На протяжении последних 16 месяцев неизвестные злоумышленники внедряют вредоносные серверы в сеть Tor, а затем с их помощью перехватывают связанный с криптовалютой трафик и выполняют атаки типа SSL stripping.

Эта кампания началась еще в январе 2020 года, и ее суть заключалась в добавлении в сеть Tor северов, которые помечались как выходные узлы (то есть серверы, через которые трафик покидает сеть Tor и повторно попадает в общедоступный интернет).

С тех пор злоумышленники внедрили в сеть Tor тысячи вредоносных серверов, и с их помощью  идентифицировали трафик, направляемый на сайты криптовалютных миксеров, а затем устраивали атаки типа SSL stripping, то есть осуществляли даунгрейд трафика пользователей с HTTPS-адресов на менее безопасные HTTP. После даунгрейда до  HTTP, преступники получают возможность поменять адреса криптовалютных кошельков своими собственными и перехватывать транзакции.

Впервые атаки были задокументированы в августе прошлого года ИБ-специалистом и оператором сервера Tor, известным под псевдонимом Nusenu. Тогда он сообщал, что в лучшие дни атакующим удавалось контролировать 23,95% всех выходных узлов Tor.

Теперь Nusenu опубликовал новое исследование, в котором пишет, что хотя происходящее давно предали огласке, злоумышленники все еще продолжают свои атаки. Хуже того, атаки лишь усилились: в феврале 2021 года преступники даже побили собственный «рекорд» и отвечали за 27% всех выходных узлов Tor.

Хотя в итоге вторая волна атак была обнаружена, а вредоносные серверы удалены из сети Tor, до этого инфраструктура злоумышленников работала и перехватывала трафик пользователей на протяжении долгих недель или даже месяцев. Дело в том, что хакеры внедряли свои серверы в сеть небольшими порциями, накапливая мощную инфраструктуру и не привлекая к себе внимания.

Этой тактике хакеры изменили лишь в текущем месяце: когда их инфраструктура снова была отключена, они попытались восстановить все серверы одновременно. Эта атака была обнаружена в течение суток, ведь одномоментное увеличение количества выходных узлов с 1500 до 2500 не могли не заметить.

Хотя теперь более 1000 серверов отключены, эксперт пишет, что по состоянию на 5 мая 2021 года злоумышленники все еще контролируют от 4% до 6% выходных узлов Tor, а атаки с использованием SSL stripping продолжаются.

Оставить мнение