Opera, VLC, WinRAR, 7-Zip, Skype: Türkischer Provider ersetzt Downloads durch Spyware
Dank Deep Packet Inspection kann die Türk Telekom gezielt Downloadanfragen manipulieren und Internetnutzern Malware unterschieben. In Ägypten wird die Technik dagegen genutzt, damit Internetsurfer heimlich Kryptogeld minen.
(Bild: susanmoore1825)
Der türkische Provider Türk Telekom hat den Traffic Hunderter Internetnutzer heimlich umgeleitet und mit Spyware infiziert, wenn sie Software wie VLC, WinRar, Skype, 7-Zip, Opera oder CCleaner installieren wollten. Das hat das kanadische Citizen Lab herausgefunden und damit Erkenntnisse verifiziert und konkretisiert, die Antivirenforscher von ESET vergangenen Herbst öffentlich gemacht haben. Demnach haben die Sicherheitsforscher Technik zur Deep Packet Inspection im Netz von Türk Telekom gefunden. Weil Software-Anbieter auf ihren Seiten Transportverschlüsselung via HTTPS unzureichend umgesetzt hatten, konnten Downloadanfragen der Spitzelopfer dann umgeleitet werden, um Geräte zu infizieren.
Downloads über HTTP
Wie das Citizen Lab schreibt, waren die Seiten der Anbieter der betroffenen Software nicht vollständig über HTTPS gegen derartige Man-in-the-Middle-Angriffe abgesichert. So konnten Nutzer die Seite von Opera unverschlüsselt über HTTP aufrufen und wurden dann nicht auf HTTPS umgeleitet. Andere wie etwa ccleaner.com nutzen zwar auf ihrer Hauptseite HTTPS, Downloadanfragen wurden aber an HTTP-Links geleitet. In allen Fällen konnten die unverschlüsselten und nicht signierten Downloadanfragen bei dem Provider umgeleitet und statt der richtigen Software Spyware eingeschleust werden. Betroffen waren Hunderte IP-Adressen, darunter vor allem auch solche im syrisch-türkischen Grenzgebiet, wo türkische Internetanschlüsse per WLAN Syrern hinter der Grenze Zugang gewähren. Hier führt die Türkei inzwischen offen Krieg gegen syrische Kurden.
Abgesehen von diesem Angriff auf Internetnutzer in der Türkei haben die Sicherheitsforscher, die ihre Ergebnisse ins Türkische und ins Arabische übersetzt haben, auch eine andere Man-in-the-Middle-Attacke in Ägypten beobachtet. Dort wird die Deep Packet Inspection und der Zugriff auf den Traffic demnach genutzt, um Internetnutzer heimlich auf Seiten zu lotsen, die den Angreifern dank Affiliate-Werbung oder Mining-Skripten Geld einbrachten. Teilweise sei für bestimmte Zeiträume jeglicher Datenverkehr derart umgeleitet worden, es habe aber auch gezielte Umleitungen nur bestimmter Internetzugriffe gegeben. Beide Angriffe setzten demnach auf Technik, deren Hersteller seinen Sitz in Kanada hat.
Umstieg auf HTTPS zwingend nötig
Die ausführlichen Erläuterungen von Citizen Lab machen einmal mehr deutlich, wie wichtig ein allumfassender Wechsel von HTTP zu HTTPS ist. Derart verschlüsselter und signierte Traffic sperrt Man in the Middle aus, was vor allem auf Download-Seiten unerlässlich ist. Einige der betroffenen Anbieter haben die Probleme inzwischen behoben. Gleichzeitig geraten aber einmal mehr Hersteller in den Vordergrund, die die für derartige Angriffe nötige Technik produzieren und in Staaten mit Demokratiedefiziten exportieren. Zwar berufen die sich gern darauf, im Einklang mit den geltenden Gesetzen zu agieren, die müssen aber nicht den Standards entsprechen, die etwa auf ihrem Heimatmarkt gelten. (mho)
