Forscher wollen Hinweise dafür gefunden haben, dass die Malware, die zur Infiltration des Tor-Netzwerks benutzt wurde und zur Schließung von Freedom Hosting geführt hat, vom US-Geheimdienst National Security Agency (NSA) stammt. Das Schadprogramm soll von einer IP-Adresse aus kontrolliert worden sein, die der NSA gehört.
Das ist das Ergebnis einer Untersuchung von Baneki Privacy Labs und Cryptocloud. Mitarbeiter beider Firmen fanden die Malware nach der Verhaftung von Eoin Marques, des mutmaßlichen Betreibers von Freedom Hosting, auf Servern. Sie soll benutzt worden sein, um die Identität von Nutzern des anonymen Tor-Netzes zu ermitteln.
Dafür habe die Schadsoftware Informationen gesammelt und an eine feste IP-Adresse (nämlich 65.222.202.53) übermittelt. Die Adresse sei Teil eines Blocks, der dem US-Rüstungsunternehmen Science Application International Corporation (SAIC) gehöre. „SAIC ist tief im Cyber-Militär-Bereich verwurzelt“, schreibt Cryptocloud in einem Blogeintrag. Es stehe aber in keiner Beziehung zur Bundespolizei FBI. Darüber hinaus legen laut Baneki Privacy Labs weitere Untersuchungen von DNS-Einträgen die Vermutung nahe, dass die fragliche IP-Adresse direkt den autonomen Systemen der NSA zugeordnet ist.
Schon zuvor hatte die israelische Firma Cyberhat vermutet, dass Strafverfolger hinter der Angriffswelle auf Tor-Nutzer stecken. Diese Einschätzung vertritt auch der Sicherheitsforscher Vlad Tsyrklevich. Da die Malware keine weiteren Befehle ausführe und auch keine Hintertür installiere, sei sie wahrscheinlich nicht das Werk von Hackern.
Das Tor-Projekt hat indes seine Nutzer aufgefordert, das Tor-Netzwerk nicht mehr mit Windows zu verwenden und stattdessen auf ein Live-System umzusteigen. Windows-Nutzer seien durch anfällige Firefox-Versionen angreifbar. Bei dem gegen Freedom Hosting eingesetzten Schadprogramm handelt es sich offenbar um einen JavaScript-Exploit für das „Tor Browser Bundle“, das auf Firefox 17 basiert.
Mozilla selbst hatte am Montag vor der Sicherheitslücke gewarnt, die in Firefox 17, dem aktuellen Extended Support Release des Browsers, stecken soll. Nach Angaben des Unternehmens wurde das Loch jedoch bereits in den am 25. Juni erschienenen Versionen 17.0.7 und 22 gestopft. Nutzer, die die aktuellen Browserversionen einsetzten, seien nicht gefährdet, schreibt Mozilla in seinem Security-Blog.
[mit Material von Max Smolaks, TechWeekEurope]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.