Tor-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

Laut einem IT-Sicherheitsforscher betreibt ein mysteriöser Akteur seit 2017 große Teile des Anonymisierungsdiensts Tor, womit dieser unterwandert werde.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 208 Beiträge

(Bild: Panorama Images/Shutterstock.com)

Von
  • Stefan Krempl

Seit mindestens 2017 hat ein unbekannter, mit umfangreichen Ressourcen ausgestatteter und offenbar staatlich unterstützter Angreifer tausende potenziell schädliche Server in Eingangs-, Mittel- und Ausgangspositionen des Tor-Netzwerks betrieben. Ein IT-Sicherheitsforscher mit dem Pseudonym Nusenu, der selbst Mitglied der Community ist, sieht darin einen Versuch, im großen Stil Nutzer des Dienstes zu deanonymisieren.

Der bedrohliche Akteur, den Nusenu auf den Namen KAX17 taufte, betrieb in der Spitze mehr als 900 Server im Tor-Netzwerk mit einer maximalen Bandbreitenkapazität von 155 GBit/s. Das sind gut zehn Prozent des gesamten Zusammenschlusses, der normalerweise eine tägliche Gesamtzahl von 9000 bis 10.000 Knoten aufweist.

Einige dieser KAX17 zugeschriebenen Server fungieren als Eingangspunkte (Wächter), andere als Zwischenrelais und wieder andere als Ausgangspunkte. Letztere stellen als Exit-Knoten die letzte Stufe in der Verschleierungsroute dar, die die Verbindung zwischen Tor und dem Rest des Internets aufrechterhalten.

Aufgabe der Knoten ist es, gemeinsam den Datenverkehr der Nutzer zu verschlüsseln und zu anonymisieren. So entsteht ein riesiges Netz von Proxy-Servern, die Verbindungen untereinander weiterleiten und dabei die Privatsphäre der Nutzer wahren sollen.

Server, die zum Tor-Netzwerk hinzugefügt werden, müssen eigentlich rudimentäre Kontaktinformationen enthalten. Dies soll es den Administratoren des Dienstes und Strafverfolgungsbehörden ermöglichen, die Betreiber der Knoten im Falle einer Fehlkonfiguration kontaktieren oder einen Missbrauch zu melden. Eine hinterlegte E-Mail-Adresse reicht dafür aus.

Die Einhaltung dieser Regel wird aber nicht streng überwacht. Gerade wenn im Netzwerk keine ausreichend große Anzahl von Knoten aktiv ist, um den Datenverkehr der Nutzer zu verbergen, drücken die Tor-Betreiber ein Auge zu und akzeptieren auch Server ohne Kontaktangaben.

Nusenu hat laut einem in dieser Woche von ihm veröffentlichten Artikel ein Muster bei einigen dieser Tor-Relais ohne E-Mail-Adressen ausgemacht. Dieses ist dem Experten demnach erstmals 2019 aufgefallen. Mittlerweile hat er das Phänomen bis ins Jahr 2017 zurückverfolgt. KAX17 fügt dem Netzwerk demnach ständig in großen Mengen neue Server ohne Kontaktinformationen hinzu. Zu jedem beliebigen Zeitpunkt habe der Angreifer so Hunderte von Knoten in Betrieb gehabt.

Die mysteriösen Server befinden sich in der Regel in Rechenzentren, die über die ganze Welt verteilt sind. KAX17 setzt dabei keinesfalls nur auf Billig-Hoster, sondern etwa auch auf die Microsoft-Cloud. Die Geräte sind hauptsächlich als Eingangs- und Mittelpunkte konfiguriert, eine kleine Anzahl von Exit-Knoten ist aber auch dabei.

Das ist ungewöhnlich, da die meisten einschlägigen Angreifer dazu neigen, sich auf den Betrieb von Ausgangspunkten zu konzentrieren. Dies ermöglicht es ihnen unter anderem, den Datenverkehr des Nutzers zu verändern. Der breitere Fokus von KAX17 legt laut Nusenu nahe, dass es der "hartnäckig" vorgehenden Gruppe darum gehe, Informationen über Tor-Mitglieder zu sammeln und ihre Routen innerhalb des Netzwerks aufzuzeichnen. Es handle sich angesichts der eingesetzten umfangreichen Ressourcen und des betriebenen Aufwands keinesfalls um Amateure.

Nusenu rechnet vor, dass teils eine Wahrscheinlichkeit von 16 Prozent bestanden habe, dass sich ein Tor-Nutzer über einen der KAX17-Server mit dem Netzwerk verbindet. Die Chance, dass er eines der mittleren Relais durchläuft, habe sogar 35 Prozent betragen. Mit 5 Prozent sei es eher unwahrscheinlich gewesen, beim Verlassen von Tor von der Gruppe erfasst zu werden.

Die hohe Wahrscheinlichkeit eines Kontakts beim Eintritt und in der Mitte des Netzwerks könne definitiv genutzt werden, um über Tor betriebene versteckte Dienste ("Hidden Services") zu identifizieren, erklärte der Forscher Neal Krawetz, der sich auf Anonymisierungstechnologien spezialisiert hat, gegenüber dem Online-Magazin The Record. Dieser Ansatz "kann auch verwendet werden, um Nutzer zu enttarnen". Erfolgversprechend wirke sich dabei die Möglichkeit aus, parallel allgemeine öffentliche Online-Dienste zu überwachen und Nutzerspuren so weiterzuverfolgen.

Schon voriges Jahr hatte Nusenu gezeigt, dass Tor vergleichsweise einfach unterwandert werden kann. Demnach betrieb die Hackergruppe BTCMITM20 im großen Maßstab Exit-Knoten. In Spitzenzeiten lag die Wahrscheinlichkeit hier bei bis zu 27 Prozent, beim Tor-Browsen an einen solchen Server zu geraten. Den Gaunern ging es hier darum, Bitcoin-Überweisungen mittels Tor auf eigene Konten umzuleiten. Die Knoten flogen auf, weil sie ungewöhnlich viel Bandbreite beanspruchten und Datenverkehr manipulierten.

An eine Verbindung zwischen KAX17 und BTCMITM20 glaubt Nusenu angesichts der unterschiedlichen Profile der Angriffe nicht. Ein wissenschaftliches Projekt sieht er darin ebenfalls nicht. Auch wenn es sich bei KAX17 um einen mächtigen Akteur handle, sei diesem – zumindest in der Anfangszeit – bereits ein Fehler bei der operativen Sicherheit (OpSec) unterlaufen: Er habe bei einigen seiner Server zunächst noch eine E-Mail-Adresse angegeben.

Diese E-Post-Anschrift tauchte später auf einer Mailingliste des Tor-Projekts auf, just bei Diskussionen, ob Server ohne solche Kontaktangaben besser vorsichtshalber entfernt werden sollten. Der entsprechende Teilnehmer sprach sich bezeichnenderweise gegen ein solches Verfahren aus.

Nusenu meldet Server von KAX17 nach eigenen Angaben seit vorigem Jahr an das Tor-Projekt. Das dortige Sicherheitsteam habe daraufhin im Oktober 2020 alle Exit-Knoten der Gruppe entfernt. Kurz darauf seien aber einige solcher Server ohne Kontaktinformationen wieder online gegangen. Es sei wahrscheinlich, dass KAX17 dahinterstehe. Offenbar entwickle sich ein Hase-und-Igel-Wettlauf zwischen beiden Seiten.

Ein Sprecher des Tor-Projekts bestätigte gegenüber The Record die neuen Erkenntnisse von Nusenu. Er erklärte, dass auch im Oktober und im November dieses Jahres mehrere hundert Knoten entfernt worden seien, die man KAX17 habe zuschreiben können. Man untersuche den Angreifer noch und könne daher bislang keine Attribution vornehmen. Es gebe noch keine genauen Hinweise, wer dahinterstecken könnte. Die Enthüllungen Edward Snowdens legten zuvor nahe, dass zumindest der technische US-Geheimdienst NSA entsprechende Fähigkeiten haben dürfte.

Obwohl Nusenu bislang dagegen war, hält der Experte es mittlerweile für sinnvoll und teils notwendig, nicht vertrauenswürdige Knoten im Tor-Netzwerk von bestimmten Datenbewegungen auszuschließen. Nur so könne das Risiko der Deanonymisierung und anderer Angriffe verringert werden. Dafür sei es nötig, dass Tor-Clients den Einsatz "vertrauenswürdiger Betreiber" voreinstellen oder über "Vertrauensanker" kennenlernen könnten. Über 50 Prozent der Exit-Knoten seien auf ein solches Verfahren zur "Selbstverteidigung" bereits ausgerichtet.

(bme)