29.09.2020

Атака на пользователей Tor, в которую вовлечено четверть мощности выходных узлов


Автор проекта OrNetRadar, занимающегося мониторингом подключения новых групп узлов к анонимной сети Tor, опубликовал отчёт о выявлении крупного оператора вредоносных выходных узлов Tor, который пытается манипулировать трафиком пользователей. В соответствии с приведённой статистикой 22 мая было зафиксировано подключение к сети Tor большой группы вредоносных узлов, в результате которого атакующие получили контроль за трафиком, охватывающим 23.95% от всех обращений через выходные узлы.

В пик своей активности вредоносная группа насчитывала около 380 узлов. Связав узлы на основе контактных email, указанных на серверах с вредоносной активностью, исследователям удалось выявить как минимум 9 разных кластеров вредоносных выходных узлов, действующих около 7 месяцев. Разработчики Tor попытались заблокировать вредоносные узлы, но атакующие быстро восстановили свою активность. В настоящее время число вредоносных узлов снизилось, но через них по-прежнему проходит более 10% трафика.

Из зафиксированной на вредоносных выходных узлах активности отмечается выборочное удаление перенаправлений на HTTPS-варианты сайтов при изначальном обращении к ресурсу без шифрования по HTTP, что позволяет злоумышленникам перехватывать содержимое сеансов без подмены TLS-сертификатов (атака «ssl stripping»). Подобный подход срабатывает у пользователей, которые набирают адрес сайта без явного указания «https://» перед доменом и после открытия страницы не акцентируют внимание на название протокола в адресной строке Tor Browser.

Для затруднения выявления вредоносной активности подмена осуществляется выборочно на отдельных сайтах, в основном связанных с криптовалютами. Если в незащищённом трафике выявляется bitcoin-адрес, то в трафик вносятся изменения для замены bitcoin-адреса и перенаправления транзакции на свой кошелёк. Для защиты от блокирования перенаправления на HTTPS сайтам рекомендуется использовать HSTS preloading.

Источник: https://www.opennet.ru/opennews/art.shtml?num=53530

Добавить комментарий