Более четверти узлов Tor шпионят за пользователями
Подменный узел
Злоумышленники создали сотни выходных узлов сети Tor, чтобы перехватывать транзакции криптовалют. Как пишет издание The Record, для этого применялись атаки, известные под названием SSL stripping — понижение уровня соединения с защищенного HTTPS до простого HTTP. Это открывает возможности для перехвата трафика и манипуляции с данными.
Создавая новые выходные узлы Tor, злоумышленники также подменяли адреса легитимных криптокошельков другими, находящимися под их контролем.
Эксперт по безопасности и оператор узла Tor, известный как Nusenu, в августе 2020 г. опубликовал исследование, в котором описал эту кампанию; в своей более недавней публикации он отметил, что вредоносная активность сохраняется и что к февралю 2021 г. операторы этой кампании контролировали около четверти выходных узлов Tor или 27% их общего числа.
Эти узлы перекрывались несколько раз: в августе, сентябре и октябре 2020 г., однако злоумышленники быстро восстанавливали арсенал своих выходных узлов, в течение нескольких месяцев злоумышленники могли перехватывать весь трафик, проходящий через них.
Один человек, тысячи узлов
В своём исследовании Nusenu довольно убедительно увязывает кампанию по созданию вредоносных узлов с неким Андреем Гвоздевым, владельцем почтового адреса andrejgvozdev55@gmail.com, и даже даёт его физический адрес в Москве. По данным Nusenu, именно этот человек с высокой долей вероятности создаёт и контролирует вредоносные выходные узлы Tor. В частности, как минимум некоторые из них располагались в диапазоне IP-адресов, который, согласно базе данных RIPE, связана с указанным почтовым адресом.
Сотни выходных узлов сети Tor созданы специально, чтобы перехватывать транзакции криптовалют
Тот же Андрей Гвоздев в сентябре 2020 г. написал в рассылку bad-relays (специализированная рассылка Tor Project, посвящённая неправильно настроенным или вредоносным узлам Tor) о некорректных настройках выходных узлов группе CypherpunkLabs. После этого начали появляться новые вредоносные узлы, якобы принадлежащие ей. Администраторы Tor Project перекрыли в итоге все узлы, где в ContactInfo значилось CypherpunkLabs.
По мнению Nusenu, таким образом злоумышленник проверял реакцию администраторов Tor Project.
В начале мая в Tor появились более тысячи новых анонимных выходных узлов; учитывая, что вся сеть Tor обычно насчитывает менее 1500 таких узлов, появление такого количества новых не могло остаться незамеченным. Их также очень быстро перекрыли. Но злоумышленник, похоже, не собирается останавливаться.
«По-видимому, администраторам Tor Project придётся потратить ещё немало усилий, чтобы остановить этого человека и его возможных подельников, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Он использует сразу несколько архитектурных особенностей и слабых мест Tor, которые быстро устранить не получится. В скором времени ожидается реализация режима HTTPS Only в Firefox и, соответственно, в Tor, однако, как признают разработчики проекта, в сети до сих пор немало сайтов, не поддерживающих HTTPS. В конечном счёте, вероятно, придётся полностью отказываться от анонимных выходных узлов Tor».
Tor Project действительно предпринимает некоторые меры в этом направлении. В частности, реализован защищённый вариант поля ContactInfo, который невозможно подделать, и уже около 20% выходных узлов Tor используют его.