- Регистрация
- 18.01.19
- Сообщения
- 1,603
- Депозит
- 60,333 ₽
- Сделки (гарант)
- 13
Эта кампания началась еще в январе 2020 года, и ее суть заключалась в добавлении в сеть Tor северов, которые помечались как выходные узлы (то есть серверы, через которые трафик покидает сеть Tor и повторно попадает в общедоступный интернет).
С тех пор злоумышленники внедрили в сеть Tor тысячи вредоносных серверов, и с их помощью идентифицировали трафик, направляемый на сайты криптовалютных миксеров, а затем устраивали атаки типа SSL stripping, то есть осуществляли даунгрейд трафика пользователей с HTTPS-адресов на менее безопасные HTTP. После даунгрейда до HTTP, преступники получают возможность поменять адреса криптовалютных кошельков своими собственными и перехватывать транзакции.
Впервые атаки были задокументированы в августе прошлого года ИБ-специалистом и оператором сервера Tor, известным под псевдонимом Nusenu. Тогда он сообщал, что в лучшие дни атакующим удавалось контролировать 23,95% всех выходных узлов Tor.
Теперь Nusenu опубликовал новое исследование, в котором пишет, что хотя происходящее давно предали огласке, злоумышленники все еще продолжают свои атаки. Хуже того, атаки лишь усилились: в феврале 2021 года преступники даже побили собственный «рекорд» и отвечали за 27% всех выходных узлов Tor.
Хотя в итоге вторая волна атак была обнаружена, а вредоносные серверы удалены из сети Tor, до этого инфраструктура злоумышленников работала и перехватывала трафик пользователей на протяжении долгих недель или даже месяцев. Дело в том, что хакеры внедряли свои серверы в сеть небольшими порциями, накапливая мощную инфраструктуру и не привлекая к себе внимания.
Этой тактике хакеры изменили лишь в текущем месяце: когда их инфраструктура снова была отключена, они попытались восстановить все серверы одновременно. Эта атака была обнаружена в течение суток, ведь одномоментное увеличение количества выходных узлов с 1500 до 2500 не могли не заметить.
Хотя теперь более 1000 серверов отключены, эксперт пишет, что по состоянию на 5 мая 2021 года злоумышленники все еще контролируют от 4% до 6% выходных узлов Tor, а атаки с использованием SSL stripping продолжаются.
