Einen schweren Vorwurf erhebt Citizen Lab gegen den türkischen Provider Turk Telecom: Dieser habe zum Teil staatliche Spionagesoftware in die Software seiner eigenen Nutzer eingeschmuggelt, heißt es in einem Bericht der Bürgerrechtsorganisation.

Packetlogic

Grundlage dieser Attacken sei die Software Packetlogic, die man man in Telekomnetzen in der Türkei aber auch in Ägypten und Syrien gefunden habe, betonen die Sicherheitsexperten. Das vom kanadischen Hersteller Sandvine entwickelte Tool nehme eine sogenannte "Deep Packet Inspection" vor – also eine vollständigen Analyse des Datenstroms. Mithilfe dieses Wissens wurden dann von den Nutzern angefragte Downloads auf infizierte Versionen der jeweiligen Programm umgeleitet.

Konkret sollen dabei etwa Downloads von beliebten Tools wie Avast Antivirus, CCleaner, Opera und 7-Zip modifiziert worden sein. Dass das überhaupt möglich ist, liege nicht zuletzt daran, dass die betreffenden Seiten nicht von Haus aus auf verschlüsselten Datentransfer setzen, so die Forscher. Zwar hätten einige davon sehr wohl eine HTTPS-Variante ihrer Seite im Angebot, per Default setzt man aber weiter auf HTTP was die Umleitung von Downloads für den Netzbetreiber einfach macht. Zum Teil habe man aber auch große Download-Plattformen wie Download.com instrumentalisiert, die gleich gar keine HTTP-Version anbieten. Insofern zeige der Vorfall auch, wie wichtig es sei, HTTPS zu verwenden – und zwar ausschließlich HTTPS; um solche Angriffe zumindest zu erschweren, betont Citizen Lab.

Umfang

Unklar bleibt dabei, wie viele Nutzer von solchen Attacken betroffen waren. Citizen Lab spricht von 200 betroffenen IP-Adressen, die man konkret zuordnen konnte, geht aber davon aus, dass die reale Zahl weit höher ist. Hinter diesen dürften sich unter anderem kurdische Milizangehörige befinden, die im Grenzgebiet zwischen Türkei und Syrien offene WLANs benutzt haben. Das WLAN wird dort von Turk-Telecom-Resellern betrieben.

Dass all dies theoretisch möglich ist, war in Hinblick auf die technische Umsetzung durchaus länger bekannt. Neu ist an dem Bericht insofern vor allem, dass hier recht detailliert gezeigt wird, wie ein solcher Angriff konkret abläuft. In Ägypten sollen ähnliche Methoden übrigens genutzt worden sein, um statt Spyware den Nutzern zusätzliche Werbung oder Cryptomining-Software unterzujubeln.

"Dementi"

Unterdessen wehrt sich der kanadische Softwarehersteller Sandvine gegenüber The Register gegen die erhobenen Vorwürfe: Der Bericht von Citizen Lab sei ungenau und irreführend. Die eigene Software biete gar keine Funktionen, um Schadsoftware einzuschmuggeln. Das behauptet Citizen Lab allerdings auch gar nicht. Viel mehr geht es hier um die Möglichkeit, HTTP-Verbindungen umzuleiten, und das ist mit Packetlogic – und vielen anderen Netzwerk-Tools – natürlich möglich. Die Deep Packet Inspection des Unternehmens macht so eine Angriff aber erst möglich. (red, 12.3.2018)