Oha!
Türk Telekom ağında bir dizi middleboxun, birtakım meşru programları indirmeye çalışan yüzlerce kullanıcıyı, bu programların casus yazılımla paketlenmiş versiyonlarına yönlendirdiğini tespit ettik. Operatörler tarafından programla aynı pakete konulan casus yazılımın StrongPity APT saldırılarında kullanılana çok benzediğini gördük. Türkiye’deki enjeksiyonun operatörleri, StrongPity casus yazılımına geçmeden önce, “yasal dinleme” casus yazılımı FinFisher kullanıyordu. FinFisher, bu yazılımın yalnızca devlet kuruluşlarına satıldığını iddia ediyor.

Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan Windows uygulamaları indiren Türkiye ve Suriye’deki kullanıcıların, HTTP yönlendirmesi enjeksiyonu marifetiyle sessizce casus yazılıma yöneltildiklerini tespit ettik. Bu programların resmî web siteleri HTTPS bağlantıyı desteklemelerine rağmen, kullanıcıyı yönlendirdikleri indirme bağlantısı HTTPS olmadığından casus yazılıma yöneltme mümkün olabiliyor. Bunun yanı sıra, yine Türkiye ve Suriye’den kullanıcılar CBS Interactive’in Download.com sitesinden (CNET tarafından sağlanan bir yazılım indirme platformu) çeşitli uygulamalar indirdiklerinde casus yazılım içeren versiyonlarını alıyorlar. Download.com, “güvenli indirme” bağlantıları sağlıyormuş gibi görünse de HTTPS desteklemiyor.
https://citizenlab.ca/2018/03/kotu-trafik-sandvinein-packetlogic-cihazlari-turkiyede-hukumetin-casus-program-kullanmasina-misirda-ise-kullanicilari-baglantili-reklamlara-yonlendirmeye-mi-yariyor/
https://twitter.com/Snowden/status/972110541408952320