Macht KAX17 ganz gezielt Jagd auf Tor-Nutzer? Alles spricht für eine groß angelegte De-Anonymisierungs-Kampagne.
Bereits seit 2017 soll KAX17 hunderte von Servern im Tor-Netzwerk betreiben. Seine Identität ist bis heute völlig unbekannt. Ein Sicherheitsforscher befürchtet nun, er betreibe im großen Stil einen weltweiten De-Anonymisierungs-Angriff gegen Tor-Nutzer.
Bedrohungen im Zwiebel-Netzwerk seit Jahren bekannt
Dem Sicherheitsforscher und Betreiber von OrNetRadar, Nusenu, sind die verdächtigen Aktivitäten von KAX17 bereits 2019 zum ersten Mal aufgefallen. Zurückverfolgen konnte er seine Spuren allerdings bis ins Jahr 2017.
Besonders besorgniserregend ist seiner Meinung nach die Tatsache, dass KAX17 seine Server im industriellen Stil betreibt. Er nutzt dafür Rechenzentren auf der ganzen Welt und lässt sich diesen Spaß richtig was kosten.
Sehr verdächtig ist laut dem Sicherheitsforscher zudem die Tatsache, dass der mutmaßliche Bedrohungsakteur seine Server hauptsächlich als Tor-Eingangs- und Mittelpunkte konfiguriert und nur eine vergleichsweise kleine Anzahl an Exit-Servern betreibt.
KAX17: ganz klar kein Amateur und sehr hartnäckig
Für Nusenu steht fest, dass wer oder was auch immer dahinter steckt, ganz klar kein Amateur sein kann. Wer in der Lage ist, über Jahre hinweg und innerhalb kürzester Zeit immer wieder hunderte neue und anonyme Server bereitzustellen, braucht einiges an Ressourcen und Erfahrung.
Der Fokus von KAX17 auf Tor-Eingangs- und Mittelrelais veranlasst mich zu der Annahme, dass er Informationen über Nutzer zu sammeln versucht, die sich regelmäßig mit dem Netzwerk verbinden. Er versucht ganz klar, ihre Wege innerhalb des Zwiebel-Netzwerks nachzuverfolgen.
Nusenu
Server, die zum Tor-Netzwerk hinzugefügt werden, müssen zwar in der Regel Kontaktinformationen enthalten. Allerdings werden immer wieder Ausnahmen gemacht, um sicherzustellen, dass jederzeit genügend Kapazitäten vorhanden sind.
Diese Tatsache scheint KAX17 ganz gezielt auszunutzen. Mittlerweile dominiert dieses anonyme Server-Netzwerk ohne Kontaktinformationen anscheinend die Infrastruktur von Tor.
Tor-User können mit sehr hoher Wahrscheinlichkeit de-anonymisiert werden
Diese unglaublich hohe Dominanz einer komplett anonymen Serverinfrastruktur, welche einem einzigen und unbekannten Betreiber zugeordnet werden kann, birgt vor allem ein großes Risiko. Die gezielte Jagd und De-Anonymisierung einzelner Tor-Nutzer.
KAX17 kann aufgrund seiner umfassenden Überwachung des Tor-Netzwerks Tor-User mit den folgenden Wahrscheinlichkeiten de-anonymisieren:
Nusenu
- Guard: 10,34 %
- Middle: 24,33 %
- Exit: 4,6 %
Das schlimme ist aber, dass es kaum was nützt, die verdächtigen Server regelmäßig aus dem Zwiebel-Netzwerk zu entfernen. Denn KAX17 schafft es seit Jahren immer wieder innerhalb kürzester Zeit hunderte neue Server bereitzustellen.
Es gleicht einem Kampf gegen Windmühlen. Ein Kampf gegen jemanden, der sich sehr gut auszukennen scheint und der über sehr (sehr) viel Geld verfügen muss.
Es gibt zwar Ansätze, sich beim Navigieren im Tor-Netzwerk vor dieser anonymen und als gefährlich eingestuften Server-Infrastruktur zu schützen, aber für die breite Masse ist das derzeit wohl kaum praktikabel.