В начале текущей недели ИБ-специалист и оператор сервера Tor, известный как Nusenu, опубликовал результаты своего исследования. По его данным, с января 2020 года группа неизвестных лиц устанавливает контроль над выходными узлами Tor и осуществляет атаки типа SSL stripping. В какой-то момент им принадлежала четверть всех выходных узлов (380 серверов), а сейчас они контролируют около 10%, несмотря на то, что разработчики Tor трижды принимали меры для прекращения этой активности.
Исследователь пишет, что истинный масштаб операций этой группы неизвестен, но их главной целью определенно является получение прибыли. Nusenu объясняет, что злоумышленники осуществляют атаки man-in-the-middle на пользователей Tor и манипулируют трафиком, проходящим через подконтрольные им выходные узлы. Цель таких MitM-атак — применение техники SSL stripping, то есть даунгрейд трафика пользователей с HTTPS-адресов на менее безопасные HTTP.
По мнению специалиста, таким образом группировка подменяет биткоин-адреса внутри HTTP-трафика, связанного с миксер-сервисами. Подобные сервисы помогают «запутать следы», превращая простой перевод средств с одного аккаунта на другой в сложную схему: вместо одной транзакции сервис разбивает нужный платеж на сотни или тысячи мелких переводов, которые отправляются на разные аккаунты и проходят через множество кошельков, прежде чем достигнут истинной цели. То есть, подменяя адреса на уровне HTTP-трафика, злоумышленники эффективно перехватывают средства жертв, без ведома как самих пользователей, так и криптовалютных миксер-сервисов.
Сами по себе подобные атаки нельзя назвать новыми, но исследователь отмечает невиданный масштаб этой операции. Так, опираясь на контактный email-адрес вредоносных серверов, эксперт отследил по меньшей мере 9 кластеров входных узлов, добавленных за последние семь месяцев. Вредоносная сеть достигла своего пика 22 мая текущего года, когда в нее входили 380 серверов, и группировка контролировала 23,95% всех выходных узлов Tor.
Nusenu пишет, что он не раз сообщал администраторам Tor о вредоносных выходных узлах и после последней «зачистки», произошедшей 21 июня 2020 года, возможности злоумышленников сильно сократились. Впрочем, по состоянию на 8 августа 2020 года группировка по-прежнему контролировала около 10% выходных узлов.
По мнению исследователя, злоумышленники будут продолжать эти атаки и далее, так как у инженеров Tor Project нет возможности тщательно проверить всех присоединившихся к сети участников, ведь во главу угла ставится анонимность.
Напомню, что похожая атака была обнаружена в 2018 году. Тогда в манипуляциях пользовательским трафиком уличили операторов нескольких Tor2Web-сервисов. Злоумышленники так же подменяли адреса биткоин-кошельков своими. К примеру, когда пользователи пытались заплатить выкуп операторам шифровальщиков LockeR, Sigma и GlobeImposter, их средства оседали в карманах других хакеров.