Неизвестным хакерам удалось получить контроль над более 27% всех выходных мощностей сети Tor в начале февраля 2021 года, показало новое исследование инфраструктуры темной паутины.
«Структура, атакующая пользователей Tor, активно эксплуатирует пользователей Tor уже более года и расширила масштаб своих атак до нового рекордного уровня», - сообщил независимый исследователь безопасности под ником «nusenu» в своем исследовании, опубликованном в воскресенье. «Средняя доля выходов, которую контролировала эта организация, превышала 14% в течение последних 12 месяцев».
Это последнее из серии исследований, предпринятых с целью выявления вредоносной активности Tor с декабря 2019 года. Атаки, которые, как утверждается, начались в январе 2020 года, были впервые задокументированы и раскрыты тем же исследователем в августе 2020 года.
Tor - это программное обеспечение с открытым исходным кодом для обеспечения анонимного общения в интернете. Оно скрывает источник и место назначения веб-запроса, направляя сетевой трафик через серию ретрансляторов, чтобы замаскировать IP-адрес пользователя и его местоположение от наблюдения или анализа трафика. В то время как средние ноды обычно принимают трафик в сети Tor и передают его дальше, выходная нода - это конечный узел, через который проходит трафик Tor, прежде чем он достигнет места назначения.
В прошлом, узлы выхода в сети Tor использовались для внедрения вредоносных программ, таких как OnionDuke, но это первый случай, когда одной неизвестной группе удалось контролировать такую большую часть узлов выхода Tor.
Хакерская организация поддерживала 380 скомпрометированных выходных нод Tor на пике активности в августе 2020 года, до того, как руководство Tor вмешалось и удалило узлы из сети. После этого активность снова достигла пика в начале этого года, причем в первую неделю мая злоумышленники попытались добавить более 1 000 выходных нод. Все вредоносные выходные ноды Tor, обнаруженные во время второй волны атак, на данный момент также были удалены.
Основная цель атаки, по словам nusenu, заключается в проведении атак «man-in-the-middle» на пользователей Tor путем манипулирования трафиком, проходящим через сеть выходных нод. В частности, злоумышленники, по-видимому, проводят так называемый «SSL stripping» для понижения уровня защиты направляющегося к сервисам bitcoin-микшеров трафика с HTTPS на HTTP в попытке подменить bitcoin-адреса и перенаправить транзакции на их кошельки вместо указанного пользователем bitcoin-адреса.
«Если пользователь посещал HTTP-версию (т.е. незашифрованную версию) одного из этих сайтов, они не позволяли сайту перенаправить пользователя на HTTPS-версию (т.е. зашифрованную версию) сайта», - объяснили представители команды Tor Project в августе прошлого года. «Если пользователь не заметил, что он не попал на HTTPS-версию сайта (в браузере нет значка замка) и продолжил отправлять или получать конфиденциальную информацию, эта информация может быть перехвачена злоумышленником».
Чтобы смягчить последствия таких атак, команда Tor Project предложила ряд рекомендаций, в том числе призвала администраторов сайтов включать HTTPS по умолчанию и развертывать сайты .onion, чтобы избежать использования выходных нод при маршрутизации запросов, добавив, что работает над «комплексным исправлением» для отключения простого HTTP в Tor Browser.
«Риск стать объектом вредоносной деятельности через Tor уникален для каждой организации», - сообщается в рекомендациях Агентства по безопасности, кибербезопасности и защите инфраструктуры США (CISA), опубликованных в июле 2020 года. «Организация должна определить свои индивидуальные риски, оценив вероятность того, что атакующие нацелятся на ее системы или данные, и вероятность успеха кибератаки с учетом текущих мер защиты и контроля».
«Организациям следует оценить свои решения по снижению рисков с учетом угроз для их организации со стороны таргетированных атак, умеренно комплексных злоумышленников и низкоквалифицированных индивидуальных хакеров, которые в прошлом использовали Tor для разведки и атак», - добавили в агентстве.
Перевод сделан со статьи: https://thehackernews.com