Kostenloses VPN verwandelt Nutzermaschine in Luminati Exit Node

von Trend Micro

Virtual Private Networks (VPNs) wurden für den sicheren Zugriff auf das Internet entwickelt, und die sich permanent wandelnde Bedrohungslandschaft zeigt, die Gründe dafür werden immer noch zwingender. VPN-Dienste versprechen Datenverschlüsselung und Anonymität, denn Nutzer können ihre IP-Adresse und sogar kritische Finanzdaten somit verbergen. Doch was passiert, wenn genau dieser Schild etwas vor den Nutzern verbirgt?

Hinweise auf ein unsicheres VPN

Ein unsicheres VPN tut nicht das, wofür es gedacht ist — nämlich eine anonyme, sichere Möglichkeit zu bieten, ins Internet zu gehen. Mit Malware infizierte VPNs sind ein Beispiel dafür. 2017 untersuchten Forscher aus Australien, Großbritannien und den USA 234 VPN-Anwendungen aus dem Google Play Store. Sie stellten fest, dass mehr als ein Drittel davon Malware zum Tracken des Online-Verhaltens der Nutzer einsetzten.

Auch gibt es VPNs, die IP-Adressen abfließen lassen. Im März 2018 fand ein Sicherheitsforscher heraus, dass 17 von 83 getesteten VPN Clients IP-Adressen über die Browser der Nutzer herausgaben. Eine dieser 17 aufgelisteten VPNs ist HolaVPN, ein bekannter VPN-Service der Hola Networks Ltd., der auf Millionen von Computern weltweit läuft – allein die Nutzer seiner Google Chrome Extension überschreitet 8 Millionen. Es stellte sich auch heraus, dass er Bandbreite der Nutzer abzweigt.

Die HolaVPN-Software wird als Community VPN vermarktet, das heißt also, dass Nutzer angeblich ihre Internet-Verbindungen mit anderen in allen Teilen der Welt sharen können. Das Ziel: Nutzer können auf Websites zugreifen, ohne mit Überwachung oder Zensur rechnen zu müssen.

2015 wurde 8chan Opfer eines Spam-Angriffs, der seine Website für einige Minuten außer Gefecht setzte. Der Angriff war von einem bekannten Spammer namens „Bui“ gelauncht worden und zeigte auf, wie HolaVPN seine Nutzer als Exit Nodes verkauft – über die Schwesterfirma Luminati. Bis vor Kurzem lag Luminatis Einsatz von HolaVPN Exit Nodes im Dunklen. Klar ist, dass das Proxy-Netzwerk von Luminati unliebsame Benutzer anziehen könnte, Bedrohungsakteure, die es für cyberkriminelle Aktivitäten missbrauchen.

Die Sicherheitsforscher analysierten detailliert den Webverkehr von Luminati, um besser zu verstehen, was da passiert. Die Forschungsdaten umfassten 100 Millionen URLs, die anonym von Trend Micro Software gescannt wurden.



Inhalte des Luminati Traffics

Die Studie zeigte, dass mehr als 85 Prozent des Traffics auf mobile Werbung und andere mobilitätsbezogene Domains und Programme entfielen – ein Hinweis darauf, dass Cyberkriminelle u.U. den Service für groß angelegte Klick-Betrugsprogramme nutzen. Sie fanden auch einen Link zu den ehemaligen KlikVip-Akteuren und Websites mit über Luminati geroutetem Traffic.

Konsequenzen des Einsatzes eines unsicheren VPNs

Die Ergebnisse aus der Untersuchung von Trend Micro zeigen, dass eine Nutzermaschine, auf der das kostenlose HolaVPN läuft, zu einem Luminati Exit Node wird. Ist nun die Maschine Teil eines Unternehmensnetzwerks, könnte dieser Exit Node einem Dritten Zugang zu Unternehmenssystemen verschaffen. HolaVPN könnte Angreifer dabei unterstützen, Firewalls zu umgehen und das interne Netzwerk eines Unternehmens zu erkunden.

Auch werden Bandbreiten der HolaVPN-Nutzer über Luminati verkauft und könnten so als Teil von Botnet-Aktivitäten missbraucht werden. Schließlich wären Cyberkriminelle auch in der Lage verschiedene illegale oder nicht autorisierte Aktivitäten auf den Maschinen durchzuführen.

Weitere Einzelheiten zu dem Forschungsprojekt umfasst das Whitepaper „Illuminating HolaVPN and the Dangers It Poses“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.