Tysiące węzłów sieci Tor zagrażają użytkownikom kryptowalut
Tajny agent
W ciągu ostatnich 16 miesięcy, w sieci Tor nieprzerwanie pojawiają się złośliwe serwery wykorzystywane do przechwytywania ruchu i przeprowadzania ataków SSL przeciw użytkownikom korzystających z witryn służących do obrotu kryptowalutami.
Sytuacja trwa od stycznia 2020 roku. Wtedy zarejestrowano pierwsze ataki polegające na tworzeniu w sieci nowych „przekaźników wyjściowych” (serwerów służących do przesyłania ruchu w sieci Tor). Każde połączenie za pośrednictwem takiej przeglądarki jest kilkukrotnie przekazywane pomiędzy nadajnikami, a każdy z nich zna tylko dostawcę pakietu oraz adres następnego węzła. Dzięki temu można w prosty sposób ukryć pochodzenie połączenia.
Szkodliwe narzędzia zmieniają jednak parametry połączenia i zastępują szyfrowany protokół https mniej bezpiecznym wariantem – http. Pozwala on w łatwy sposób przechwycić ruch użytkownika w sieci. Zjawisko nie zostało jeszcze dokładnie zbadane, a konstrukcja sieci Tor uniemożliwia błyskawiczne wykrycie sprawcy zamieszania. Istnieje podejrzenie, że takie działania mają prowadzić do przechwytywania transakcji na kryptowalutach.
Długotrwały proceder
Pierwsze ataki tego typu zostały wykryte już w sierpniu 2020 roku przez badacza bezpieczeństwa, kryjącego się pod pseudonimem Nusenu. Złośliwe przekaźniki rozpleniły się wtedy tak mocno, że odpowiadały za około 23% całej przepustowości sieci. Jej administratorzy wprawdzie od dawna walczą ze zjawiskiem, ale przypomina to walkę z wiatrakami. Ataki wciąż trwają i są coraz większym zagrożeniem dla internautów.
Ostatnio miała miejsce druga fala ataków, w wyniku której opanowano aż 27% węzłów. Główną przyczyną, która sprawia, że zagrożenie wciąż jest realne, ma być fakt, że złośliwe węzły są naprawdę dobrze spreparowane. Złośliwy kod jest trudno wykrywalny dla zabezpieczeń. Kolejny wzrost złośliwych przekaźników wykryto, gdy w ciągu zaledwie 24 godzin, liczba aktywnych serwerów wzrosła z 1500 do aż 2500. Dopiero to zwróciło uwagę administracji i pozwoliło zareagować. Pomimo masowego wykluczania ich z sieci, szacuje się, że wciąż 4-6% przekaźników ma zdolność usuwania certyfikatów SSL.
Nusenu wskazuje ponadto, że tajemniczy autor ataków stopniowo modyfikuje swoją taktykę działania. Jak się przed tym zagrożeniem bronić? Odpowiedzi są dwie – zrezygnować z wykorzystywania kryptowalut w sieci Tor lub zapoznać się z zalecaniami twórców projektu Tor. W sierpniu 2020 roku przygotowali oni serię sugestii, jak unikać tego typu zagrożeń.
fot. Tor Browser