Bericht: Chinesen identifizieren auch Nutzer von TOR und VPNs

Chinesische Hacker haben Sicherheitsforschern zufolge einen Weg gefunden, auch Anwender zu identifizieren, die den Anonymisierungdienst TOR oder VPN-Netze verwenden. Ihre Ergebnisse haben Eddie Lee und Jaime Blasco von AlienVault in einem Blogbeitrag veröffentlicht. Zudem findet sich in der New York Times ein Interview mit Blasco.

Lee und Blanco können die Identität der Hacker nicht nachweisen, gehen aber davon aus, dass sie im Auftrag der Regierung in Peking arbeiten. Fest steht, dass sie mit so genannten Wasserstellen Gruppen wie die Ethnie der Uiguren oder Dissidenten angreifen, also für die jeweilige Gruppe interessante Websites mit Malware infizieren. Konkret soll es sich um uigurische und islamische Foren sowie die Websites von Nichtregierungsorganisationen handeln.

Neuartig ist laut AlienVault, was an diesen „Wasserstellen“ abläuft: Die Angreifer bauen dort ein bösartiges JavaScript ein. Es nutzt Schwachstellen in JSONP, der JavaScript Obeject Notation mit Padding, die Übertragung von JavaScript-Daten über Domaingrenzen hinweg vorsieht. Damit hebeln sie Techniken aus, die ein Tracking über Domains hinweg verhindern sollen, und erlangen die Identität des Anwenders, falls dieser bei einer von 15 prominenten Sites eingeloggt ist – darunter Baidu, Taobao, das Social Network Sina oder auch der Bezahldienst Alipay.

Je nach Dienst sind es der Benutzername und eine ID, in manchen Fällen auch Telefonnummer oder E-Mail-Adresse, die sich ermitteln lassen. Diese Daten werden an einen Server der Angreifer geschickt. Diese Schwachstellen sind laut AlienVault in China seit 2013 bekannt.

Viele Chinesen nutzen verschlüsselte VPN-Verbindungen und Anonymisierungsdienste wie TOR, um Einschränkungen durch das Zensursystem Great Firewall zu umgehen und bei ihren Online-Aktivitäten nicht überwacht zu werden. Diese verhindern, dass sich die IP-Adresse ermitteln lässt – und damit in China, wo für fast alle Internetdienste Registrierungspflicht besteht, die Identität des Anwenders. Mit dem beschriebenen Verfahren können die Unbekannten aber seit 2013 trotz Einsatz dieser Techniken ermitteln, wer ein User ist – falls er sich über seine vermeintlich anonyme Verbindung bei einem der 15 bekannten Dienste eingeloggt hat.

Zur Identität der Hacker sagte Blasco der New York Times: „Wer könnte denn an solchen Daten interessiert sein und solchen Aufwand nicht scheuen? Wer würde gerne wissen, wer uigurische Websites und Websites von Reportern in China besucht? Finanzielle Vorteile sind durch einen solchen Angriff nicht zu erwarten.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.