Türkei: Provider infiziert Downloads von VLC, 7-Zip & Co mit Spyware
Citizen Lab herausfand, wurden im Netz von Türk Telekom spezielle Systeme für die sogenannte Deep Packet Inspection (DPI) eingesetzt, mit deren Hilfe Internetzugriffe einiger hundert Nutzer aus der Türkei und Syrien umgeleitet wurden. Dies geschah immer dann, wenn die betroffenen Kunden versuchten, bestimmte, eigentlich ungefährliche Programme für Windows herunterzuladen.
Die DPI-Middleboxes stammen von der US-Firma Sandvine. Die unter dem Namen PacketLogic vertriebenen Geräte wurden in fünf Regionen der Türkei eingesetzt und sind in der Lage, den Inhalte unverschlüsselter Kommunikation über das Internet genau zu analysieren und sogar den Inhalt selbst zu verändern.
Darüber hinaus soll durch die Middleboxes im Netz von Türk Telecom auch eine Manipulation bestimmter Downloads des von dem US-Medienhaus CNET betriebenen Portals Download.com stattgefunden haben, bei der ebenfalls Spyware-infizierte Versionen bestimmter Programme verbreitet wurden.
Pikant ist das Ganze vor allem deshalb, weil keineswegs alle Kunden von Türk Telecom mit Spyware-Downloads versorgt wurden. Stattdessen wurde offenbar gezielt versucht, Spyware an ganz bestimmte Nutzer zu verteilen. So identifizierte das Citizen Lab 259 IP-Adressen, bei denen Downloads gezielt über die Middleboxes manipuliert wurden. Einige der betroffenen Nutzer befinden sich angeblich in Syrien und nutzen WLAN-Richtfunk-Verbindungen von Türk Telecom-Kunden, um Zugriff auf das Internet zu erhalten.
Hinzu kommt, dass die FinFisher-Spyware normalerweise nur zu hohen Preisen direkt vom Hersteller zu erwerben ist und somit fast ausschließlich von staatlichen Behörden gekauft und eingesetzt wird. Die Sicherheitsexperten nehmen daher an, dass die türkische Regierung in den Fall verwickelt ist, konnte aber bisher keine eindeutigen Belege dafür finden.
Der Sicherheitsdienstleister ESET war offenbar bereits im letzten Jahr auf die Spyware-Attacken per Middlebox aufmerksam geworden. Das Unternehmen berichtete jeweils im September und Dezember 2017, dass ein ISP die Downloads bestimmter Nutzer mit Spyware infizierte - nannte damals aber weder den Namen des Landes noch des Zugangsanbieters.
Wie das an der Universität Toronto ansässige Die DPI-Middleboxes stammen von der US-Firma Sandvine. Die unter dem Namen PacketLogic vertriebenen Geräte wurden in fünf Regionen der Türkei eingesetzt und sind in der Lage, den Inhalte unverschlüsselter Kommunikation über das Internet genau zu analysieren und sogar den Inhalt selbst zu verändern.
Downloads von Avast, CCleaner, VLC, Opera und 7-Zip betroffen
Statt der regulären Versionen einiger Windows-Tools, darunter Avast Antivirus, CCleaner, der VLC Player, Opera Browser und 7-Zip, erhielten die betroffenen Anwender Dateien, die mit der auch als "Staatstrojaner" bezeichneten Spyware des US-Herstellers FinFisher infiziert waren. Später wurde statt der FinFisher-Payload ein anderes Spyware-Programm namens StrongPity auf diesem Weg auf die Rechner der betroffenen Nutzer gebracht.Darüber hinaus soll durch die Middleboxes im Netz von Türk Telecom auch eine Manipulation bestimmter Downloads des von dem US-Medienhaus CNET betriebenen Portals Download.com stattgefunden haben, bei der ebenfalls Spyware-infizierte Versionen bestimmter Programme verbreitet wurden.
Pikant ist das Ganze vor allem deshalb, weil keineswegs alle Kunden von Türk Telecom mit Spyware-Downloads versorgt wurden. Stattdessen wurde offenbar gezielt versucht, Spyware an ganz bestimmte Nutzer zu verteilen. So identifizierte das Citizen Lab 259 IP-Adressen, bei denen Downloads gezielt über die Middleboxes manipuliert wurden. Einige der betroffenen Nutzer befinden sich angeblich in Syrien und nutzen WLAN-Richtfunk-Verbindungen von Türk Telecom-Kunden, um Zugriff auf das Internet zu erhalten.
Staatliche Organe als Hintermänner im Verdacht
Die Sicherheitsexperten aus Kanada gehen davon aus, dass in diesem Fall nicht etwa Türk Telecom selbst hinter den Spyware-Downloads steckt. Die gleichen Middlebox-Systeme zur Deep Packet Inspection werden ihren Nachforschungen zufolge auch eingesetzt, um den Zugriff auf bestimmte Internetseiten zu unterbinden. Dies betrifft unter anderem die Websites der PKK und die Wikipedia.Hinzu kommt, dass die FinFisher-Spyware normalerweise nur zu hohen Preisen direkt vom Hersteller zu erwerben ist und somit fast ausschließlich von staatlichen Behörden gekauft und eingesetzt wird. Die Sicherheitsexperten nehmen daher an, dass die türkische Regierung in den Fall verwickelt ist, konnte aber bisher keine eindeutigen Belege dafür finden.
Der Sicherheitsdienstleister ESET war offenbar bereits im letzten Jahr auf die Spyware-Attacken per Middlebox aufmerksam geworden. Das Unternehmen berichtete jeweils im September und Dezember 2017, dass ein ISP die Downloads bestimmter Nutzer mit Spyware infizierte - nannte damals aber weder den Namen des Landes noch des Zugangsanbieters.
Egypt Telecom macht das Gleiche - verteilt aber Krypto-Miner
Einen ähnlichen Fall gibt es offenbar auch in Ägypten. Dort wurden im Netz des größten Providers Telecom Egypt, der sich noch immer in staatlichem Besitz befindet, nicht nur die Websites der Human Rights Watch, Reporter Ohne Grenzen, Al Jazeera und der Huffington Post geblockt, sondern entsprechende Anfragen auf mit Werbung verseuchte Internetseiten umgeleitet. Außerdem injizierte der Provider offenbar Krypto-Mining-Tools in den Internet-Traffic - wohl um so neben der Zensur auch noch zusätzliche Einnahmen zu erzielen.
Thema:
Beliebte Opera-Downloads
Neue Opera-Bilder
Neue Opera-Videos
- Opera Touch: Neuer mobiler Browser punktet mit Einhand-Bedienung
- Neue "Reborn"-Version: Opera integriert Messenger in den Browser
- Opera Neon: So funktioniert der neue Browser in der Praxis
- Opera Neon vorgestellt: Der Webbrowser der Zukunft?
- Meiner hält länger als deiner: Edge ist effektiver als Chrome
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- iOS 17.4-Update bringt neue Ladegeschwindigkeit für iPhone 12-Familie
- Microsoft kündigt neue OneDrive-Funktionen für Microsoft 365 Basic an
- "Was ist neu": Microsoft Store-Update zeigt nun Changelog mit an
- New York erlaubt selbstfahrende Autos - solange sie nicht selbst fahren
- E-Mail-Betrugswarnung: Kunden dreier deutscher Banken betroffen
- Ukraine nutzt Mikrofon-Netzwerk, um Kamikaze-Drohnen aufzuspüren
Videos
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
10 oder 11?
Doodle - Gestern 19:22 Uhr -
Win 10 neu aufsetzen mit altem Key
Doodle - Gestern 13:02 Uhr -
Winfuture.de - Song Of The Day Pt. 4
Reteibeg - Gestern 12:03 Uhr -
marimo: open-source reactive notebook für Python (wie Jupyter NB)
el_pelajo - Gestern 11:37 Uhr -
Windows 11 Start Problem
Reteibeg - Gestern 11:34 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen