Now Reading
Treffer-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

Treffer-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

Tor-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

Seither mindestens 2017 hat ein unbekannter, mit umfangreichen Ressourcen ausgestatteter und offenbar staatlich unterstützter Angreifer tausende potenziell schädliche Server in Eingangs-, Mittel- und Ausgangspositionen des Treffer-Netzwerks betrieben. Ein IT-Sicherheitsforscher mit dem Pseudonym Nusenu, dieser selbst Mitglied dieser Gemeinschaft ist, sieht darin verknüpfen Versuch, im großen Stil Nutzer des Dienstes zu deanonymisieren.

Dieser bedrohliche Mime, den Nusenu hinauf den Namen KAX17 taufte, betrieb in dieser Spitze mehr wie 900 Server im Treffer-Netzwerk mit einer maximalen Bandbreitenkapazität von 155 GBit/s. Dies sind gut zehn von Hundert des gesamten Zusammenschlusses, dieser normalerweise eine tägliche Gesamtzahl von 9000 solange bis 10.000 Knoten aufweist.

Manche dieser KAX17 zugeschriebenen Server fungieren wie Eingangspunkte (Wächter), andere wie Zwischenrelais und wieder andere wie Ausgangspunkte. Letztere stellen wie Exit-Knoten die letzte Stufe in dieser Verschleierungsroute dar, die die Verkettung zwischen Treffer und dem Rest des Internets aufrechterhalten.

Lehrstoff dieser Knoten ist es, verbinden den Datenverkehr dieser Nutzer zu verschlüsseln und zu anonymisieren. So entsteht ein riesiges Netzwerk von Proxy-Servern, die Verbindungen untereinander weiterleiten und hier die Privatsphäre dieser Nutzer wahren sollen.

Server, die zum Treffer-Netzwerk hinzugefügt werden, sollen tatsächlich rudimentäre Kontaktinformationen enthalten. Dies soll es den Administratoren des Dienstes und Strafverfolgungsbehörden zuteilen, die Betreiber dieser Knoten im Fallgrube einer Fehlkonfiguration kontaktieren oder verknüpfen Misshandlung zu melden. Eine hinterlegte E-Mail-Dienst-Postanschrift reicht hierfür aus.

Die Einhaltung dieser Regel wird allerdings nicht streng überwacht. Linie wenn im Netzwerk keine in Maßen große Zahl von Knoten rege ist, um den Datenverkehr dieser Nutzer zu verbergen, herabsetzen die Treffer-Betreiber ein Glubscher zu und einwilligen sekundär Server ohne Kontaktangaben.

Nusenu hat laut einem in dieser Woche von ihm veröffentlichten Ware ein Warenmuster im Rahmen einigen dieser Treffer-Relais ohne E-Mail-Dienst-Adressen ausgemacht. Dieses ist dem Experten demnach erstmals 2019 aufgefallen. Mittlerweile hat er dasjenige Phänomen solange bis ins Jahr 2017 zurückverfolgt. KAX17 fügt dem Netzwerk demnach ständig in großen Mengen neue Server ohne Kontaktinformationen hinzu. Zu jedem beliebigen Zeitpunkt habe dieser Angreifer so Hunderte von Knoten in Fertigungsanlage gehabt.

Die mysteriösen Server entscheiden sich in dieser Regel in Rechenzentren, die obig die ganze Welt verteilt sind. KAX17 setzt hier keinesfalls nur hinauf Fade-Hoster, sondern etwa sekundär hinauf die Microsoft-Cloud. Die Geräte sind hauptsächlich wie Eingangs- und Mittelpunkte konfiguriert, eine kleine Zahl von Exit-Knoten ist allerdings sekundär hier.

Dies ist ungewöhnlich, da die meisten einschlägigen Angreifer dazu tendieren, sich hinauf den Fertigungsanlage von Ausgangspunkten zu zusammenfassen. Dies ermöglicht es ihnen unter anderem, den Datenverkehr des Nutzers zu verändern. Dieser breitere Hauptaugenmerk von KAX17 legt laut Nusenu nahe, dass es dieser “hartnäckig” vorgehenden Menschenschar drum gehe, Informationen obig Treffer-Mitglieder zu vereinen und ihre Routen intrinsisch des Netzwerks aufzuzeichnen. Es handle sich infolge dieser eingesetzten umfangreichen Ressourcen und des betriebenen Aufwands keinesfalls um Amateure.

Nusenu rechnet vor, dass teils eine Wahrscheinlichkeit von 16 von Hundert bestanden habe, dass sich ein Treffer-Nutzer obig verknüpfen dieser KAX17-Server mit dem Netzwerk verbindet. Die Eventualität, dass er eines dieser mittleren Relais durchläuft, habe sogar 35 von Hundert betragen. Mit 5 von Hundert sei es praktisch unwahrscheinlich gewesen, beim Verlassen von Treffer von dieser Menschenschar erfasst zu werden.

Die hohe Wahrscheinlichkeit eines Kontakts beim Eintritt und in dieser Mittelpunkt des Netzwerks könne ohne wenn und aber genutzt werden, um obig Treffer betriebene versteckte Dienste (“Hidden Services”) zu identifizieren, erklärte dieser Forscher Neal Krawetz, dieser sich hinauf Anonymisierungstechnologien spezialisiert hat, gegensätzlich dem Online-Magazin The Record. Dieser Konzept “kann sekundär verwendet werden, um Nutzer zu enttarnen”. Erfolgversprechend wirke sich hier die Möglichkeit aus, parallel allgemeine öffentliche Online-Dienste zu beaufsichtigen und Nutzerspuren so weiterzuverfolgen.

Schon voriges Jahr hatte Nusenu gezeigt, dass Treffer vergleichsweise simpel unterwandert werden kann. Demnach betrieb die Hackergruppe BTCMITM20 im großen Skala Exit-Knoten. In Spitzenzeiten lag die Wahrscheinlichkeit hier im Rahmen solange bis zu 27 von Hundert, beim Treffer-Browsen an verknüpfen solchen Server zu geraten. Den Gaunern ging es hier drum, Bitcoin-Überweisungen mittels Treffer hinauf eigene Konten umzuleiten. Die Knoten flogen hinauf, weil sie ungewöhnlich viel Spanne beanspruchten und Datenverkehr manipulierten.

An eine Verkettung zwischen KAX17 und BTCMITM20 glaubt Nusenu infolge dieser unterschiedlichen Profile dieser Angriffe nicht. Ein wissenschaftliches Projekt sieht er darin ebenfalls nicht. Wenn schon wenn es sich im Rahmen KAX17 um verknüpfen mächtigen Mime handle, sei diesem – zumindest in dieser Anfangszeit – schon ein Fehler im Rahmen dieser operativen Sicherheit (OpSec) unterlaufen: Er habe im Rahmen einigen seiner Server zunächst noch eine E-Mail-Dienst-Postanschrift angegeben.

Selbige E-Postdienststelle-Anschrift tauchte später hinauf einer Verteiler des Treffer-Projekts hinauf, just im Rahmen Diskussionen, ob Server ohne solche Kontaktangaben besser zur Vorsicht weit werden sollten. Dieser entsprechende Teilnehmer sprach sich bezeichnenderweise gegen ein solches Verfahren aus.

Nusenu meldet Server von KAX17 nachdem eigenen Daten seitdem vorigem Jahr an dasjenige Treffer-Projekt. Dies dortige Sicherheitsteam habe daraufhin im zehnter Monat des Jahres 2020 sämtliche Exit-Knoten dieser Menschenschar weit. Von kurzer Dauer darauf seien allerdings wenige solcher Server ohne Kontaktinformationen wieder online gegangen. Es sei wahrscheinlich, dass KAX17 dahinterstehe. Offenbar entwickle sich ein Hase-und-Igel-Wettlauf zwischen beiden Seiten.

Ein Sprecher des Treffer-Projekts bestätigte gegensätzlich The Record die neuen Erkenntnisse von Nusenu. Er erklärte, dass sekundär im zehnter Monat des Jahres und im November dieses Jahres mehrere hundert Knoten weit worden seien, die man KAX17 habe zuschreiben können. Man untersuche den Angreifer noch und könne von dort bislang keine Attribution vornehmen. Es gebe noch keine genauen Hinweise, wer dahinterstecken könnte. Die Enthüllungen Edward Snowdens legten zuvor nahe, dass zumindest dieser technische US-Geheimdienst NSA entsprechende Fähigkeiten nach sich ziehen dürfte.

Obwohl Nusenu bislang dagegen war, hält dieser Könner es mittlerweile zu Gunsten von sinnvoll und teils unumgänglich, nicht vertrauenswürdige Knoten im Treffer-Netzwerk von bestimmten Datenbewegungen auszuschließen. Nur so könne dasjenige Risiko dieser Deanonymisierung und anderer Angriffe verringert werden. Hierfür sei es nötig, dass Treffer-Clients den Hinterlegung “vertrauenswürdiger Betreiber” voreinstellen oder obig “Vertrauensanker” kennenlernen könnten. Jenseits 50 von Hundert dieser Exit-Knoten seien hinauf ein solches Verfahren zur “Selbstverteidigung” schon in Linie gebracht.


(bme)

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top