Уже более года неизвестные злоумышленники добавляют вредоносные выходные узлы в сеть Tor с целью перехвата трафика и осуществления SSL-stripping атак на пользователей, посещающих связанные с криптовалютой сайты.

SSL-stripping — понижение соединения с защищенного HTTPS до простого HTTP.

Об атаках стало известно еще в августе 2020 года благодаря исследователю безопасности под псевдонимом Nusenu, который в том числе является оператором выходного узла Tor. Тогда сообщалось, что атаки начались в январе прошлого года, и в разгар операции злоумышленники контролировали примерно четыре сотни вредоносных выходных узлов Tor. По словам специалистов, в ходе атак злоумышленники подменяли адреса криптовалютных кошельков собственными для перехвата транзакций.

Несмотря на огласку в прошлом году, атаки по-прежнему продолжаются — в феврале 2021 года атаки задействовали 27% вредоносных выходных узлов Tor. Хотя вторую волну атак заметили и обезвредили, к тому времени вредоносная инфраструктура была активна уже на протяжении нескольких недель.

Основная причина успешности данной операции заключается в том, что атакующие добавляли вредоносные ноды небольшими количествами, незаметно создавая внушительную инфраструктуру. Однако в начале мая злоумышленники попытались одновременно вернуть online все отключенные серверы, что не могло остаться незамеченным. Атака была обнаружена всего через день после того, как число выходных узлов Tor резко возросло с 1,5 тыс. до более чем 2,5 тыс.

Несмотря на отключение свыше 1000 вредоносных серверов, под контролем атакующих все еще остается 4-6% выходной мощности Tor, отметил Nusenu. Более того, по его словам, после проведения SSL-stripping атаки злоумышленники загружают модификации, однако что именно они делают, пока неясно.

Источник: securitylab.ru