Peste 25% din nodurile Tor Exit controlate de un atacator

Un atacator necunoscut a reușit să controleze mai mult de 27% din întreaga capacitate de ieșire a rețelei Tor la începutul lunii februarie 2021, a dezvăluit un nou studiu privind infrastructura dark web.

Atacurile, despre care se știe că au început în ianuarie 2020, au fost documentate și expuse public pentru prima dată în august 2020.

Tor este un browser open-source care permite navigarea anonimă pe internet. Acesta ascunde sursa și destinația unei cereri web prin direcționarea traficului printr-o serie de noduri pentru a masca adresa IP a utilizatorului și locația, făcând dificilă monitorizarea sau analizarea traficului. În timp ce rețelele de mijloc au de obicei grijă să primească trafic pe rețeaua Tor și să-l transmită, o rețea de ieșire este nodul final prin care trece traficul Tor înainte de a ajunge la destinație.

Nodurile de ieșire din rețeaua Tor au fost monitorizate în trecut pentru a injecta malware-uri cum ar fi OnionDuke, dar aceasta este prima dată când un singur atacator neidentificat a reușit să controleze o fracțiune atât de mare de noduri de ieșire Tor.

Acesta a menținut 380 de rețele de ieșire Tor malițioase, înainte ca Tor să intervină pentru eliminarea nodurilor din rețea, după care activitatea s-a reluat la începutul acestui an, atacatorul încercând să adauge peste 1.000 de ieșiri în prima săptămână a lunii Mai. Toate nodurile de ieșire Tor malițioase detectate în timpul celui de-al doilea val de atacuri au fost eliminate în scurt timp.

Scopul principal este de a efectua atacuri de tip man-in-the-middle asupra utilizatorilor Tor prin manipularea traficului. Mai exact, atacatorul pare să efectueze ceea ce se numește SSL stripping pentru a intercepta traficul care se îndreaptă către serviciile Bitcoin de la HTTPS la HTTP, în încercarea de a înlocui adresele Bitcoin și de a redirecționa tranzacțiile către portofelele lor electronice în loc de adresa Bitcoin furnizată de utilizator. Pentru a atenua astfel de atacuri Tor a subliniat o serie de recomandări, inclusiv îndemnarea administratorilor de site-uri web să activeze HTTPS în mod implicit, adăugând că se lucrează la o actualizare care  va dezactiva HTTP în Tor Browser.

Sursa: https://thehackernews.com/2021/05/over-25-of-tor-exit-relays-are-spying.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică