Netzpolitik
06.08.2013

Bericht: NSA platziert Malware auf Tor-Servern

Nach der Festnahme des Freedom Hosting-Betreibers wurden auf den von ihm gehosteten Seiten Malware entdeckt, die die Identität der Tor-Nutzer ausforschen soll. Berichten zufolge soll die NSA oder das FBI dahinter stehen.

Baneki Privacy Labs, eine Gruppe von mehreren Sicherheitsforschern, hat Malware auf den Servern des Hosting-Dienstes Freedom Hosting entdeckt, dessen Betreiber vergangene Woche in Irland

. Freedom Hosting hat sich auf das Hosting von Webseiten im anonymisierten Tor-Netzwerk spezialisiert. Die Malware könnte jedoch die Identität einiger Nutzer enthüllt haben, denn diese habe vor allem Informationen gesammelt, die den Nutzer identifizierbar machen, beispielsweise Mac-Adresse und Host-Name.

Seit 2002
Die Malware soll von US-Behörden in Auftrag gegeben worden sein. Welche Behörde dahintersteckt ist derzeit noch unklar, aber sowohl das FBI als auch die NSA kommen derzeit in Frage. Laut einem Bericht von Wired handelt es sich bei der Malware um die vom FBI entwickelte Spyware CIPAV (Computer and Internet Protocol Adress Verifier), die bereits seit 2002 zur Ausforschung von Hackern, Erpressern, Sexualstraftätern und anderen Kriminellen eingesetzt wird. Freedom Hosting wurde vor allem vorgeworfen, dass 95 Prozent der Kinderpornografie im Tor-Netzwerk auf deren Servern liegen würden.

Nur lose Verbindung zu NSA
Die Seiten sind alle derzeit nicht erreichbar und liefern eine "Offline zur Wartung"-Meldung. Darin verbirgt sich jedoch der nun entdeckte Code. Die IP-Adresse der Malware führt auf Server im US-Bundesstaat Virginia zurück, die zum Sicherheits-Dienstleister SAIC gehören. Dieser habe bereits des öfteren für US-Behörden wie die NSA und das FBI gearbeitet. Ein Mitglieder von Baneki Privacy Labs will jedoch herausgefunden haben, dass SAIC die besagten Adressen der NSA zugewiesen habe. Die Entdeckung wurde jedoch von zahlreichen Medien angezweifelt, da die Einträge bereits veraltet waren.

Die Malware macht von einer JavaScript-Lücke Gebrauch, die mittlerweile bereits gestopft wurde. Nutzer einer älteren Windows-Version des Tor Browser Bundle könnten jedoch noch gefährdet sein, da das erforderliche Update erst mit der aktuellen Version ausgeliefert wird.

Mehr zum Thema

  • Gründer von Anonymisierungsnetzwerk verhaftet
  • Hausdurchsuchung bei Grazer TOR-Betreiber