Türk Telekom hakkında çarpıcı iddia: Casus yazılımla halktan, hükümete bilgi sızdırdılar!

Alp Yanardağ / Özel Haber 

Türk Telekom ağı üzerinde derin veri analizi yapan sistemler (middlebox) tespit edildi. Bu sistemlerin Windows  üzerinde çalıştığı ve kullanıcıları (vatandaşları) devletin kontrolündeki casus yazılımlara yönlendirdiği saptandı.

Bu cihazlar aracılığıyla, kullanıcıların trafiğine el altından kötü amaçlı ve şaibeli yönlendirmeler yapilabildiği için ciddi boyutlarda hak ihlallerinin oluştuğu endişelerini de beraberinde getiriyor.

Raporda ayrıca, Türk Telekom’un bu sistemi Türkiye Cumhuriyeti vatandaşlarına AVAST Anti-virüs programı, CCleaner bilgisayar temizleme programı, Opera tarayıcısı ve 7-zip dosya sıkıştırma programları üzerinden enjekte ettiği ve en az 5 şehirde kullanıldığı da ileri sürülüyor.

Tanımlar:

The Citizen Lab: Toronto Üniversitesine bağlı ar-ge, bilgi ve iletişim teknolojileri, insan hakları ve küresel güvenlik konularıyla ilgilenen bir araştırma kuruluşu. 

DPI (Derinlemesine Paket Analizi): Amacı kişilerin internet trafiğini belli amaçlar doğrultusunda izlemek ve aksiyon almak olan sistem

PacketLogic: Yukarıdaki işlemi gerçekleştiren cihazın modeli (Buna benzer başka marka modeller de var ancak Türk Telekom bu marka modeli kullanmış)

Sandvine: Yukarıdaki işlemi gerçekleştiren cihazı üreten firma / markası

MiddleBox: Bir middlebox veya ağ cihazı, trafiği paket yönlendirme dışındaki amaçlar için dönüştüren, denetleyen, filtreleyen veya başka bir şekilde yönlendiren bir bilgisayar ağ aygıtıdır.

Suriye Meselesi: Suriye hükümetinin de aynı yöntemi kullanarak ülke üzerindeki internet erişimini kontrol altına aldığı belirtiliyor. 

Mısır: Mısır’da da aynı yöntemin kullanıldığını ancak bu olayla hükümetin bir alakasının olmayabileceğini ama hükümet içindeki birilerinin bu yöntemle vatandaşları reklamlara ve bitcoin sitelerine yönlendirip haksız kazanç elde ettiği belirtiliyor.

Sandvine PacketLogic Kutu Cihazı Fotoğrafı

ÖNEMLİ BULGULAR

• İnternet taraması ile Türk Telekom’un ağında derin paket denetimi (DPI) (MiddleBox) bulundu.
• Orta ölçekli kullanıcılar, Türkiye’de ve Suriye’de yüzlerce kullanıcıyı yöneltmek için kullanıldıklarında, bu kullanıcılar belirli yasal Windows uygulamalarını indirmeye çalıştığında ulus devlet casus yazılımlarına yönlendiriyorlardı.
• Telekom Mısır sınır noktasında benzer orta kutuları bulundu. Bazı durumlarda, ortadaki kutuların Mısırlı İnternet kullanıcılarının şifrelenmemiş web bağlantılarını topluca ele geçirmesi ve kullanıcıları bağlı kuruluş reklamları ve tarayıcı şifreleme madenciliği komut dosyaları gibi gelir getirici içeriklere yönlendirmek için kullanıldığı açığa çıktı.
• Türkiye ve Mısır’daki ağ enjeksiyonunun özelliklerini Sandvine PackertLogic cihazlarıyla eşleştirildi. Türkiye, Suriye ve Mısır’da bulunan enjeksiyon için bir parmak izi geliştirildi ve parmak izleri, laboratuar ortamında temin edilen ve ölçülen ikinci bir PackertLogic cihazla eşleştiği fark edildi.
• Sandvine cihazlarının Türkiye, Suriye ve Mısır’daki kullanıcılara yönelik kötü niyetli ve şüpheli yönlendirme girişimlerini gizli bir şekilde kullanmaları, belirgin insan hakları kaygılarını beraberinde getirmektedir.

ÖZET

Sandvine / Procera Networks Deep Packet Inspection (DPI) aygıtlarının (yani, orta kutuların) kötü amaçlı veya şüpheli uçları, büyük olasılıkla ulus devletler veya iki ülkedeki ISS’ler için görünür kullanımını açığa çıkarmak için internet taramasını nasıl kullandığımızı açıklamaktadır.

KANADA MERKEZKİ ’THE CITIZEN LAB’ AÇIKLAMA YAPTI

Bu raporda  citizenlab’da çıkan habere göre, Türkiye’deki ve devlete yönelik kötü amaçlı yazılımları Suriye’ye dağıtmak için Sandvine / Procera Networks Deep Packet Inspection (DPI) aygıtlarının görünür kullanımı ve Mısır’daki bağlı kuruluş reklamları ve kripto-para birimi madenciliği yoluyla gizli bir şekilde para elde etmek için yaptığı araştırmaları anlatıyor.

TÜRKİYE AYAĞI

Türk Telekom’un ağındaki bir dizi (MiddleBox), bazı meşru programları casus yazılımlarla birlikte gelen programların sürümlerine yüklemeye çalışan yüzlerce kullanıcıyı yeniden yönlendirmek için kullanıldığı görüldü. Operatörler tarafından toplanan casus yazılımlar, StrongPity APT saldırılarında kullanılana benziyordu. StrongPity casus yazılımına geçmeden önce, Finfisher’ın yalnızca devlet kurumlarına satıldığını iddia ettiği FinFisher “yasal müdahale” casus yazılımlarını kullanarak Türkiye enjeksiyon operatörleri kullanıldı.

ŞEHİR EFSANESİ  OLAN DEVLET BAZLI CASUS YAZILIM GERÇEK Mİ OLUYOR?

Avast Antivirus, CCleaner, Opera ve 7-Zip gibi resmi satıcı web sitelerinden Windows uygulamalarını indiren Türkiye ve Suriye’deki hedeflenen kullanıcılar, enjekte edilmiş HTTP yönlendirmeleri yoluyla kötü niyetli sürümlere sessizce yönlendirildi.

HTTPS Nedir?

HTTPS, bir bilgisayar ağı üzerinden güvenli iletişim için Köprü Metni Aktarım Protokolünün bir uyarlamasıdır ve Internet’te yaygın olarak kullanılır.
(İnternet tarayıcınızda sol üst köşedeki uzantı örnek: https://www.google.com.tr)

Bu yönlendirmeler, HTTPS’yi desteklemiş olsalar bile, bu programların resmi web siteleri varsayılan olarak kullanıcıları HTTPS olmayan indirmelere yönlendirdiği için mümkün olmuştur. Ayrıca, CBS Interactive’in Download.com’dan (yazılım indirmek için CNET tarafından sunulan bir platform) geniş bir yelpazede uygulamalar indiren Türkiye ve Suriye’deki hedeflenen kullanıcılar, bunun yerine casus yazılım içeren sürümlere yönlendirildi. Download.com, "güvenli indirme" bağlantıları sunma iddiasına rağmen HTTPS’yi destekliyor görünmüyor.
 
BAŞKENT ANKARA DAHİL EN AZ 5 ŞEHİRDE BULUNDUĞU ORTAYA ÇIKTI

 
Türkiye taramaları, bu spyware enjeksiyonunun en az beş eyalette gerçekleştiğini ortaya çıkardı. Türkiye’de hedeflere ek olarak, Suriye’de fiziksel olarak yer alan ve aralarında sınır ötesi yönlü Wi-Fi bağlantıları aracılığıyla Türk Telekom aboneleri tarafından Suriye’ye aktarılan İnternet servislerini kullanan bazı kullanıcılar da hedefler içeriyordu.

ASKERİ SALDIRIDA KULLANILDI İDDİASI

Bir vakada, yüzbinlerce Suriyeli kullanıcı tek bir Türk IP adresini paylaştı. Wi-Fi yönlendirici sayfalarında bulduğumuz herkese açık bilgilere dayanarak, YPG (Kürt milisleri) kullanıcılarına en az bir hedeflenen IP adresi görünüyor. YPG, Ocak 2018’de başlayan bir Türk hükümeti hava ve kara saldırısının hedefi olmuştur. İdlib kenti de dahil olmak üzere YPG tarafından kontrol edilmeyen alanlar da hedeflenmiş görünmektedir.

İNSAN HAKLARI VE SİYASİ İÇERİĞİN ENGELLENMESİ
 
Mısır ve Türkiye’de de, Sandvine PacketLogic parmak izleriyle eşleşen cihazların politik, gazeteci ve insan hakları içeriğini engellemek için kullanıldığı görüldü.
 
Mısır’da, bu cihazlar İnsan Hakları İzleme Örgütü, Sınır Tanımayan Gazeteciler, El Cezire, Mada Masr ve HuffPost Arapça dahil olmak üzere düzinelerce insan hakları, siyasi ve haber sitelerini engellemek için kullanılıyordu. Türkiye’de, bu cihazlar Wikipedia, Hollanda Yayın Kurumu’nun (NOS) web sitesi ve web sitesinin web sitelerini engellemek için kullanılıyordu.

ULUS DEVLET AĞI  ENJEKSİYONU

Ağ enjeksiyonunda, bir ’’MiddleBox’’ bir hedef ve ziyaret ettikleri bir internet sitesi arasındaki bağlantıların üzerinden çalışır.

HACK TAKIMI AĞI ENJEKSİYON CİHAZI (NIA) 
Patent, NIA’nın  HTTP yönlendirmelerini hedeflenen kullanıcıların bağlantılarına enjekte ederek gerçekleştirdiğini göstermektedir.

TÜRKİYE DOSYASI: KÖTÜ AMAÇLI HEDEF ALAN CASUS YAZILIMLAR

Sandvine PacketLogic parmak izimizle eşleşen DPI ekipmanlarının, yaygın Windows yazılımlarını indirmeye çalışan kullanıcılara ve Türkiye’ye kötü amaçlı yazılımlar enjekte etmektedir.

TÜRK TELEKOM – ERDOĞAN – İNTERNET YASASI

Türkiye’de İnternet ile ilgili ilk yasal mevzuat 2007 yılında kabul edildi.

MIT’in 2014 ulusal güvenlik yasalarının pratik uygulaması, Türk Telekom’un merkezileştirdiği Türk telekomünikasyon sektörünün işbirliğini gerektirmektedir. Teknik olarak özel bir şirket iken Türk Telekom, iktidardaki AKP parti tarafından sıkı bir şekilde kontrol ediliyor. AKP, sözde bağımsız düzenleyici, Bilgi ve İletişim Kurumu (kendisi tarafından kontrol edilen) ve Türk Hazine Bakanlığı tarafından kontrol edilen büyük bir sahiplik hissesi ile Türk Telekom’u etkilemektedir. Türk Telekom’un üst düzey yöneticilerinin şirketten çekildiği Temmuz 2016 darbe girişiminin ardından hükümetin Türk Telekom üzerindeki doğrudan etkisi gösterildi.

Müşterileri hedeflenmiş gibi görünen Türkiye merkezli bir bayi, Suriye’nin Afrin bölgesindeki sınır bölgelerine İnternet ışınlamak için bir kule inşa ediyor.

Kullanıcıların hedeflendiği görünen Idlib alanındaki bir Suriyeli tabanlı satıcının gönderdiği görüntüler. Bayinin, bir Suriye köyünde Türk Telekom hizmetini VDSL aracılığıyla yeniden dağıttığı görülüyor.

12 Şubat 2018’de Sandvine ve Francisco Partners’a mektup gönderdikten sonra, 14 Şubat ve 16 Şubat 2018’de testler yapıldı. Bu, Ekim 2017’den beri enjeksiyon yaptığımız iki hedef IP adresinin artık enjeksiyon üretmediğini tespit edildi. 7 Mart 2018’de tam bir Türkiye taraması yapıldı ve bu iki IP adresinin tekrar enjeksiyon ürettiğini, ancak farklı alan adlarıyla bulduğunu gördük. Bizim Mart taraması da enjeksiyonun operatörlerinin enjekte edilen alan adlarının bir kısmını değiştirdiğini buldu.

OPERA, AVAST, CCLEANER, W-ZIP GİBİ POPÜLER PROGRAMLARIN KULLANILDIĞI GÖRÜNTÜSÜ

Şuan gündemde olan Facebook skandalı konuşulurken, Türk Telekom iddiası son derece düşündürücü. Şimdilik belli kanıtlarla da olsa iddia olarak duran bu çarpıcı olayın şöyle bir farklılığı var. Bu seferki durum bizim kullandığımız kişisel bilgisayarlarımıza giren gizli casus yazılımlar üzerinden gerçekleşiyor. Sadece kişisel bilgilerimizi riske atan, reklam-gelir ve manipüle amaçlı kullanım yönünden daha fazlası olarak bizim güvenliğimizi de tehlike atan bir boyutta gözüküyor.