С января 2020 года таинственный субъект угроз стал активно добавлять серверы в сеть Tor. Делается это для выполнения SSL-атак на пользователей, получающих доступ к сайтам криптовалютных бирж.
Группа неизвестных оказалась настолько мощной и настойчивой в своих атаках, что к маю 2020 года ею было запущено четверть всех ретрансляторов Tor exit, серверов, через которые проходит исходящий трафик пользователей, покидающих сеть Tor и получающих доступ к Клирнету (общедоступному интернету).
Группе удалось добавить 380 «вредоносных» ретрансляторов выхода Tor, прежде чем «луковичная» команда стала предпринимать меры по защите сети.
Атака нацелена на владельцев биткоин-кошельков
Пока еще не известна основная цель операции злоумышленников. Хотя, нет сомнений, что начатая из глубин Даркнета атака направлена на получение прибыли.
По мнению экспертов , начав атаку «посредника» (person-in-the-middle), злоумышленник намерен «зачистить SSL» (Secure Sockets Layer — слой защищенных сокетов). В результате этого — скорость веб-трафика пользователя с URL-адресов HTTPS снижается, уступая даже менее безопасным HTTP. Благодаря этому производится подмена биткойн-адреса внутри трафика, идущего в сервисы смешивания биткойнов – с HTTPS протокола на HTTP.
В первую очередь хакер нацелился на сайты, предоставляющих услуги биткойн-микшера, заменяя адреса кошельков так, чтобы микшер возвращал «чистые» средства злоумышленнику, а не первоначальному пользователю.
Сеть Tor предоставляет анонимный доступ в Даркнет и общедоступное виртуальное пространство с помощью добровольно запускаемых ретрансляторов, которые маршрутизируют трафик. Это практически полностью исключает отслеживание и идентификацию IP-адреса пользователя.
Ретрансляция выхода — это заключительный этап, соединяющий пользователей с запрашиваемыми веб-сайтами.
Пока еще не известно, удались ли кражи криптовалюты, сколько цифровых монет потеряли владельцы кошельков. По крайней мере, один сервис bitcoin mixer срочно дополнил средства защиты информации, повысив уровень безопасности для предотвращения удаление хакерами правильного шифрования их веб-сайта (HTTPS-Everywhere).
Подобные хакерские атаки, направленные на переписывание биткойн-адресов не новы. Однако, масштаб операции, развернутой в браузере Tor в этом году поражает.
Даже после принятия «луковичной» командой кардинальных мер по удалению вредоносных ретрансляторов выхода, на начало августа их количество составляло 10% пропускной способности сети Tor. Хакеры продемонстрировали, что способны восстановить свой «аппаратный потенциал» после первоначальных действий администрации Tor по удалению вредоносных ретрансляторов.
Более того, имеются все основания предполагать, что инициаторы угрозы продолжат свою атаку. По крайней мере, не оставят своих попыток «заработать» на желании владельцев криптовалюты воспользоваться биткоин-микшерами. Проект Tor просто не предусматривает тщательную проверку субъектов, присоединяющихся к его сети.
Мы не говорим о том, что «луковичный браузер» должен отказаться от анонимности. Но разработать методы проверки для операторов ретрансляции выхода, администраторы проекта просто обязаны.
Атака, подобная этой, фиксировалась еще в 2018 году. Правда, нацелена она была не на ретрансляторы выхода Tor, а на прокси-серверы Tor-to-web (Tor2Web). Эти веб-порталы позволяют заниматься поиском в общедоступном интернете через Tor.
Точно установлено, что несколько операторов прокси-сервера Tor-to-web тайно заменили биткойн-адреса для пользователей, которым требовалось выйти на связь с вымогателями, заблокировавшими файловую систему компьютеров жертв. Из-за этого несколько «пострадавших» так и остались без ключа дешифровки, несмотря на то, что деньги ими были уплачены.
После сообщения в блоге в декабре 2019 года о наличии проблем, проект Tor обещал внедрить некоторые многообещающие мероприятия по совершенствованию информационной безопасности и контролю сети на наличие «новых, вредоносных» ретрансляторов.
Однако, началась пандемия COVID-19, во многих сферах прошли масштабные сокращения. Первоначально назначенный руководителем проекта сотрудник, был переведен на иное направление.
Его план состоял в том, чтобы:
- выделять фиксированную нижнюю границу для пула «известных» ретрансляторов;
- это ограничивает ущерб, который может нанести вредоносный оператор, независимо от того, насколько хорошо он скрывает свои отдельные ретрансляторы или группы ретрансляторов;
- этот подход является сильным, но его не внедрили.
Повторяющиеся события крупномасштабных вредоносных операций в браузере Tor ясно показывают, что текущие проверки и подходы к обнаружению плохих ретрансляторов недостаточны для предотвращения таких событий.
