Türk Telekom ağında kullanılan internetteki gözetim araçlarından 'derin veri analizi cihazları'nın, Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan program yüklemek isteyen kullanıcıları casus yazılımlara yönlendirdiği iddia edildi.
Toronto Üniversitesi'ne bağlı The Citizen Lab tarafından hazırlanan rapor, Türkiye ve Mısır'da kullanılan Sandvine/Procera Networks Derin Veri Analizi (DPI) cihazlarının (middleboxların) muhtemelen devletler ya da internet hizmet sağlayıcılar (ISP) tarafından kötücül ya da başka amaçlar için kullanıldığını ortaya çıkardı.
Raporda belirtilene göre ayrıca download.comdan indirilen bir cok yazılıma da Türk Telekom tarafından müdahele edildi. Bununla birlikte tüm internet kullanıcılarının bu durumdan etkilendiğine dair kesin bir bilgi yok.
Rapora göre, Türk Telekom ağındaki bir dizi middlebox, program indirmeye çalışan yüzlerce kullanıcıyı, bu programların casus yazılımla paketlenmiş versiyonlarına yönlendiriyor.
Operatörler tarafından programla aynı pakete konulan casus yazılımın StrongPity APT saldırılarında kullanılana çok benzediği görüldü. Türkiye’deki operatörlerin StrongPity casus yazılımına geçmeden önce, sadece devlet kuruluşlarına satılan FinFisher casus yazılımı kullandığına dair haberler çıkmıştı.
Casus yazılımlara yönlendirme nasıl oluyor?
Bill Marczak, Jakub Dalek, Sarah McKune, Adam Senft, John Scott-Railton ve Ron Deibert'ten oluşan The Citizen Lab ekibi, Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan Windows uygulamaları indiren Türkiye ve Suriye’deki kullanıcıların, HTTP yönlendirmesi enjeksiyonu ile casus yazılıma yöneltildiklerini tespit etti. Bu programların resmi web siteleri güvenilir HTTPS bağlantıları desteklemelerine rağmen kullanıcıyı yönlendirdikleri indirme bağlantısı HTTPS olmadığı için casus yazılıma yöneltme mümkün olabiliyor.
Suriye sınırına yakın şehirler hedefte
Kullanıcılar, CBS Interactive’in download.com sitesinden (CNET tarafından sağlanan bir yazılım indirme platformu) çeşitli uygulamalar indirdiklerinde casus yazılım içeren versiyonlarını alıyorlar. Download.com, “güvenli indirme” bağlantıları sağlıyormuş gibi görünse de HTTPS desteklemiyor.
Türkiye alanında yapılan taramalar, bu casus yazılım enjeksiyonunun Ankara, Adana, Antep, Hatay ve Diyarbakır'ın aralarında olduğu en az beş şehirde kullanıldığını gösterdi. Türkiye’deki hedeflere ek olarak, Türk Telekom abonelerinin sınırın diğer tarafına yansıttığı wi-fi bağlantıları üzerinden, bazen düzinelercesi tek IP adresini paylaşarak internet kullanan Suriyeli kullanıcılar da hedef olmuş durumda. İncelenen bir vakada, Suriye'de hedef alınan en az iki IP adresinin YPG’li kullanıcılara servis sağladığı öne sürüldü.