Новое исследование инфраструктуры даркнета показало, что неизвестному злоумышленнику удалось контролировать более 27% всей выходной мощности сети Tor в начале февраля 2021 года.
«Лицо, атакующее пользователей Tor, уже более года активно использует их в своих интересах и активно расширяет масштаб своих атак до нового рекордного уровня», - сказал независимый исследователь безопасности Нусену в опубликованной в воскресенье статье. «Средняя доля выхода, которую контролировало это лицо, превышала 14% в течение последних 12 месяцев».
Это самая недавняя из серии попыток выявить вредоносную активность в системе Tor, совершаемую злоумышленником с декабря 2019 года. Атаки, которые, как утверждается, начались в январе 2020 года, были впервые задокументированы и раскрыты тем же исследователем в августе 2020 года.
Tor — это программное обеспечение с открытым исходным кодом, позволяющее анонимно коммуницировать в Интернете. Оно скрывает источник и место назначения веб-запроса, направляя сетевой трафик через серию узлов, чтобы замаскировать IP-адрес пользователя, его местоположение и потребление по данным наблюдения или анализа трафика. В то время как промежуточные узлы обычно отвечают за прием трафика в сети и его передачу, выходной узел — это последний узел, через который проходит трафик Tor, прежде чем он достигнет пункта назначения.
В прошлом узлы выхода сети Tor подвергались подрыву для внедрения вредоносных программ, таких как OnionDuke, но это первый случай, когда одному неопознанному субъекту удалось контролировать такую большую часть узлов выхода Tor.
Хакер поддерживал 380 вредоносных выходных узлов Tor на пике в августе 2020 года, прежде чем разработчики Tor вмешались и удалили узлы из сети, после чего активность снова резко возросла в начале этого года, когда злоумышленник попытался добавить более 1000 выходных узлов в первую неделю мая. С тех пор все вредоносные выходные узлы Tor, обнаруженные во время второй волны атак, были удалены.
Основная цель атаки, по словам Нусену, заключается в проведении атак по типу «человек посередине» на пользователей Tor путем манипулирования трафиком, проходящим через сеть выходных узлов. В частности, злоумышленник выполняет так называемый SSL-стриппинг, т.е. понижает трафик к сервисам биткойн-миксера с HTTPS на HTTP в попытке заменить биткойн-адреса и перенаправить транзакции на свои кошельки вместо предоставленных пользователями биткойн-адресов.
«Если пользователь посетил HTTP-версию (т.е. незашифрованную, не прошедшую проверку подлинности версию) одного из этих сайтов, они не позволили бы сайту перенаправить пользователя на HTTPS-версию (т.е. зашифрованную, прошедшую проверку подлинности версию) сайта», - объяснили разработчики Tor Project в августе прошлого года. «Если пользователь не заметил, что он не попал на HTTPS-версию сайта (нет значка замка в браузере) и продолжил отправлять или получать конфиденциальную информацию, эта информация могла быть перехвачена злоумышленником».
Для снижения рисков таких атак Tor Project изложил ряд рекомендаций, в том числе призыв к администраторам веб-сайтов включить HTTPS по умолчанию и задействовать сайты .onion для избежания выходных узлов, добавив, что они работают над «комплексным исправлением», чтобы отключить простой HTTP в браузере Tor.
«Риск пострадать от вредоносной активности, направляемой через Tor, уникален для каждой организации, - говорится в сообщении Агентства по кибербезопасности и инфраструктурной безопасности США (CISA) в июле 2020 года. «Организациям стоит определить свои собственные риски путем оценки вероятности того, что злоумышленник нацелится на ее системы или данные, и вероятности успеха злоумышленника с учетом текущих мер по смягчению последствий и контроля».
«Организации должны оценить свои решения по смягчению угроз для своей организации, исходящие от целевых кибератак (развитых устойчивых угроз), достаточно продвинутых злоумышленников и низкоквалифицированных индивидуальных хакеров, все из которых в прошлом использовали Tor для проведения разведывательных действий и атак», - добавило Агентство.
Эта статья показалась вам интересной? Подпишитесь на THN в Facebook, Twitter и LinkedIn и читайте больше эксклюзивного контента, который мы публикуем.
10 мая 2021 года Рави Лакшманан.
Перевод статьи thehackernews.com
ACCENT Language Center
Корпоративные решения связанные с иностранными языками: от обучения до переводов и копирайта.
