türk Telekom ersetzt Downloads häufig genutzter Programme durch Spyware

Türk Telekom ersetzt Downloads häufig genutzter Programme durch Spyware

Der türkischer Provider Türk Telekom schleust Spyware in Downloads von Programmen, wie Avast Antivirus, CCleaner, dem VLC Player, Opera Browser, WinRAR, 7-Zip und Skype ein. Das an der Universität Toronto ansässige Citizen Lab fand anhand von Untersuchungen heraus, dass im Netz von Türk Telekom spezielle Systeme für die sogenannte Deep Packet Inspection (DPI) eingesetzt wurden, mit deren Hilfe Internetzugriffe einiger hundert Nutzer aus der Türkei und Syrien umgeleitet wurden. Dies geschah immer dann, wenn die betroffenen Kunden versuchten, bestimmte, häufig genutzte Programme für Windows herunterzuladen.

Durch den größten türkischen Internetprovider wurden in einer Vielzahl von Fällen Download-Anfragen seiner Kunden so verändert, dass diese statt legitimer, ungefährlicher Software, Spyware, wie die auch als “Staatstrojaner” bezeichnete Spyware des US-Herstellers FinFisher und später dann auch ein anderes Spyware-Programm, namens StrongPity, erhielten. Die Infizierung war möglich, weil die Software-Anbieter auf ihren Seiten die Transportverschlüsselung via HTTPS unzureichend umgesetzt hatten. Demzufolge konnten Downloadanfragen der Spitzelopfer umgeleitet werden, um Geräte zu infizieren.

Laut Angaben von Citizen Lab wären jedoch nicht alle Kunden von Türk Telecom mit Spyware-Downloads versorgt wurden, sondern es wurde gezielt versucht, Spyware an ganz bestimmte Nutzer zu verteilen. Citizen Lab identifizierte 259 IP-Adressen, bei denen Downloads über DPI-Middleboxes manipuliert wurden. Die Namen der Router, die die Kunden eingerichtet haben, lassen darauf schließen, dass es sich bei den Zielen um Mitglieder der kurdischen Miliz sowie User in Syrien gehandelt habe. Internet-Reseller beziehen den Internetzugang über die Türk Telekom und stellen im syrischen Grenzbereich WLAN-Sendestationen auf, über die wiederum deren Kunden online gehen können.

Zudem erfolgte durch die Middleboxes im Netz von Türk Telecom auch eine Manipulation bestimmter Downloads des von dem US-Medienhaus CNET betriebenen Portals Download.com, bei der ebenfalls Spyware-infizierte Versionen bestimmter Programme verbreitet wurden. Die genutzten DPI-Middleboxes stammen von der US-Firma Sandvine. Die Geräte werden unter dem Namen PacketLogic vertrieben und wurden in fünf Regionen der Türkei eingesetzt. Sie sind in der Lage, den Inhalte unverschlüsselter Kommunikation über das Internet zu analysieren sowie auch den Inhalt selbst zu verändern.

Wie Citizen Lab schlussfolgert, würde Türk Telecom nicht selbst als Drahtzieher hinter dem Spyware-Downloads stecken, denn die gleichen Middlebox-Systeme zur Deep Packet Inspection werden ihren Nachforschungen zufolge auch dann eingesetzt, um den Zugriff auf bestimmte Internetseiten zu unterbinden. Dies betrifft unter anderem die Websites der PKK und Wikipedia. Die Sicherheitsforscher nehmen an, dass die türkische Regierung in den Fall verwickelt ist, wenngleich sie keine konkreten Beweise dafür gefunden haben. Jedoch ist FinFisher-Spyware zu relativ hohen Preisen nur direkt vom Hersteller zu erwerben und wird somit fast ausschließlich von staatlichen Behörden gekauft und eingesetzt.

Das Fazit ist hier, dass ein allumfassender Wechsel von HTTP zu HTTPS unabdingbar ist, besonders auch beim Weiterleiten auf Download-Seiten. Derart verschlüsselter und signierter Traffic sperrt Man in the Middle aus. Einige der betroffenen Anbieter haben die Probleme inzwischen behoben, nachdem sie bekannt wurden.

Bildquelle: Clker-Free-Vector-Images, thx! (CC0 Public Domain)

Related Post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.