Hacker übernehmen ein Viertel des Tor-Netzwerks

Last updated 3. Dezember 2022

Angreifer ersetzen Bitcoin-Wallets im Handumdrehen in den Browsern der Benutzer, um die gesendeten Gelder abzufangen.

Eine unbekannte cyberkriminelle Gruppe fügte dem Tor-Netzwerk Server hinzu, um einen SSL-Stripping-Angriff auf Benutzer des Tor-Browsers durchzuführen, die Transaktionen mit Kryptowährungen durchführen. Ihre Aufgabe war es, Ziel-BTC-Adressen direkt im Datenverkehr zu ersetzen und ihren Opfern so die digitale Währung zu entziehen.

Cyberkriminelle begannen ihre Aktivitäten im Januar 2020 und kontrollierten bis Mai 2020 ein Viertel aller Ausgangsknoten des Tor-Netzwerks (23,95 % oder 380 Stück). Über diese Server verlässt der Benutzerverkehr das Tor-Netzwerk und gelangt in das offene Internet.

Der Umfang der Operation ist laut Sicherheitsforscher Nusenu schwer zu bestimmen, aber er konnte fast vierhundert bösartige Ausgangsknoten identifizieren, die auf dem Höhepunkt der Operation unter der Kontrolle von Angreifern standen.

Durch die Manipulation des Datenverkehrs, der durch kontrollierte Tor-Ausgangsknoten geleitet wird, wandten die Angreifer eine Man-in-the-Middle (MITM)-Angriffstechnik auf Benutzer von Tor-Browsern an. Sie interessierten sich insbesondere für Besucher von Websites mit Bezug zu Kryptowährungen.

Genauer gesagt führten Cyberkriminelle das sogenannte SSL-Stripping durch – sie rollten den HTTPS-Verkehr der Benutzer auf weniger sicheres HTTP zurück. Wie Nusenu erklärte, war das Ziel der Angreifer, Bitcoin-Adressen im HTTP-Verkehr zu ersetzen, der an Bitcoin-Mixer (Dienste zur Anonymisierung von Kryptowährungstransaktionen) gesendet wurde. Durch das Ändern von Bitcoin-Adressen auf der Ebene des HTTP-Verkehrs haben Cyberkriminelle die Kryptowährung erfolgreich abgefangen, ohne dass ihre Besitzer es bemerkten.

Mit einer Technik namens „SSL-Stripping” tauschten die Angreifer den verschlüsselten HTTPS-Verkehr der Benutzer gegen unverschlüsseltes HTTP aus, sodass sie die abgefangenen Daten nach Belieben parsen und ändern konnten, bevor sie das Tor-Netzwerk verließen. So erhielten sie die Möglichkeit, im Benutzerverkehr nach Bitcoin-Wallet-Adressen zu suchen und diese dann durch ihre eigenen zu ersetzen.

Infolge des Angriffs konnte ein Tor-Browser-Benutzer beim Versuch, Geld von seiner Bitcoin-Wallet auf eine andere Bitcoin-Wallet zu überweisen, die Gelder leicht an Betrüger weitergeben.

Im Juni dieses Jahres führten die Betreiber des Tor-Netzwerks eine „Säuberung” durch, die die Angriffskraft der Angreifer deutlich schwächte. Sie haben es geschafft, den Einfluss von Eindringlingen deutlich zu reduzieren, aber mehr als 10 % des Netzwerkverkehrs bleiben unter ihrer Kontrolle.