Gli aggressori sostituiscono al volo i portafogli bitcoin nei browser degli utenti per intercettare i fondi inviati.
Un gruppo criminale informatico sconosciuto ha aggiunto server alla rete Tor per eseguire un attacco di stripping SSL contro gli utenti del browser Tor che effettuano transazioni con criptovalute. Il loro compito era sostituire gli indirizzi BTC target direttamente nel traffico, privando così le loro vittime della valuta digitale.
I criminali informatici hanno iniziato la loro attività nel gennaio 2020 e a maggio 2020 controllavano un quarto di tutti i nodi di uscita della rete Tor (23,95% o 380 pezzi). Attraverso questi server, il traffico degli utenti lascia la rete Tor ed entra in Internet aperto.
La portata dell’operazione è difficile da determinare, secondo il ricercatore di sicurezza Nusenu, ma è stato in grado di identificare quasi quattrocento nodi di uscita dannosi che erano sotto il controllo degli aggressori al culmine dell’operazione.
Manipolando il traffico che passa attraverso i nodi di uscita Tor controllati, gli aggressori hanno utilizzato una tecnica di attacco man-in-the-middle (MITM) sugli utenti del browser Tor. In particolare, erano interessati ai visitatori dei siti relativi alle criptovalute.
Per essere più precisi, i criminali informatici hanno eseguito il cosiddetto stripping SSL: hanno ripristinato il traffico HTTPS degli utenti su HTTP meno sicuro. Come ha spiegato Nusenu, l’obiettivo degli aggressori era sostituire gli indirizzi bitcoin all’interno del traffico HTTP inviato ai mixer bitcoin (servizi per l’anonimizzazione delle transazioni di criptovaluta). Modificando gli indirizzi bitcoin a livello di traffico HTTP, i criminali informatici hanno intercettato con successo la criptovaluta senza che i suoi proprietari se ne accorgessero.
Utilizzando una tecnica chiamata "SSL Stripping", gli aggressori hanno scambiato il traffico HTTPS crittografato degli utenti con HTTP non crittografato, consentendo loro di analizzare e modificare liberamente i dati intercettati come meglio credevano prima che lasciassero la rete Tor. Pertanto, hanno avuto l’opportunità di cercare gli indirizzi dei portafogli Bitcoin nel traffico degli utenti e quindi sostituirli con i propri.
Come risultato dell’attacco, un utente Tor Browser, quando tenta di trasferire fondi dal suo portafoglio Bitcoin a un altro portafoglio Bitcoin, potrebbe facilmente dare i fondi ai truffatori.
Nel giugno di quest’anno, gli operatori della rete Tor hanno effettuato una "pulizia", indebolendo notevolmente il potere di attacco degli aggressori. Sono riusciti a ridurre significativamente l’influenza degli intrusi, tuttavia, oltre il 10% del traffico di rete rimane sotto il loro controllo.