Un ISP turco intercambió las descargas de software populares por aplicaciones infectadas con software espía
Türk Telekom, un proveedor de servicios de Internet turco (ISP), ha desplegado un hardware especial para interceptar y alterar el tráfico de Internet, intercambiando descargas de software legítimas con aplicaciones similares, pero infectadas con spyware.
Un informe de Citizen Lab afirma que Türk Telekom ha desplegado los middleboxes de Sandvine PacketLogic en cinco regiones del país. Estos dispositivos son potentes máquinas de interceptación de tráfico que pueden permitir al ISP espiar el tráfico no encriptado e incluso alterar su contenido al inyectar código adicional.
Middleboxes utilizado como sistema de entrega de malware
Según el informe, los dispositivos implementados en la red de este ISP se han utilizado como un sistema de entrega de malware.
Los investigadores descubrieron que los middlebox redirigen a los usuarios que intentan descargar software de sitios web oficiales a páginas que ofrecen el mismo software pero que se les inyecta el software espía FinFisher. En casos posteriores, los investigadores dicen que la carga útil cambió de FinFisher a otra cepa de spyware llamada StrongPity.
Citizen Lab dice que identificó dichos redireccionamientos cuando los usuarios intentaron descargar Avast Antivirus, CCleaner, VLC, Opera y 7-Zip de sus sitios web oficiales.
Además, el ISP también dañó algunas descargas de software alojadas en la plataforma Download.com de CNET de manera similar, ofreciendo la versión infectada con spyware en lugar de la aplicación legítima.
Estos cambios de descarga no sucedieron para todos. Citizen Lab dice que identificó 259 direcciones IP para las cuales las middleboxes reemplazaron el software descargado. Algunos IPs pertenecían a usuarios ubicados en Siria, donde algunos suscriptores de Türk Telekom proporcionaban acceso a Internet a través de enlaces Wi-Fi direccionales transfronterizos.
La participación del gobierno es altamente probable
Pero los investigadores no creen que este sea el trabajo de un empleado deshonesto. Esto se debe a que los mismos middleboxes ISP se han utilizado para censurar el acceso a varios dominios políticos, como el sitio web del Partido de los Trabajadores del Kurdistán (PKK), Wikipedia, y el sitio web de la Dutch Broadcast Foundation (NOS).
Además, FinFisher no es el típico malware. Se trata de un producto de "interceptación legal" muy caro que solo se vende a las agencias gubernamentales por la empresa FinFisher, un proveedor de tecnología de vigilancia de nivel gubernamental.
La censura de los dominios políticos y el despliegue de software espía que solo está disponible para las fuerzas del orden público sugiere una fuerte participación del gobierno turco en el esquema de interceptación del tráfico.
No está claro si el gobierno persigue a los disisdentes o está tomando medidas contra las tropas kurdas sirias, contra las cuales las fuerzas turcas están involucradas en campañas militares.
El informe de Citizen Lab describe dos campañas de ciberespionaje que ESET detalla en informes publicados en septiembre y diciembre de 2017. ESET detectó lo mismo -un ISP alterando las descargas de la aplicación del usuario- pero no reveló el ISP y el nombre del país. El informe de septiembre afirmaba que un ISP estaba distribuyendo el spyware FinFisher, mientras que el informe de diciembre detallaba la campaña de distribución de spyware StrongPity.
Middleboxes similares detectados en Egipto también
Pero además de las middleboxes de Türk Telekom, los investigadores de Citizen Lab encontraron dispositivos similares desplegados en la red de Telecom Egypt, un ISP egipcio.
Los investigadores dicen que estos middleboxes bloquearon el acceso a docenas de sitios web de derechos humanos, políticos y de noticias, incluidos Human Rights Watch, Reporteros sin Fronteras, Al Jazeera, Mada Masr y HuffPost Arabic
El ISP egipcio no entregó software espía reemplazando a los intentos de descarga, pero sí inyectó anuncios y mineros de criptomonedas en el navegador dentro del tráfico de Internet de sus suscriptores, muy probablemente como un plan para hacer dinero.
Se puede encontrar una gran cantidad de detalles adicionales en el informe detallado de Citizen Lab sobre estas dos campañas.