Forscher wollen Hinweise dafür gefunden haben, dass die Malware, die zur Infiltration des Tor-Netzwerks benutzt wurde und zur Schließung von Freedom Hosting geführt hat, vom US-Geheimdienst National Security Agency (NSA) stammt. Das Schadprogramm soll von einer IP-Adresse aus kontrolliert worden sein, die der NSA gehört.
Das ist das Ergebnis einer Untersuchung von Baneki Privacy Labs und Cryptocloud. Mitarbeiter beider Firmen fanden die Malware nach der Verhaftung von Eoin Marques, des mutmaßlichen Betreibers von Freedom Hosting, auf Servern. Sie soll benutzt worden sein, um die Identität von Nutzern des anonymen Tor-Netzes zu ermitteln.
Dafür habe die Schadsoftware Informationen gesammelt und an eine feste IP-Adresse (nämlich 65.222.202.53) übermittelt. Die Adresse sei Teil eines Blocks, der dem US-Rüstungsunternehmen Science Application International Corporation (SAIC) gehöre. „SAIC ist tief im Cyber-Militär-Bereich verwurzelt“, schreibt Cryptocloud in einem Blogeintrag. Es stehe aber in keiner Beziehung zur Bundespolizei FBI. Darüber hinaus legen laut Baneki Privacy Labs weitere Untersuchungen von DNS-Einträgen die Vermutung nahe, dass die fragliche IP-Adresse direkt den autonomen Systemen der NSA zugeordnet ist.
Schon zuvor hatte die israelische Firma Cyberhat vermutet, dass Strafverfolger hinter der Angriffswelle auf Tor-Nutzer stecken. Diese Einschätzung vertritt auch der Sicherheitsforscher Vlad Tsyrklevich. Da die Malware keine weiteren Befehle ausführe und auch keine Hintertür installiere, sei sie wahrscheinlich nicht das Werk von Hackern.
Das Tor-Projekt hat indes seine Nutzer aufgefordert, das Tor-Netzwerk nicht mehr mit Windows zu verwenden und stattdessen auf ein Live-System umzusteigen. Windows-Nutzer seien durch anfällige Firefox-Versionen angreifbar. Bei dem gegen Freedom Hosting eingesetzten Schadprogramm handelt es sich offenbar um einen JavaScript-Exploit für das „Tor Browser Bundle“, das auf Firefox 17 basiert.
Mozilla selbst hatte am Montag vor der Sicherheitslücke gewarnt, die in Firefox 17, dem aktuellen Extended Support Release des Browsers, stecken soll. Nach Angaben des Unternehmens wurde das Loch jedoch bereits in den am 25. Juni erschienenen Versionen 17.0.7 und 22 gestopft. Nutzer, die die aktuellen Browserversionen einsetzten, seien nicht gefährdet, schreibt Mozilla in seinem Security-Blog.
[mit Material von Max Smolaks, TechWeekEurope]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…