Honderden Turkse en Syrische internetgebruikers zijn het doelwit van een man-in-the-middle-aanval geworden waarbij downloads door hun provider van overheidsspyware werden voorzien, zo stelt het Canadese CitizenLab, onderdeel van de universiteit van Toronto.
Via deep packet inspection (DPI) middleboxes op het netwerk van telecomprovider Türk Telekom werden de gebruikers bij het downloaden van populaire Windows-applicaties, zoals Avast Antivirus, CCleaner, Opera en 7-Zip, middels http-redirects stilletjes doorgestuurd naar een besmette versie. De redirects waren mogelijk omdat de officiële websites van deze programma's, ook al ondersteunen ze https, gebruikers standaard naar http-downloads doorsturen.
Ook internetgebruikers in Turkije en Syrië die software via Download.com wilden downloaden werden naar versies met spyware doorgestuurd. Download.com lijkt geen https te ondersteunen, ook al claimt het "secure download" links aan te bieden.
Volgens de onderzoekers werd de spyware in minstens vijf provincies geïnjecteerd. Naast doelen in Turkije ging het soms ook om gebruikers die zich fysiek in Syrië bevonden en van internetdiensten gebruikmaakten die via Türk Telekom-abonnees in Syrie beschikbaar werden gemaakt, bijvoorbeeld via wifi-netwerken. In één geval bleken meer dan honderd Syrische gebruikers één Turks ip-adres te delen.
De spyware in de besmette downloads was gelijk aan die in de StrogPity-aanvallen werd gebruikt. Anti-virusbedrijf ESET schreef vorig jaar al over deze spyware die door een provider in een niet genoemd land aan downloads werd toegevoegd. Voordat de operators achter de Turkse injectie-aanvallen op de StrongPity-spyware overstapten maakten ze gebruik van FinFisher. Spyware die alleen aan overheden wordt verkocht, zo verklaart de ontwikkelaar.
Volgens de onderzoekers laat het onderzoek zien dat https overal op internet gebruikt moet worden. Het niet versleutelen van webverkeer maakt gebruikers kwetsbaar voor netwerk-injectietechnieken die ze blootstellen aan spyware, ongewenste advertenties en andere scams, zo merken ze op. "Websites die software-downloads aanbieden, waarvan sommige zich als "veilig" bestempelen, bedrijven en ontwikkelaars die voor deze platformen verantwoordelijk zijn moeten voor het juist gebruik van encryptie zorgen."
Daarnaast pleiten ze voor meer toezicht op het exporteren van zogeheten "dual use" goederen. Het gaat dan om goederen die voor zowel goede als slechte zaken kunnen worden ingezet. Internetproviders kunnen DPI-systemen op allerlei manieren gebruiken. "Afhankelijk van hoe DPI-systemen zijn geconfigureerd kunnen ze een ernstig risico voor mensenrechten vormen, zoals het censureren van content of erger, het stilletjes infecteren van gebruikers met malware, en zonder dat gebruikers dit doorhebben", aldus de onderzoekers, die een uitgebreid overzicht van domeinen en hashes hebben gepubliceerd zodat gebruikers kunnen zien of ze met de spyware besmet zijn geraakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.