'Türk Telekom kullanıcıları casus yazılımlara yönlendiriyor'
Türk Telekom ağında kullanılan derin veri analizi cihazlarının, program yüklemek isteyen kullanıcıları casus yazılımlara yönlendirdiği ortaya çıktı.
The Citizen Lab tarafından hazırlanan rapor, Türkiye ve Mısır'da kullanılan Sandvine/Procera Networks Derin Veri Analizi (DPI) cihazlarının (middleboxların) muhtemelen devletler ya da internet hizmet sağlayıcılar (ISP) tarafından kötücül ya da şaibeli amaçlar için kullanıldığını ortaya çıkardı.
Rapora göre, Türk Telekom ağındaki bir dizi middlebox, program indirmeye çalışan yüzlerce kullanıcıyı, bu programların casus yazılımla paketlenmiş versiyonlarına yönlendiriyor. Operatörler tarafından programla aynı pakete konulan casus yazılımın StrongPity APT saldırılarında kullanılana çok benzediği görüldü. Türkiye’deki operatörlerin StrongPity casus yazılımına geçmeden önce, sadece devlet kuruluşlarına satılan FinFisher casus yazılımı kullandığına dair haberler çıkmıştı.
CASUS YAZILIMLARA YÖNLENDİRME NASIL OLUYOR?
Bill Marczak, Jakub Dalek, Sarah McKune, Adam Senft, John Scott-Railton ve Ron Deibert'ten oluşan The Citizen Lab ekibi, Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan Windows uygulamaları indiren Türkiye ve Suriye’deki kullanıcıların, HTTP yönlendirmesi enjeksiyonu ile casus yazılıma yöneltildiklerini tespit etti. Bu programların resmi web siteleri güvenilir HTTPS bağlantıları desteklemelerine rağmen kullanıcıyı yönlendirdikleri indirme bağlantısı HTTPS olmadığı için casus yazılıma yöneltme mümkün olabiliyor.
SURİYE SINIRINA YAKIN ŞEHİRLER HEDEFTE
Kullanıcılar, CBS Interactive’in download.com sitesinden (CNET tarafından sağlanan bir yazılım indirme platformu) çeşitli uygulamalar indirdiklerinde casus yazılım içeren versiyonlarını alıyorlar. Download.com, “güvenli indirme” bağlantıları sağlıyormuş gibi görünse de HTTPS desteklemiyor.
Türkiye alanında yapılan taramalar, bu casus yazılım enjeksiyonunun Ankara, Adana, Antep, Hatay ve Diyarbakır'ın aralarında olduğu en az beş şehirde kullanıldığını gösterdi. Türkiye’deki hedeflere ek olarak, Türk Telekom abonelerinin sınırın diğer tarafına yansıttığı wi-fi bağlantıları üzerinden, bazen düzinelercesi tek IP adresini paylaşarak internet kullanan Suriyeli kullanıcılar da hedef olmuş durumda. İncelenen bir vakada, Suriye'de hedef alınan en az iki IP adresinin YPG’li kullanıcılara servis sağladığı belirlendi.
Raporun tam metnine buradan ulaşabilirsiniz. (HABER MERKEZİ)
EVRENSEL EGE
Ege'den daha fazla haber, röportaj, mektup, analiz ve köşe yazısı...
