China überwacht angeblich wichtige Internetverbindungen zu westlichen Staaten

China Telecom, Chinas drittgrößter Telekommunikationsanbieter und Internet Service Provider, soll laut Forschern des US Naval War College und der Tel Aviv University „den lebenswichtigen Internet-Backbone westlicher Länder“ abhören. Als Zugriffspunkte dienen dem Unternehmen demnach sogenannte Point-of-Presence (PoP), die es seit Anfang der 2000er Jahre in Nordamerika unterhält.

PoPs sind Rechenzentren, über die Datenverkehr zwischen kleineren Netzwerken geroutet wird, die wiederum das größere Internet ergeben. Diese kleineren Netzwerke, die auch als autonome Systeme (AS) bezeichnet werden, können beispielsweise die Netzwerke von Unternehmen wie Google oder auch von lokalen oder überregionalen Internet Service Providern, Universitäten, Banken und Web-Hostern sein – oder generell von allen Organisationen, die groß genug sind, um eigene IP-Adressblöcke zu erhalten.

Zwischen den AS-Netzwerken wird der Traffic mit Hilfe des Border Gateway Protocol (BGP) geleitet. Das Protokoll stammt aus den frühen Achtziger Jahren und verzichtet auf jegliche Sicherheitskontrollen. Dadurch ist praktisch jeder in der Lage, eine BGP-Route zu erstellen und damit Traffic zu erhalten, der gar nicht für sein Netzwerk bestimmt ist.

Üblicherweise kommt es zu diesen falschen Umleitungen, auch BGP-Hijacks genannt, aufgrund von fehlerhaften Konfigurationen, die wiederum kurzfristig – manchmal gar innerhalb von Minuten – behoben werden. Es gibt aber auch Fälle, in denen BGP-Routen eingesetzt werden, um legitimen Traffic über schädliche Server zu leiten. Die Server wiederum sollen per Man-in-the-Middle-Angriff den Traffic abfangen, Phishing-Angriffe ausführen oder HTTPS-Traffic aufzeichnen, um ihn zu einem späteren Zeitpunkt zu entschlüsseln.

Die Forscher wollen nun China Telecom als „fleißigsten“ BGP-Hijacker identifiziert haben. Der Missbrauch soll angefangen haben, nachdem sich China 2015 verpflichtete, alle staatlichen Cyber-Operationen einzustellen, die das Ziel haben, geistiges Eigentum auszuspähen. „Das machte neue Wege erforderlich, um Informationen zu erhalten, und sich gleichzeitig technisch an die Vereinbarung zu halten“, unterstellen die Forscher. „Da die Vereinbarung nur militärische Aktivitäten abdeckt, konnten chinesische Unternehmen beauftragt werden, den Bedarf zu decken.“

Für ihre Studie analysierten die Forscher fehlerhafte BGP-Routen, um ein Muster zu ermitteln und Fehler von absichtlichem BGP-Hijacking unterscheiden zu können. Anschließend waren sie nach eigenen Angaben in der Lage, langfristige BGP-Umleitungen zu zehn PoPs in Nordamerika zu verfolgen, um Traffic in den USA sowie grenzüberschreitenden Traffic zwischen den USA und China abzuhören, und zwar über Zeiträume von Wochen und Monaten.

„Obwohl man argumentieren kann, dass solche Angriffe immer durch normales BGP-Verhalten erklärt werden können, deuten insbesondere sie auf böswillige Absichten hin, gerade wegen ihrer ungewöhnlichen Transiteigenschaften – nämlich der verlängerten Routen und der abnormalen Laufzeiten“, erklärten die Forscher.

In ihrer Studie nennen die Forscher auch Beispiele für Traffic, der zuerst nach China geleitet wurde, bevor er sein eigentliches Ziel erreichte. Ab Februar 2016 galt eine solche Umleitung für sechs Monate für Traffic aus Kanada zur südkoreanischen Websites. Im Oktober 2016 traf es den Traffic von den USA zur Niederlassung einer US-Bank in Mailand. Ebenfalls sechs Monate lang (ab April/Mai 2017) wurde auch der Traffic von Schweden und Norwegen zum japanischen Netzwerk einer US-Nachrichtenagentur über China geleitet.

Entscheidend für das BGP-Hijacking sind die von China Telecom in den vergangenen Jahren nicht nur in den USA sondern auch in Europa eingerichteten PoPs. Chinas Internet selbst sei nämlich nahezu vollständig isoliert vom restlichen weltweiten Internet, so die Forscher weiter. Knotenpunkte gebe es nur in Peking, Shanghai und Hongkong. Das erlaube es zudem, ein ähnliches Vorgehen westlicher ISPs in China zu unterbinden.