Ein neues Kapitel im Cyberwar: Chinas Great Cannon

Artem Marchenko (CC BY-NC 2.0)

Ein Bericht des Citizen Lab mit dem Titel: China’s Great Cannon“ liefert erstaunliche Einblicke in die „Distributed Denial of Service“ (DDoS)-Attacke gegen GitHub und GreatFire.

Den Forschenden ist es – aufgrund der Dauer und der Intensität der Attacke – gelungen, den Verursacher ausfindig zu machen. Den Angriff schreiben sie einer neuen Waffe der chinesischen Regierung zu, der sogenannten Great Cannon (GC). Die begriffliche Ähnlichkeit mit der Great Fire Wall (GFW) begründet sich in dem nachgewiesenen Zusammenhang zwischen der Wall und der Cannon.

Like the GFW, the GC is also a multi-process cluster, with different source IP addresses handled by distinct processes. The packets injected by the GC also have the same peculiar TTL side-channel as those injected by the GFW, suggesting that both the GFW and the GC likely share some common code. Taken together, this suggests that although the GC and GFW are independent systems with different functionality, there are significant structural relationships between the two.

Zusätzlich gelang es, eine Verbindung der geografischen Position von GC und GFW herzustellen.

We used the same TTL technique to localize the GC on the path between our test system and the Baidu server. We found that for our path, the GC acted on traffic between hop 17 and hop 18, the same link we observed as responsible for the GFW.

Dennoch operiert die GFW anders als die GC. Während die erstgenannte ein „on-path system“ darstellt, das den Datenverkeher zwischen China und dem Rest der Welt überwacht und den Zugriff auf verbotene Inhalte blockiert, beschreibt letztere  ein „in-path system“, „capable of not only injecting traffic but also directly suppressing traffic, acting as a full “man-in-the-middle” for targeted flows“.

Außerdem überwacht die GC nicht den gesamten Datenverkehr, sondern nur den von gezielt ausgewählten „Targets“, also im Vorfeld bestimmter IP-Adressen. Dazu agiert die GC nur aufgrund der Informationen, die im ersten übermittelten Datenpaket enthalten sind. Mit beiden Maßnahmen soll sichergestellt werden, dass die Cannon die teils sehr großen Datenaufkommen bewältigen kann.

Das Erstaunlichste an diesem Angriff ist, wie wenig versteckt die GC operiert. So scheint es, dass China die Entdeckung dieser Waffe nicht wirklich problematisch findet oder möglicherweise sogar beabsichtigte.

We remain puzzled as to why the GC’s operator chose to first employ its capabilities in such a publicly visible fashion. Conducting such a widespread attack clearly demonstrates the weaponization of the Chinese Internet to co-opt arbitrary computers across the web and outside of China to achieve China’s policy ends.

Das ist auch vor dem Hintergrund interessant, da sowohl die USA als auch Großbritannien Zugriff auf eine ähnliche Waffe besitzen (QUANTUM). Allerdings wurde diese (bis jetzt) noch nicht in einem vergleichbaren Maßstab wie die Cannon eingesetzt.

Besonders bedenklich ist, dass die GC relativ leicht dafür eingesetzt werden könnte, um die IP des Senders anzugreifen, also einen „exploit by IP address“ durchzuführen.

A technically simple change in the Great Cannon’s configuration, switching to operating on traffic from a specific IP address rather than to a specific address, would allow its operator to deliver malware to targeted individuals who communicates with any Chinese server not employing cryptographic protections.

Festzuhalten ist in jedem Fall, dass der offensichtliche Einsatz dieser neuen Waffe eine neue Phase in Chinas Cyberstrategie darstellt. So werden Inhalte nicht mehr nur überwacht und gegebenenfalls blockiert, sondern auch Angriffe von großem Ausmaß durchgeführt, anscheinend auch, um den USA die Cyber-Hegemonie streitig zu machen.

Deployment of the GC may also reflect a desire to counter what the Chinese government perceives as US hegemony in cyberspace.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.