Eine mysteriöse Gruppe hat Tor-Exit-Knoten entführt, um SSL-Stripping-Angriffe durchzuführen

Leitfaden für Führungskräfte

Was ist Phishing?  Alles, was Sie wissen müssen, um sich vor betrügerischen E-Mails und mehr zu schützen

Was ist Phishing? Alles, was Sie wissen müssen, um sich vor betrügerischen E-Mails und mehr zu schützen

Klicken Sie nicht auf diese E-Mail! In diesem Phishing-Leitfaden finden Sie alles, was Sie wissen müssen, einschließlich des Schutzes vor einer der häufigsten Formen von Cyberangriffen.

Weiterlesen

Seit Januar 2020 fügt ein mysteriöser Bedrohungsakteur Server zum Tor-Netzwerk hinzu, um SSL-Stripping-Angriffe auf Benutzer durchzuführen, die über den Tor-Browser auf kryptowährungsbezogene Websites zugreifen.

Die Gruppe war bei ihren Angriffen so ungeheuerlich und hartnäckig, dass sie bis Mai 2020 liefenein Viertel aller Tor-Ausgangsrelais die Server, über die der Benutzerverkehr das Tor-Netzwerk verlässt und auf das öffentliche Internet zugreift.

Laut aport, der am Sonntag von einem unabhängigen Sicherheitsforscher und Tor-Serverbetreiber namens Nusenu veröffentlicht wurde, verwaltete die Gruppe auf ihrem Höhepunkt 380 bösartige Tor-Exit-Relays, bevor das Tor-Team die erste von drei Interventionen unternahm, um dieses Netzwerk zu löschen.

SSL-Stripping-Angriffe auf Bitcoin-Benutzer

“Die volle Ausdehnung[sic] ihrer Geschäfte ist unbekannt, aber eine Motivation scheint einfach zu sein: Gewinn”, schrieb Nusenu am Wochenende.

Der Forscher sagt, dass die Gruppe “Person-in-the-Middle-Angriffe auf Tor-Benutzer durchführt, indem sie den Datenverkehr manipuliert, während er durch ihre Ausgangsrelais fließt”, und dass sie speziell auf Benutzer abzielen, die mit der Tor-Software oder dem Tor-Browser auf kryptowährungsbezogene Websites zugreifen .

Das Ziel des Person-in-the-Middle-Angriffs besteht darin, “SSL-Stripping”-Angriffe durchzuführen, indem der Webverkehr des Benutzers von HTTPS-URLs auf weniger sichere HTTP-Alternativen herabgestuft wird.

Basierend auf ihrer Untersuchung sagte Nusenu, dass das Hauptziel dieser SSL-Stripping-Angriffe darin bestand, der Gruppe zu ermöglichen, Bitcoin-Adressen im HTTP-Verkehr zu ersetzen, der an Bitcoin-Mixing-Dienste geht.

Bitcoin-Mixer sind Websites, die es Benutzern ermöglichen, Bitcoin von einer Adresse zur anderen zu senden, indem sie die Gelder in kleine Summen aufteilen und sie über Tausende von Zwischenadressen übertragen, bevor sie die Gelder an der Zieladresse wieder zusammenführen. Durch das Ersetzen der Zieladresse auf HTTP-Verkehrsebene kaperten die Angreifer effektiv die Gelder des Benutzers ohne das Wissen der Benutzer oder des Bitcoin-Mixers.

Ein schwer zu durchziehender Angriff

„Angriffe auf das Umschreiben von Bitcoin-Adressen sind nicht neu, aber der Umfang ihrer Operationen ist es“, sagte der Forscher.

Nusenu sagte, dass sie basierend auf der Kontakt-E-Mail-Adresse, die für die bösartigen Server verwendet wurde, mindestens neun verschiedene bösartige Tor-Exit-Relay-Cluster verfolgten, die in den letzten sieben Monaten hinzugefügt wurden.

tor-exit-malicious.png

Bild: Nusenu

Der Forscher sagte, dass das bösartige Netzwerk am 22. Mai seinen Höhepunkt bei 380 Servern erreichte, als 23,95% aller Tor-Ausgangsrelais von der Gruppe kontrolliert wurden, was Tor-Benutzern eine eins zu vierte Chance gibt, auf einem bösartigen Ausgangsrelais zu landen.

Nusenu sagte, er habe die bösartigen Exit-Relays seit Mai an Tor-Admins gemeldet, und nach der letzten Abschaltung am 21. Juni seien die Fähigkeiten des Bedrohungsakteurs stark eingeschränkt.

tor-exit-malicious-takedowns.png

Bild: Nusenu

Nichtsdestotrotz fügte Nusenu auch hinzu, dass es seit der letzten Takedown “mehrere Indikatoren gibt, die darauf hindeuten, dass der Angreifer” läuft immer noch >10% der Ausgangskapazität des Tor-Netzwerks (Stand 2020?8?8).”

Der Forscher schlug vor, dass der Bedrohungsakteur seinen Angriff wahrscheinlich fortsetzen wird, da das Tor-Projekt keinen gründlichen Überprüfungsprozess für Entitäten hat, die seinem Netzwerk beitreten können. Während Anonymität ein Kernmerkmal des Tor-Netzwerks ist, argumentiert der Forscher, dass zumindest für die Betreiber von Ausgangsrelais eine bessere Überprüfung durchgeführt werden kann.

Ein ähnlicher Angriff fand 2018 statt

Ein ähnlicher Angriff wie dieser fand 2018 statt; Es zielte jedoch nicht auf Tor-Exit-Relays ab, sondern auf Tor-to-Web (Tor2Web)-Proxys – Webportale im öffentlichen Internet, die es Benutzern ermöglichen, auf .onion-Adressen zuzugreifen, die normalerweise nur über den Tor-Browser zugänglich sind.

Damals berichtete die US-Sicherheitsfirma Proofpoint, dass mindestens ein Tor-to-Web-Proxy-Betreiber stillschweigend Bitcoin-Adressen für Benutzer ersetzte, die auf Ransomware-Zahlungsportale zugreifen, um Lösegeldforderungen zu bezahlen – die Zahlung effektiv kaperte und die Opfer ohne Entschlüsselungsschlüssel zurückließ , auch wenn sie das Lösegeld bezahlt haben.

Sicherheit

  • Wenn es bei Ihrem VPN um Leben oder Tod geht, verlassen Sie sich nicht auf Bewertungen
  • Ransomware-Banden beschweren sich darüber, dass andere Gauner ihr Lösegeld stehlen
  • Bandwidth CEO bestätigt Ausfälle durch DDoS-Angriff
  • Diese Systeme sind jeden Monat mit Milliarden von Angriffen konfrontiert, da Hacker versuchen, Passwörter zu erraten
  • So bekommen Sie einen bestbezahlten Job in der Cybersicherheit
  • Cybersecurity 101: Schützen Sie Ihre Privatsphäre vor Hackern, Spionen und der Regierung

Leave a Comment