Хакери захопили чверть мережі Tor

Останнє оновлення Гру 1, 2022

Зловмисники на льоту підмінюють биткоин гаманці в браузерах користувачів, щоб перехопити кошти, що відправляються.

Невідома кіберзлочинна група додавала до мережі Tor сервери з метою здійснення атаки SSL stripping на користувачів браузера Tor, які проводять операції з криптовалютами. Їхнім завданням була підміна цільових BTC-адрес прямо у трафіку, тим самим позбавляючи своїх жертв цифрової валюти.

Кіберзлочинці розпочали свою активність у січні 2020 року, і до травня 2020 року контролювали чверть усіх вихідних вузлів мережі Tor (23,95% або 380 штук). Через ці сервери користувальницький трафік залишає мережу Tor і виходить у відкритий інтернет.

Як повідомляє дослідник безпеки Nusenu, масштаб операції визначити складно, але йому вдалося виявити майже чотири сотні шкідливих вихідних вузлів, які перебували під керуванням зловмисників на піку операції.

Маніпулюючи трафіком, що проходить через підконтрольні вихідні вузли Tor, зловмисники застосовували техніку атаки посередника "людина посередині" (MITM, Man in-the-middle) на користувачів браузера Tor. Зокрема, їх цікавили відвідувачі сайтів, пов’язаних з криптовалютами.

Говорячи точніше, кіберзлочинці здійснювали так званий SSL stripping – відкочували HTTPS-трафік користувачів до менш безпечного HTTP. Як пояснив Nusenu, метою зловмисників була заміна біткойн-адрес усередині HTTP-трафіку, що відправляється на біткойн-міксери (сервіси анонімізації криптовалютних транзакцій). Змінюючи біткойн-адреси на рівні HTTP-трафіку, кіберзлочинці успішно перехоплювали криптовалюту непомітно для її власників.

Використовуючи техніку під назвою “SSL Stripping", зловмисники змінювали зашифрований HTTPS-трафік користувачів на незашифрований HTTP, що дозволяло їм вільно аналізувати та модифікувати на свій розсуд перехоплені дані перед тим, як ті покинуть мережу Tor. Таким чином, вони отримали можливість шукати в трафіку користувача адреси Bitcoin-гаманців, а потім підміняти їх на свої.

В результаті атаки користувач Tor Browser при спробі перевести кошти зі свого Bitcoin-гаманця на інший Bitcoin-гаманець міг запросто віддати кошти шахраям.

У червні цього року оператори мережі Tor провели «чистку», значно послабивши атакуючі потужності зловмисників. Їм вдалося суттєво зменшити вплив зловмисників, проте під їх контролем залишається ще більш ніж 10% трафіку мережі.