土耳其 ISP 用受监控感染的应用替换合法软件

翻译：360代码卫士团队

土耳其互联网服务提供商 (ISP) Türk Telekom 已经部署了一种特殊硬件用来拦截并更改互联网流量，用受监控软件感染的应用替换合法软件下载。

Citizen Lab 发布报告称，Türk Telekom 在该国家的五个区域部署了 Sandvine PacketLogic 中间系统。这些设备是强大的流量拦截设备，能导致 Türk Telekom 监控未加密流量，甚至是通过注入额外代码更改其内容。

报告指出，部署在 Türk Telekom 网络中的设备被用作恶意软件传播系统。

研究人员发现这个中间系统将试图从官方网站下载软件的用户重定向至提供同样软件但在其中注入 FinFisher 监控软件的网页。在随后的案例中，研究人员表示，payload 从 FinFisher 变为 StrongPity。

公民实验室表示在用户从官网尝试下载 Avast Antivirus、CCleaner、VLC、Opera和 7-zip 时发现遭重定向。

另外，这家 ISP 还以同样方式从污染了托管在 CNET 的 Download.com 平台上托管的一些软件下载。

这种下载大转变并未人人都会遇到。公民实验室表示找到259个 IP 地址遭遇了这些情况。一些 IP 属于位于叙利亚的用户，这些用户通过跨境指向性 WiFi 链接访问互联网。

但研究人员并不认为这是恶意员工所为，因为同样的中间系统也被用于审查对多个政治域名的访问如库尔德工人党 (PKK)网站、维基百科网站以及荷兰广播基金会 (NOS) 网站。

另外，FinFisher 并非一般的恶意软件，它是由政府级别监控技术公司 FinFisher 仅向政府机构出售的一款非常昂贵的“执法拦截”产品。

对政治域名的审查以及对监控软件的部署表明，土耳其政府重度参与了这个流量拦截活动。目前尚不清楚土耳其政府是否是为了跟踪持不同政见者还是为了镇压与其交战的叙利亚库尔德军队。

公民实验室在报告中说明了两个网络监控活动，而这些活动曾出现在 ESET 公司在去年9月份和12月份曾公布的报告中。ESET 公司也曾检测到同样的事情：一家 ISP 篡改了用户应用下载，但并未披露这家 ISP 的名称及其所在国。9月份的报告只是表示一家 ISP 正在传播 FinFisher 监控软件，而在12月份发布的报告中详细说明了 StrongPity 监控软件传播活动。

除了 Türk Telekom 中间系统外，公民实验室研究人员还发现部署在埃及互联网服务提供商埃及电信 (Telecom Egypt) 网络中的类似设备。

研究人员表示，这些中间系统拦截对数十家人权、政治和新闻站点的访问，包括人权观察网站、无国界记者网站、半岛网站、Mada Masr网站以及赫芬顿邮报阿拉伯语版网站。

埃及电信公司并未通过替换软件下载的方式传播监控软件，但确实在用户的互联网流量中注入广告以及浏览器密币挖矿机，很可能是为了谋取利润。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。