Türkei: Provider infiziert Downloads von VLC, 7-Zip & Co mit Spyware

Der größte türkische Internet-Provider hat offenbar in einer Vielzahl von Fällen Download-Anfragen seiner Kunden so verändert, dass sie statt legitimer, ungefährlicher Software mit Malware infizierte Dateien erhielten. Es ist das erste Mal, dass ein solcher Fall nachgewiesen werden konnte. Die Gründe für das Vorgehen sind noch unklar. Wie das an der Universität Toronto ansässige Citizen Lab herausfand, wurden im Netz von Türk Telekom spezielle Systeme für die sogenannte Deep Packet Inspection (DPI) eingesetzt, mit deren Hilfe Internetzugriffe einiger hundert Nutzer aus der Türkei und Syrien umgeleitet wurden. Dies geschah immer dann, wenn die betroffenen Kunden versuchten, bestimmte, eigentlich ungefährliche Programme für Windows herunterzuladen.

Die DPI-Middleboxes stammen von der US-Firma Sandvine. Die unter dem Namen PacketLogic vertriebenen Geräte wurden in fünf Regionen der Türkei eingesetzt und sind in der Lage, den Inhalte unverschlüsselter Kommunikation über das Internet genau zu analysieren und sogar den Inhalt selbst zu verändern.

Downloads von Avast, CCleaner, VLC, Opera und 7-Zip betroffen

Statt der regulären Versionen einiger Windows-Tools, darunter Avast Antivirus, CCleaner, der VLC Player, Opera Browser und 7-Zip, erhielten die betroffenen Anwender Dateien, die mit der auch als "Staatstrojaner" bezeichneten Spyware des US-Herstellers FinFisher infiziert waren. Später wurde statt der FinFisher-Payload ein anderes Spyware-Programm namens StrongPity auf diesem Weg auf die Rechner der betroffenen Nutzer gebracht.

Darüber hinaus soll durch die Middleboxes im Netz von Türk Telecom auch eine Manipulation bestimmter Downloads des von dem US-Medienhaus CNET betriebenen Portals Download.com stattgefunden haben, bei der ebenfalls Spyware-infizierte Versionen bestimmter Programme verbreitet wurden.

Pikant ist das Ganze vor allem deshalb, weil keineswegs alle Kunden von Türk Telecom mit Spyware-Downloads versorgt wurden. Stattdessen wurde offenbar gezielt versucht, Spyware an ganz bestimmte Nutzer zu verteilen. So identifizierte das Citizen Lab 259 IP-Adressen, bei denen Downloads gezielt über die Middleboxes manipuliert wurden. Einige der betroffenen Nutzer befinden sich angeblich in Syrien und nutzen WLAN-Richtfunk-Verbindungen von Türk Telecom-Kunden, um Zugriff auf das Internet zu erhalten.

Staatliche Organe als Hintermänner im Verdacht

Die Sicherheitsexperten aus Kanada gehen davon aus, dass in diesem Fall nicht etwa Türk Telecom selbst hinter den Spyware-Downloads steckt. Die gleichen Middlebox-Systeme zur Deep Packet Inspection werden ihren Nachforschungen zufolge auch eingesetzt, um den Zugriff auf bestimmte Internetseiten zu unterbinden. Dies betrifft unter anderem die Websites der PKK und die Wikipedia.

Hinzu kommt, dass die FinFisher-Spyware normalerweise nur zu hohen Preisen direkt vom Hersteller zu erwerben ist und somit fast ausschließlich von staatlichen Behörden gekauft und eingesetzt wird. Die Sicherheitsexperten nehmen daher an, dass die türkische Regierung in den Fall verwickelt ist, konnte aber bisher keine eindeutigen Belege dafür finden.

Der Sicherheitsdienstleister ESET war offenbar bereits im letzten Jahr auf die Spyware-Attacken per Middlebox aufmerksam geworden. Das Unternehmen berichtete jeweils im September und Dezember 2017, dass ein ISP die Downloads bestimmter Nutzer mit Spyware infizierte - nannte damals aber weder den Namen des Landes noch des Zugangsanbieters.

Egypt Telecom macht das Gleiche - verteilt aber Krypto-Miner

Einen ähnlichen Fall gibt es offenbar auch in Ägypten. Dort wurden im Netz des größten Providers Telecom Egypt, der sich noch immer in staatlichem Besitz befindet, nicht nur die Websites der Human Rights Watch, Reporter Ohne Grenzen, Al Jazeera und der Huffington Post geblockt, sondern entsprechende Anfragen auf mit Werbung verseuchte Internetseiten umgeleitet. Außerdem injizierte der Provider offenbar Krypto-Mining-Tools in den Internet-Traffic - wohl um so neben der Zensur auch noch zusätzliche Einnahmen zu erzielen.