Les hackers s’emparent d’un quart du réseau Tor

Last updated Déc 3, 2022

Les attaquants à la volée remplacent les portefeuilles bitcoin dans les navigateurs des utilisateurs afin d’intercepter les fonds envoyés.

Un groupe cybercriminel inconnu a ajouté des serveurs au réseau Tor afin de mener une attaque de suppression SSL sur les utilisateurs du navigateur Tor effectuant des transactions avec des crypto-monnaies. Leur tâche consistait à remplacer les adresses BTC cibles directement dans le trafic, privant ainsi leurs victimes de monnaie numérique.

Les cybercriminels ont commencé leur activité en janvier 2020 et, en mai 2020, contrôlaient un quart de tous les nœuds de sortie du réseau Tor (23,95 % ou 380 pièces). Grâce à ces serveurs, le trafic des utilisateurs quitte le réseau Tor et entre dans l’Internet ouvert.

La portée de l’opération est difficile à déterminer, selon le chercheur en sécurité Nusenu, mais il a pu identifier près de quatre cents nœuds de sortie malveillants qui étaient sous le contrôle des attaquants au plus fort de l’opération.

En manipulant le trafic passant par des nœuds de sortie Tor contrôlés, les attaquants ont utilisé une technique d’attaque de l’homme du milieu (MITM) sur les utilisateurs du navigateur Tor. En particulier, ils étaient intéressés par les visiteurs de sites liés aux crypto-monnaies.

Pour être plus précis, les cybercriminels ont effectué ce que l’on appelle le SSL stripping – ils ont ramené le trafic HTTPS des utilisateurs vers un HTTP moins sécurisé. Comme l’a expliqué Nusenu, l’objectif des attaquants était de remplacer les adresses bitcoin dans le trafic HTTP envoyé aux mélangeurs bitcoin (services d’anonymisation des transactions de crypto-monnaie). En changeant les adresses bitcoin au niveau du trafic HTTP, les cybercriminels ont réussi à intercepter la crypto-monnaie sans que ses propriétaires ne s’en aperçoivent.

En utilisant une technique appelée "SSL Stripping", les attaquants ont échangé le trafic HTTPS chiffré des utilisateurs contre du HTTP non chiffré, leur permettant d’analyser et de modifier librement les données interceptées comme ils l’entendaient avant qu’elles ne quittent le réseau Tor. Ainsi, ils ont eu la possibilité de rechercher des adresses de portefeuille Bitcoin dans le trafic des utilisateurs, puis de les remplacer par les leurs.

À la suite de l’attaque, un utilisateur du navigateur Tor, lorsqu’il tentait de transférer des fonds de son portefeuille Bitcoin vers un autre portefeuille Bitcoin, pourrait facilement donner les fonds à des escrocs.

En juin de cette année, les opérateurs du réseau Tor ont procédé à un "nettoyage", affaiblissant considérablement la puissance d’attaque des attaquants. Ils ont réussi à réduire considérablement l’influence des intrus, cependant, plus de 10% du trafic réseau reste sous leur contrôle.