Categories: Sicherheit

Bericht: Chinesen identifizieren auch Nutzer von TOR und VPNs

Chinesische Hacker haben Sicherheitsforschern zufolge einen Weg gefunden, auch Anwender zu identifizieren, die den Anonymisierungdienst TOR oder VPN-Netze verwenden. Ihre Ergebnisse haben Eddie Lee und Jaime Blasco von AlienVault in einem Blogbeitrag veröffentlicht. Zudem findet sich in der New York Times ein Interview mit Blasco.

Lee und Blanco können die Identität der Hacker nicht nachweisen, gehen aber davon aus, dass sie im Auftrag der Regierung in Peking arbeiten. Fest steht, dass sie mit so genannten Wasserstellen Gruppen wie die Ethnie der Uiguren oder Dissidenten angreifen, also für die jeweilige Gruppe interessante Websites mit Malware infizieren. Konkret soll es sich um uigurische und islamische Foren sowie die Websites von Nichtregierungsorganisationen handeln.

Neuartig ist laut AlienVault, was an diesen „Wasserstellen“ abläuft: Die Angreifer bauen dort ein bösartiges JavaScript ein. Es nutzt Schwachstellen in JSONP, der JavaScript Obeject Notation mit Padding, die Übertragung von JavaScript-Daten über Domaingrenzen hinweg vorsieht. Damit hebeln sie Techniken aus, die ein Tracking über Domains hinweg verhindern sollen, und erlangen die Identität des Anwenders, falls dieser bei einer von 15 prominenten Sites eingeloggt ist – darunter Baidu, Taobao, das Social Network Sina oder auch der Bezahldienst Alipay.

Je nach Dienst sind es der Benutzername und eine ID, in manchen Fällen auch Telefonnummer oder E-Mail-Adresse, die sich ermitteln lassen. Diese Daten werden an einen Server der Angreifer geschickt. Diese Schwachstellen sind laut AlienVault in China seit 2013 bekannt.

Nutzer dieser 15 Dienste lassen sich identifizieren, auch wenn sie Anonymisierungswerkzeuge verwenden (Tabelle: AlienVault).

Viele Chinesen nutzen verschlüsselte VPN-Verbindungen und Anonymisierungsdienste wie TOR, um Einschränkungen durch das Zensursystem Great Firewall zu umgehen und bei ihren Online-Aktivitäten nicht überwacht zu werden. Diese verhindern, dass sich die IP-Adresse ermitteln lässt – und damit in China, wo für fast alle Internetdienste Registrierungspflicht besteht, die Identität des Anwenders. Mit dem beschriebenen Verfahren können die Unbekannten aber seit 2013 trotz Einsatz dieser Techniken ermitteln, wer ein User ist – falls er sich über seine vermeintlich anonyme Verbindung bei einem der 15 bekannten Dienste eingeloggt hat.

Zur Identität der Hacker sagte Blasco der New York Times: „Wer könnte denn an solchen Daten interessiert sein und solchen Aufwand nicht scheuen? Wer würde gerne wissen, wer uigurische Websites und Websites von Reportern in China besucht? Finanzielle Vorteile sind durch einen solchen Angriff nicht zu erwarten.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago