Een mysterieuze groep heeft Tor-exit-knooppunten gekaapt

Gepubliceerd op 14 augustus 2020 om 15:27

Sinds januari 2020 voegt een mysterieuze kwaadwillende servers toe, aan het Tor-netwerk om SSL-stripping-aanvallen uit te voeren, op gebruikers die toegang hebben tot cryptocurrency-gerelateerde sites via de Tor-browser.

De groep was zo volhardend in hun aanvallen, dat ze in mei 2020 een kwart van alle Tor-exitrelays  draaiende hadden. Tor-exitrelays servers zijn servers waarmee gebruikersverkeer het Tor-netwerk verlaat en toegang krijgt tot het openbare internet.

Onderzoekers van Nusenu

Volgens een  rapport  dat zondag werd gepubliceerd door een onafhankelijke beveiligingsonderzoeker en Tor-serveroperator, bekend als Nusenu, beheerde de groep 380 kwaadaardige Tor-exitrelays op zijn hoogtepunt, voordat het Tor-team de eerste van drie interventies deed om dit netwerk op te ruimen.

"De volledige omvang van hun activiteiten is onbekend, maar één motivatie lijkt duidelijk en simpel: winst," schreef Nusenu tijdens het weekend.

De onderzoeker zegt dat de groep "person-in-the-middle-aanvallen uitvoert op Tor-gebruikers door verkeer te manipuleren terwijl het door hun exitrelays stroomt", en dat ze zich specifiek richten op gebruikers die toegang hebben tot cryptocurrency-gerelateerde websites met behulp van de Tor-software of Tor Browser. .

Van secure naar niet secure

Het doel van de person-in-the-middle-aanval is het uitvoeren van "SSL-stripping" -aanvallen door het webverkeer van de gebruiker te downgraden van HTTPS-URL's naar minder veilige HTTP-alternatieven.

Op basis van hun onderzoek zei Nusenu dat het primaire doel van deze SSL-strippingaanvallen was om de groep in staat te stellen Bitcoin-adressen te vervangen binnen HTTP-verkeer dat naar Bitcoin-mixdiensten gaat.

Bitcoin mixer

Bitcoin-mixers zijn websites waarmee gebruikers Bitcoin van het ene adres naar het andere kunnen sturen door het geld in kleine bedragen te breken en deze over te dragen via duizenden tussenadressen voordat ze weer bij het geld op het bestemmingsadres komen. Door het bestemmingsadres te vervangen op het HTTP-verkeersniveau, hebben de aanvallers het geld van de gebruiker effectief gekaapt zonder dat de gebruikers of de Bitcoin-mixer het wisten.

"Bitcoin-adres-herschrijf-aanvallen zijn niet nieuw, maar de schaal van hun operaties wel", aldus de onderzoeker.

Nusenu zei dat ze op basis van het contact-e-mailadres dat voor de kwaadwillende servers werd gebruikt, ten minste negen verschillende kwaadaardige Tor-exitrelaisclusters hebben gevolgd, die in de afgelopen zeven maanden zijn toegevoegd.

De onderzoeker zagen het kwaadaardige netwerk op 22 mei een piek bereiken met 380 servers, toen 23,95% van alle Tor-exitrelays door de groep werden beheerd, waardoor Tor-gebruikers een kans van één op vier hadden om op een kwaadwillende exitrelais te landen.

Nusenu meldde sinds mei de kwaadaardige exit-relays aan Tor-beheerders en zagen na de laatste verwijdering op 21 juni dat de mogelijkheden van de kwaadwilligen ernstig verminderd waren.

Kwaadwilligen zijn er nog

Desalniettemin voegde Nusenu er ook aan toe dat sinds de laatste verwijdering "er meerdere indicatoren zijn die suggereren dat de aanvaller nog steeds > 10% van de Tor-netwerk uitgangscapaciteit gebruikt."

De onderzoeker suggereerde dat de hackers hun aanvallen waarschijnlijk zullen voortzetten, aangezien het Tor-project geen grondig doorlichting proces heeft voor entiteiten die zich bij het netwerk kunnen aansluiten. Hoewel anonimiteit een kernkenmerk is van het Tor-netwerk, stelt de onderzoeker dat er in ieder geval beter doorgelicht kan worden voor exit relay operators.

Enigszins vergelijkbare

Een enigszins vergelijkbare aanval als deze vond plaats in 2018. Het was echter niet gericht op Tor exitrelays, maar op Tor-to-web (Tor2Web) proxy's - webportalen op het openbare internet waarmee gebruikers toegang hebben tot .onion-adressen die meestal alleen toegankelijk zijn via de Tor Browser.

Destijds meldde het Amerikaanse beveiligingsbedrijf Proofpoint dat ten minste één Tor-to-web proxy-operator in stilte Bitcoin-adressen aan het vervangen was voor gebruikers die toegang hadden tot ransomware-betalingsportals die losgeld wilden betalen. De betaling werd effectief gekaapt en lieten de slachtoffers achter zonder een decoderingssleutel, zelfs als ze het losgeld betaald hadden.

How Malicious Tor Relays Are Exploiting Users In 2020
PDF – 835,8 KB 508 downloads

Bron: zdnet.com, Nusenu, medium.com