Netzpolitik 11.03.2018

Türkischer Provider schleust Spyware in Downloads ein

Ein Förderprogramm, damit die heimischen KMUs den Anschluss nicht verpassen © Bild: ap/Jon Elswick

Türk Telekom hat Skype, Opera und VLC beim Download durch Versionen mit Spyware ersetzt.

The Citizen Lab hat einen Cyberangriff untersucht, der im vergangenen Jahr aufgedeckt wurde. Dabei wurde herausgefunden, dass der türkische Internetanbieter Türk Telekom seinen Kunden gezielt Spyware untergejubelt hat.

Im Netz von Türk Telekom wurden Tools für Deep Packet Inspection gefunden. Mit diesen wurden Schwachstellen in den https-Websites verschiedener Anbieter genutzt. Die User glaubten reguläre Versionen von bekannten Windows-Programmen herunterzuladen, wie Skype, Opera, VLC und WinRAR. Ohne ihr Wissen wurden sie aber zum Download von Versionen dieser Programme umgeleitet, die Spyware enthielten.

Schlechter Schutz

Möglich wurde dies durch die mangelnde Umsetzung von https. Bei Opera konnte etwa die normale http-Website aufgerufen werden, ohne, dass man auf die gesicherte https-Website umgeleitet wurde. Bei Ccleaner ist zwar die Website https gesichert, nicht aber der Download der Software. Bei mehreren Programmen wurden User zudem auf die ungesicherte Download-Website Download.com verwiesen.

The Citizen Lab geht davon aus, dass die User, denen die Spyware untergejubelt wurde, gezielt ausgewählt wurden. Sie konnten über 200 betroffene IP-Adressen identifizieren, gehen aber davon aus, dass es noch weit mehr sein können. Aufgrund der Namen der Router, die die Kunden eingerichtet haben, dürfte es sich bei den Zielen um Mitglieder der kurdischen Miliz sowie User in Syrien handeln. Internet-Reseller beziehen den Internetzugang über die Türk Telekom und stellen im syrischen Grenzbereich WLAN-Sendestationen auf, über die wiederum deren Kunden online gehen können.

Auch in Ägypten

Bei der Untersuchung wurde festgestellt, dass in Ägypten dieselbe Technik zum Einsatz kommt. Dort wird sie allerdings nicht für Spionage, sondern zum Geldbeschaffen genutzt. User werden ohne ihr Wissen auf Websites mit Werbung umgeleitet oder auf infizierte Websites, die im Hintergrund unbemerkt nach Kryptowährungen schürfen.

Die Tools für die Angriffe in der Türkei und in Ägypten werden von einem kanadischen Unternehmen hergestellt. Andere Tools des Unternehmens sollen in der Türkei und Ägypten genutzt worden sein, um Zugang zu journalistischen, politischen oder Menschenrechtsinhalten zu blockieren. Laut The Citizen Lab dürften die Regierungen der beiden Länder so gute Kunden sein, dass Mitarbeiter des kanadischen Unternehmens vor Ort sind.

( Redaktion ) Erstellt am 11.03.2018