Специалисты из компании Leviathan Security Group обнаружили вредоносный узел Tor на территории России. Он дописывает бинарный код в конец файлов, которые пользователь скачивает из интернета. Tor — хороший инструмент для обеспечения анонимного доступа. Но анонимность не означает безопасность.
Исследователи говорят, что такое поведение сервера можно рассматривать как разновидность MiTM-атаки.
Для демонстрации подобной уязвимости разработчики из Leviathan Security Group выпустили программу BDF (Backdoor Factory), которая модифицирует исполняемые файлы, добавляя к ним произвольный код. Автор программы BDF объясняет принцип её работы в демонстрации на видео (выступление записано на хакерской конференции DerbyCon 2014).
О вредоносном российском узле уведомлены координаторы проекта Tor, так что сейчас он помечен как плохой узел (флаг BadExit). Пользователи сети Tor должны принять эту информацию к сведению.
Нужно отметить, что из 1110 выходных узлов в сети Tor это был единственный, который добавлял вредоносный код к бинарникам. Все остальные проверены и не осуществляют ничего подобного. Хотя, это нельзя гарантировать наверняка: узлы могут действовать избирательно и модифицировать только часть файлов, чтобы не проявить себя при проверке.
