Неизвестные завладели четвертью нодов Tor для атак на пользователей

[Artifact]

Злоумышленники осуществляли атаки SSL stripping на пользователей браузера Tor.

С января 2020 года неизвестная киберпреступная группа добавляла в сеть Tor серверы с целью осуществления атаки SSL stripping на пользователей браузера Tor, посещающих связанные с криптовалютой сайты. Киберпреступники действовали так слаженно и неустанно, что к маю 2020 года контролировали четверть всех выходных узлов сети Tor (серверов, через которые трафик пользователей покидает сеть Tor и выходит в открытый интернет).
Как https://medium.com/@nusenu/how-malic...i-1097575c0cacисследователь безопасности Nusenu, который также является оператором выходного узла Tor, в разгар операции под управлением злоумышленников находилось почти четыре сотни вредоносных выходных узлов. По его словам, масштаб операции определить сложно, но одно известно наверняка – киберпреступники преследовали финансовую выгоду.
Злоумышленники осуществляли атаки «человек посередине» на пользователей браузера Tor путем манипуляций с трафиком, проходящим через подконтрольные им выходные узлы. В частности их интересовали посетители сайтов, связанных с криптовалютами.
Говоря точнее, киберпреступники осуществляли так называемый SSL stripping – откатывали HTTPS-трафик пользователей до менее безопасного HTTP. Как пояснил Nusenu, целью злоумышленников была замена биткойн-адресов внутри HTTP-трафика, отправляемого на биткойн-миксеры (сервисы анонимизации криптовалютных транзакций). Меняя биткойн-адреса на уровне HTTP-трафика, киберпреступники успешно перехватывали криптовалюту незаметно для ее владельцев.
Сами по себе атаки с подменой биткойн-адресов не являются чем-то новым, однако в данном случае поражает размах операции. В пик атаки 22 мая злоумышленники контролировали 380 серверов – 23,95% от всех выходных узлов сети Tor. То есть, шансы пользователей попасть на вредоносный нод равнялись 1 к 4.
В мае нынешнего года Nusenu сообщил о проблеме администраторам Tor, и в ходе трех операций им удалось существенно уменьшить влияние злоумышленников. Третья операция по ликвидации вредоносных выходных узлов прошла 21 июля. Тем не менее, по словам исследователя, под их контролем до сих пор находятся до 10% выходных узлов.
Вероятнее всего, группировка продолжит атаки, поскольку у Tor Project не предусмотрена тщательная проверка операторов добавляемых в сеть серверов. Хотя обеспечение анонимности является ключевой функцией Tor, администрации сети стоило бы ввести проверку хотя бы операторов выходных узлов. Это помогло бы избежать подобных атак в будущем (к слову, в прошлом такие атаки на пользователей Tor уже встречались).