Bu rapor, Sandvine/Procera Networks Derin Veri Analizi (DPI) cihazlarının, Türkiye’de ve dolaylı olarak Suriye’de devlet menşeili kötücül yazılım yaymak; Mısır’da ise reklam ve kripto para madenciliği marifetiyle gizlice para toplamak için kullanımına yönelik araştırmamızı anlatmaktadır.  

Yazarlar: Bill Marczak, Jakub Dalek, Sarah McKune, Adam Senft, John Scott-Railton, Ron Deibert

Ana Bulgular

  • İnternet taramamız sonucunda Türk Telekom ağı üzerinde derin veri analizi (DPI) kullanan middleboxlar tespit ettik. Türkiye ve Suriye’de yüzlerce kullanıcı meşru Windows uygulamaları indirmeye çalışırken bu middleboxlar tarafından devletin kullandığı casus yazılıma yönlendirildi.
  • Telecom Mısır’ın yetki alanında da benzer middleboxlar bulduk. Görünüşe göre bu middleboxlar, Mısırlı internet kullanıcılarının şifrelenmemiş ağ bağlantılarını toplu halde ele geçirmek ve kullanıcıları gelir getiren içeriğe (bağlantılı reklamlar ya da kripto para madenciliği) yönlendirmek için kullanılmıştı.
  • Geniş çaplı bir araştırmadan sonra, Türkiye ve Mısır’daki ağ enjeksiyonunun özelliklerini Sandvine PacketLogic cihazlarının özellikleri ile eşleştirdik. Önce, Türkiye, Suriye ve Mısır’da tespit ettiğimiz enjeksiyona ait bir parmak izi geliştirdik. Bu parmak izi, satın alıp laboratuar ortamında ölçümlediğimiz bir elden düşme PacketLogic cihazınınki ile eşleşti.  
  • Sandvine cihazlarının, Türkiye, Suriye ve Mısır’daki kullanıcıların trafiğine el altından kötü amaçlı ve şaibeli yönlendirmeler enjekte etmesi, ciddi boyutlarda hak ihlali endişeleri doğuruyor.

1. Özet

Bu rapor, iki ülkede kullanılan Sandvine/Procera Networks Derin Veri Analizi (DPI) cihazlarının (bir diğer adıyla middleboxların) muhtemelen devletler ya da internet hizmet sağlayıcılar (ISP) tarafından kötücül ya da şaibeli amaçlar için kullanımını internet taraması yoluyla nasıl ortaya çıkardığımızı anlatmaktadır.

1.1. Türkiye

Türk Telekom ağında bir dizi middleboxun, birtakım meşru programları indirmeye çalışan yüzlerce kullanıcıyı, bu programların casus yazılımla paketlenmiş versiyonlarına yönlendirdiğini tespit ettik.  Operatörler tarafından programla aynı pakete konulan casus yazılımın StrongPity APT saldırılarında kullanılana çok benzediğini gördük. Türkiye’deki enjeksiyonun operatörleri, StrongPity casus yazılımına geçmeden önce, “yasal dinleme” casus yazılımı FinFisher kullanıyordu. FinFisher, bu yazılımın yalnızca devlet kuruluşlarına satıldığını iddia ediyor.   

Avast Antivirus, CCleaner, Opera, ve 7-Zip gibi resmi sağlayıcılardan Windows uygulamaları indiren Türkiye ve Suriye’deki kullanıcıların, HTTP yönlendirmesi enjeksiyonu marifetiyle sessizce casus yazılıma yöneltildiklerini tespit ettik. Bu programların resmî web siteleri HTTPS bağlantıyı desteklemelerine rağmen, kullanıcıyı yönlendirdikleri indirme bağlantısı HTTPS olmadığından casus yazılıma yöneltme mümkün olabiliyor. Bunun yanı sıra, yine Türkiye ve Suriye’den kullanıcılar CBS Interactive’in Download.com sitesinden (CNET tarafından sağlanan bir yazılım indirme platformu) çeşitli uygulamalar indirdiklerinde casus yazılım içeren versiyonlarını alıyorlar. Download.com, “güvenli indirme” bağlantıları sağlıyormuş gibi görünse de HTTPS desteklemiyor.

Türkiye alanında yaptığımız taramalar, bu casus yazılım enjeksiyonunun en az beş şehirde kullanıldığını gösteriyor. Türkiye’deki hedeflere ek olarak, Türk Telekom abonelerinin sınırın diğer tarafına yansıttığı wi-fi bağlantıları üzerinden, bazen düzinelercesi tek IP adresini paylaşarak internet kullanan Suriyeli kullanıcılar da hedef olmuş durumda. İncelediğimiz bir vakada, Türkiye menşeili tek bir IP adresini yüzlerce Suriyeli kullanıcı paylaşmaktaydı. Wi-Fi yönlendirici sayfalarında herkese açık olan verilere dayanarak, hedef alınmış olan en az iki IP adresinin YPG’li (Kürt milisler) kullanıcılara hizmet ettiğini belirledik. YPG, Türkiye hükümetinin 2018 Ocak’ta başlattığı hava ve kara operasyonlarının hedefinde. YPG kontrolünde olmayan İdlib gibi bölgeler de hedefte.

1.2. Mısır

Telecom Mısır’ın yetki alanında da benzer middleboxlar bulduk. Düzinelerce ISP üzerindeki yüzlerce kullanıcı, bu middleboxlar marifetiyle bağlantılı reklamlara ve kripto para madenciliği tarayıcı komut dosyalarına yönlendirilmişti. Mısır’da AdHose (Reklam Hortumu) adını verdiğimiz bu tertibin iki modu var. AdHose, yani hortum, püskürtme modundayken kullanıcıları toplu halde kısa süreliğine reklamlara yönlendiriyor. Damlama modunda, JavaScript kaynaklarını ve artık kullanılmayan web sayfalarını reklam enjekte etmek için kullanıyor. Yani AdHose muhtemelen gizli bir para kazanma mekanizması.

1.3. Sandvine PacketLogic Teknolojisi

Geniş çaplı araştırmamız sonucunda Türkiye ve Mısır’daki yazılım enjeksiyonunun özelliklerini Sandvine PacketLogic cihazlarının özellikleri ile eşleştirdik.  Sandvine yapımı PacketLogic middleboxlar farklı tiplerdeki internet trafiğini önceliklendirebiliyor, önemini düşürebiliyor, engelleyebiliyor, farklı içerikle doldurabiliyor, ve kayıt altına alabiliyor. PacketLogic cihazlarını yapan şirket Procera Networks olarak biliniyordu; ancak Procera’nın sahibi ABD merkezli özel sermaye şirketi Francisco Partners, Ontario merkezli ağ kurma ekipmanları şirketi Sandvine’ı satın alıp iki şirketi 2017’de birleştirdi. Francisco Partners, internet gözetleme ve gözlemleme amaçlı kullanılan diğer teknolojilere de yatırım yapıyor. Bu yatırımlar arasında, mobil casus yazılım geliştiricisi, İsrail menşeili NSO Group da var. NSO Group’un sattığı bu yazılımlar çeşitli ülkelerde gazetecileri, avukatları, ve insan hakları savunucularını hedef almak için kullanıldı.

2014’te çıkan bir habere göre, Türkiye gözetleme ve sansür amaçlı kullanmak üzere PacketLogic sistemi almak için Procera ile pazarlıklara başlamıştı. Anlaşmanın yapılması, kimlerine göre şirkette şaşkınlık yarattı.  

1.4. Siyasi ve İnsan Hakları İçeriklerinin Engellenmesi

Geliştirdiğimiz Sandvine PacketLogic parmak iziyle eşleşen cihazların, Mısır ve Türkiye’de, internetteki siyasi içeriğin, insan haklarına dair içeriklerin ve haber içeriğinin engellenmesi amacıyla kullanıldığını da tespit ettik.

Mısır’da bu cihazlar Human Rights Watch, Sınır Tanımayan Muhabirler, Aljazeera, Mada Masr, ve HuffPost Arabic gibi düzinelerce insan hakları, siyasi ve haber içerikli web sitesini engellemiş durumda. Türkiye’de ise Wikipedia, Hollanda Yayıncılık Vakfı (NOS), ve Kürdistan İşçi Partisi’nin (PKK) web siteleri bu cihazlar tarafından engelleniyor.

1.5. Procera/Sandvine çalışanları?

LinkedIn üzerinde yaptığımız aramada, İstanbul, Türkiye’de bir Procera Networks “Çözüm Mühendisi” profiline, Mısır’da ise Sandvine (önceki adıyla Procera Networks) “Kıdemli Saha Mühendisi” profiline rastladık. Sandvine’a ait “Kariyerler” sayfasında “Saha Operasyon Mühendisi” pozisyonunun sorumlulukları tanımlanırken, “operasyon ile ilgili görevleri yerine getirmek, müşterinin bulunduğu yerde ikamet etmek,” ve “müşterinin operasyon ve iş geliştirme ekipleriyle yakın çalışmak” gibi ifadeler kullanılmış. 2016 tarihli bir Procera “kullanım vakaları” broşürünün “Mevzuata Uygunluk – Trafik Engelleme” bölümünde, VPN ya da VoIP gibi hizmetleri engellemek isteyen Procera müşterilerine “sahada mühendislik hizmetleri” temin edildiği belirtiliyor. Bu bilgiler ışığında, 12 Şubat 2018 tarihinde Sandvine’a bir mektup göndererek, Türkiye ya da Mısır’da saha çözüm mühendisi ya da diğer destek personeli bulundurup bulundurmadıklarını sorduk. Sandvine bu soruya cevap vermedi. Özellikle büyük ISP seviyelerinde bu tarz bir ülke içi çalışma olması ihtimali, olası hak ihlalleri yaratabilecek faaliyetler ile ilgili şirketin bilgisi ya da dahli olup olmadığına dair ciddi şüpheler uyandırıyor.

Sandvine ve Francisco Partners’a gönderdiğimiz 12 Şubat 2018 tarihli mektuplarda raporumuzun sonuçlarını özetledik ve kendilerine bulgularımıza ve şirketlerinin kurumsal sosyal sorumluluk pratiklerine dair detaylı sorular yönelttik. Sandvine’dan aldığımız 16 Şubat 2018 tarihli cevap, mektubumuzdaki ifadeleri “sahte, yanıltıcı, ve yanlış” olarak niteliyor ve parmak izi doğrulamamızı dayandırdığımız elden düşme PacketLogic cihazını geri vermemizi talep ediyordu. 20 Şubat 2018 tarihinde Francisco Partners da bir cevap gönderdi ve firmanın “kurumsal yönetişim ve sosyal sorumluluğun öneminin farkında olduğunu” belirtti. Citizen Lab, 1 Mart 2018’de Sandvine’a yanıt verdi. Sandvine ve Francisco Partners ile iletişimimiz Bölüm 7’de daha detaylı ele alınmaktadır.

Note on Translation: This is an informal translation of the original report in English. This informal translation may contain inaccuracies. It is intended only to provide a basic understanding of our research. In the event of a discrepancy or ambiguity, the English version of this report prevails.