报告:从1月份开始,就有一群人劫持Tor出口中继节点进行SSL剥离攻击,在5月份达到顶峰,当时该群人运行了23.95%的所有节点

2020-08-11 16:53:26

自2020年1月以来,一名神秘的威胁行为人一直在Tor网络中添加服务器,以便对通过Tor浏览器访问加密货币相关网站的用户执行SSL剥离攻击。

该组织的攻击规模如此之大,而且持续时间如此之长,以至于到2020年5月,他们运行了所有Tor出口中继的四分之一-用户流量通过这些服务器离开Tor网络并访问公共互联网。

根据独立安全研究人员和Tor服务器运营商Nusenu周日发布的一份最新报告,该组织在高峰期管理了380个恶意Tor出口中继,之后Tor团队进行了三次干预中的第一次,以清除这个网络。

他们运营的全面程度不得而知,但有一个动机似乎很简单:利润,努塞努在周末写道。

研究人员表示,该组织通过操纵流经其出口中继的流量,对Tor用户进行中间人攻击,他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。

中间人攻击的目标是通过将用户的Web通信量从HTTPS URL降级到安全性较低的HTTP替代方案来执行SSL Stripping攻击。

努塞努表示,根据他们的调查,这些SSL剥离攻击的主要目标是允许该组织替换进入比特币混合服务的HTTP流量中的比特币地址。

比特币混合器是允许用户将比特币从一个地址发送到另一个地址的网站,方法是将资金分成小笔,通过数千个中间地址转移,然后在目的地址重新加入资金。通过在HTTP流量级别替换目的地地址,攻击者在用户或比特币混合器不知情的情况下有效地劫持了用户的资金。

这位研究人员表示,比特币地址改写攻击并不新鲜,但其操作规模是。

Nusenu说,根据恶意服务器使用的联系电子邮件地址,他们跟踪了至少九个不同的恶意Tor出口中继集群,这些集群是在过去七个月中添加的。

研究人员表示,恶意网络在5月22日达到了380台服务器的峰值,当时所有Tor出口中继中有23.95%由该集团控制,这让Tor用户有四分之一的机会登陆恶意出口中继。

努塞努说,自5月以来,他一直在向Tor管理员报告恶意退出中继,在6月21日的最近一次攻击之后,这位威胁行为人的能力已经严重减弱。

尽管如此,努塞努还补充说,自上次关闭以来,有多个指标表明攻击者仍在运行Tor网络出口容量的10%(截至2020-08-08)。

研究人员表示,威胁行为者很可能会继续攻击,因为Tor项目没有对可以加入其网络的实体进行彻底的审查。虽然匿名性是Tor网络的核心特征,但研究人员认为,至少可以对退出中继运营商进行更好的审查。

与此类似的攻击发生在2018年;然而,它的目标不是Tor出口中继,而是Tor-to-web(Tor2Web)代理-公共互联网上的门户网站,允许用户访问通常只能通过Tor浏览器访问的.onion地址。

当时,美国安全公司Proofpoint报告称,至少有一家Tor-to-Web代理运营商正在悄悄地为访问勒索软件支付门户的用户更换比特币地址,目的是支付赎金-有效地劫持了支付,让受害者没有解密密钥,即使他们支付了赎金。