'Türk Telekom, kullanıcıları casus yazılımlara yönlendiriyor'

Türk Telekom ağında kullanılan derin veri analizi cihazlarının, program yüklemek isteyen kullanıcıları casus yazılımlara yönlendirdiği ortaya çıktı.



10-03-2018 18:59

The Citizen Lab tarafından hazırlanan rapora göre, Türk Telekom ağındaki bir dizi middlebox, program indirmeye çalışan yüzlerce kullanıcıyı, bu programların casus yazılımla paketlenmiş versiyonlarına yönlendiriyor. Operatörler tarafından programla aynı pakete konulan casus yazılımın StrongPity APT saldırılarında kullanılana çok benzediği görüldü. Türkiye’deki operatörlerin StrongPity casus yazılımına geçmeden önce, sadece devlet kuruluşlarına satılan FinFisher casus yazılımı kullandığına dair haberler çıkmıştı.

YAZILIMLARA YÖNLENDİRME NASIL OLUYOR?

Bill Marczak, Jakub Dalek, Sarah McKune, Adam Senft, John Scott-Railton ve Ron Deibert'ten oluşan The Citizen Lab ekibi, Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan Windows uygulamaları indiren Türkiye ve Suriye’deki kullanıcıların, HTTP yönlendirmesi enjeksiyonu ile casus yazılıma yöneltildiklerini tespit etti. Bu programların resmi web siteleri güvenilir HTTPS bağlantıları desteklemelerine rağmen kullanıcıyı yönlendirdikleri indirme bağlantısı HTTPS olmadığı için casus yazılıma yöneltme mümkün olabiliyor.

SURİYE'YE YAKIN ŞEHİRLER HEDEFTE

Kullanıcılar, CBS Interactive’in download.com sitesinden (CNET tarafından sağlanan bir yazılım indirme platformu) çeşitli uygulamalar indirdiklerinde casus yazılım içeren versiyonlarını alıyorlar. Download.com, “güvenli indirme” bağlantıları sağlıyormuş gibi görünse de HTTPS desteklemiyor.

Türkiye alanında yapılan taramalar, bu casus yazılım enjeksiyonunun Ankara, Adana, Antep, Hatay ve Diyarbakır'ın aralarında olduğu en az beş şehirde kullanıldığını gösterdi. Türkiye’deki hedeflere ek olarak, Türk Telekom abonelerinin sınırın diğer tarafına yansıttığı wi-fi bağlantıları üzerinden, bazen düzinelercesi tek IP adresini paylaşarak internet kullanan Suriyeli kullanıcılar da hedef olmuş durumda. İncelenen bir vakada, Suriye'de hedef alınan en az iki IP adresinin YPG’li kullanıcılara servis sağladığı belirlendi.