Türkei: Provider infiziert Downloads von VLC, 7-Zip & Co mit Spyware
Citizen Lab herausfand, wurden im Netz von Türk Telekom spezielle Systeme für die sogenannte Deep Packet Inspection (DPI) eingesetzt, mit deren Hilfe Internetzugriffe einiger hundert Nutzer aus der Türkei und Syrien umgeleitet wurden. Dies geschah immer dann, wenn die betroffenen Kunden versuchten, bestimmte, eigentlich ungefährliche Programme für Windows herunterzuladen.
Die DPI-Middleboxes stammen von der US-Firma Sandvine. Die unter dem Namen PacketLogic vertriebenen Geräte wurden in fünf Regionen der Türkei eingesetzt und sind in der Lage, den Inhalte unverschlüsselter Kommunikation über das Internet genau zu analysieren und sogar den Inhalt selbst zu verändern.
Darüber hinaus soll durch die Middleboxes im Netz von Türk Telecom auch eine Manipulation bestimmter Downloads des von dem US-Medienhaus CNET betriebenen Portals Download.com stattgefunden haben, bei der ebenfalls Spyware-infizierte Versionen bestimmter Programme verbreitet wurden.
Pikant ist das Ganze vor allem deshalb, weil keineswegs alle Kunden von Türk Telecom mit Spyware-Downloads versorgt wurden. Stattdessen wurde offenbar gezielt versucht, Spyware an ganz bestimmte Nutzer zu verteilen. So identifizierte das Citizen Lab 259 IP-Adressen, bei denen Downloads gezielt über die Middleboxes manipuliert wurden. Einige der betroffenen Nutzer befinden sich angeblich in Syrien und nutzen WLAN-Richtfunk-Verbindungen von Türk Telecom-Kunden, um Zugriff auf das Internet zu erhalten.
Hinzu kommt, dass die FinFisher-Spyware normalerweise nur zu hohen Preisen direkt vom Hersteller zu erwerben ist und somit fast ausschließlich von staatlichen Behörden gekauft und eingesetzt wird. Die Sicherheitsexperten nehmen daher an, dass die türkische Regierung in den Fall verwickelt ist, konnte aber bisher keine eindeutigen Belege dafür finden.
Der Sicherheitsdienstleister ESET war offenbar bereits im letzten Jahr auf die Spyware-Attacken per Middlebox aufmerksam geworden. Das Unternehmen berichtete jeweils im September und Dezember 2017, dass ein ISP die Downloads bestimmter Nutzer mit Spyware infizierte - nannte damals aber weder den Namen des Landes noch des Zugangsanbieters.
Wie das an der Universität Toronto ansässige Die DPI-Middleboxes stammen von der US-Firma Sandvine. Die unter dem Namen PacketLogic vertriebenen Geräte wurden in fünf Regionen der Türkei eingesetzt und sind in der Lage, den Inhalte unverschlüsselter Kommunikation über das Internet genau zu analysieren und sogar den Inhalt selbst zu verändern.
Downloads von Avast, CCleaner, VLC, Opera und 7-Zip betroffen
Statt der regulären Versionen einiger Windows-Tools, darunter Avast Antivirus, CCleaner, der VLC Player, Opera Browser und 7-Zip, erhielten die betroffenen Anwender Dateien, die mit der auch als "Staatstrojaner" bezeichneten Spyware des US-Herstellers FinFisher infiziert waren. Später wurde statt der FinFisher-Payload ein anderes Spyware-Programm namens StrongPity auf diesem Weg auf die Rechner der betroffenen Nutzer gebracht.Darüber hinaus soll durch die Middleboxes im Netz von Türk Telecom auch eine Manipulation bestimmter Downloads des von dem US-Medienhaus CNET betriebenen Portals Download.com stattgefunden haben, bei der ebenfalls Spyware-infizierte Versionen bestimmter Programme verbreitet wurden.
Pikant ist das Ganze vor allem deshalb, weil keineswegs alle Kunden von Türk Telecom mit Spyware-Downloads versorgt wurden. Stattdessen wurde offenbar gezielt versucht, Spyware an ganz bestimmte Nutzer zu verteilen. So identifizierte das Citizen Lab 259 IP-Adressen, bei denen Downloads gezielt über die Middleboxes manipuliert wurden. Einige der betroffenen Nutzer befinden sich angeblich in Syrien und nutzen WLAN-Richtfunk-Verbindungen von Türk Telecom-Kunden, um Zugriff auf das Internet zu erhalten.
Staatliche Organe als Hintermänner im Verdacht
Die Sicherheitsexperten aus Kanada gehen davon aus, dass in diesem Fall nicht etwa Türk Telecom selbst hinter den Spyware-Downloads steckt. Die gleichen Middlebox-Systeme zur Deep Packet Inspection werden ihren Nachforschungen zufolge auch eingesetzt, um den Zugriff auf bestimmte Internetseiten zu unterbinden. Dies betrifft unter anderem die Websites der PKK und die Wikipedia.Hinzu kommt, dass die FinFisher-Spyware normalerweise nur zu hohen Preisen direkt vom Hersteller zu erwerben ist und somit fast ausschließlich von staatlichen Behörden gekauft und eingesetzt wird. Die Sicherheitsexperten nehmen daher an, dass die türkische Regierung in den Fall verwickelt ist, konnte aber bisher keine eindeutigen Belege dafür finden.
Der Sicherheitsdienstleister ESET war offenbar bereits im letzten Jahr auf die Spyware-Attacken per Middlebox aufmerksam geworden. Das Unternehmen berichtete jeweils im September und Dezember 2017, dass ein ISP die Downloads bestimmter Nutzer mit Spyware infizierte - nannte damals aber weder den Namen des Landes noch des Zugangsanbieters.
Egypt Telecom macht das Gleiche - verteilt aber Krypto-Miner
Einen ähnlichen Fall gibt es offenbar auch in Ägypten. Dort wurden im Netz des größten Providers Telecom Egypt, der sich noch immer in staatlichem Besitz befindet, nicht nur die Websites der Human Rights Watch, Reporter Ohne Grenzen, Al Jazeera und der Huffington Post geblockt, sondern entsprechende Anfragen auf mit Werbung verseuchte Internetseiten umgeleitet. Außerdem injizierte der Provider offenbar Krypto-Mining-Tools in den Internet-Traffic - wohl um so neben der Zensur auch noch zusätzliche Einnahmen zu erzielen.
Thema:
Beliebte Opera-Downloads
Neue Opera-Bilder
Neue Opera-Videos
- Opera Touch: Neuer mobiler Browser punktet mit Einhand-Bedienung
- Neue "Reborn"-Version: Opera integriert Messenger in den Browser
- Opera Neon: So funktioniert der neue Browser in der Praxis
- Opera Neon vorgestellt: Der Webbrowser der Zukunft?
- Meiner hält länger als deiner: Edge ist effektiver als Chrome
Beiträge aus dem Forum
Interessante Links
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- FritzBox wird heute 20 Jahre: Geschichte von 8 MBit/s bis 10 GBit/s
- Microsoft kündigt zweites Event an: Surface mit KI & ARM-CPUs kommt
- Es werde Licht: Forscher wollen einige der ersten Sterne entdeckt haben
- PS5 Pro mit Power-Modus für CPU: Details zur stärkeren PlayStation 5
- Spieler live gehackt: Turnier gestoppt, Gerüchte kursieren, EA schweigt
- Letzte Chance: Garmin-Smartwatches zum Bestpreis bei Media Markt
Videos
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
Neu: Mozilla Firefox 124.0 freigegeben: die neueste Version steht zum
el_pelajo - Gestern 15:22 Uhr -
WSA Abschaltung
Stef4n - Vorgestern 23:17 Uhr -
Mein Favoriten-Browser
Stef4n - Vorgestern 23:01 Uhr -
Offic 365 Single auf neuen Nutzer des PC übertragen
quickclick - Vorgestern 14:13 Uhr -
Der Ingame Screenshot Thread
MiezMau - 16.03. 23:19 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen