Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет E-commerce Веб-сервисы

Таинственная хакерская группировка захватила четверть узлов Tor

Неизвестные злоумышленники запустили 380 новых выходных узлов в сети Tor, которые применялись для перехвата трафика пользователей. Целью кибепреступников были владельцы биткоинов. Последние при попытке выполнить перевод криптовалюты с вероятностью почти 25% могли «подарить» ее хакерам, даже не обратив на это свое внимание.

Хитрая атака

Неизвестная группировка киберпреступников добавляла в сеть для анонимов Tor серверы ради осуществления атак на пользователей, проводящих операции с криптовалютами. Злоумышленники подменяли адреса целевых кошельков прямо в трафике, тем самым лишая своих жертв цифровых активов. Об этом сообщил портал Zdnet со ссылкой на отчет исследователя безопасности, известного под ником Nusenu.

Группировка начала свою активность в январе 2020 г., а уже к маю под ее контролем находилась почти четверть всех выходных узлов Tor (23,95% или 380 штук) – особых серверов, через которые пользовательский трафик выходит из Tor «наружу» – в открытый сегмент интернета. Nusenu отмечает, что ему удалось выявить не менее чем девять различных кластеров вредоносных узлов Tor, добавившихся в сеть за последние семь месяцев, на основе контактных адресов электронной почты, ассоциированных с вышеупомянутыми узлами.

В конце июня 2020 г. администраторы Tor устроили «чистку» сети, значительно ослабив атакующие мощности злоумышленников. Однако, как отмечает Nusenu, через управляемые ими серверы по-прежнему проходит более чем 10% трафика сети.

Неизвестные злоумышленники запустили 380 новых выходных узлов в сети Tor, которые применялись для перехвата трафика пользователей

По мнению специалиста, группировка продолжит свою незаконную деятельность, поскольку процедура добавления в сеть новых серверов не предусматривает тщательной проверки кандидатов.

Угроза для владельцев Bitcoin

Nusenu, который сам является оператором выходного узла, не смог дать оценку масштабам преступной активности группировки, однако ее целью, по его мнению, является получение финансовой выгоды.

Исследователь считает, что злоумышленники применяют технику «атака посредника» (MITM, Man in-the-middle), манипулируя трафиком, проходящим через подконтрольные им выходные узлы. В первую очередь, по словам Nusenu, киберпреступников интересовали пользователи сайтов, связанных с криптовалютами.

С помощью методики, известной как SSL Stripping, злоумышленники «откатывали» зашифрованный HTTPS-трафик пользователей до незашифрованного HTTP, что позволяло им свободно анализировать и модифицировать по своему усмотрению перехваченные без подмены SSL-сертификата данные перед тем, как те покинут сеть Tor. В частности, по словам исследователя безопасности, в пользовательском трафике искали адреса Bitcoin-кошельков, затем эти адреса подменялись на принадлежащие группировке.

В результате неаккуратный пользователь Tor Browser при попытке перевести средства со своего Bitcoin-кошелька куда-либо и оказавшись мишенью атаки, мог незаметно для себя передать средства мошенникам.

Похожая атака родом из 2018 года

Как отмечает Zdnet, во многом похожая атака на владельцев криптовалюты, пользующихся Tor, была осуществлена в 2018 г. Однако тогда были задействованы не выходные узлы сети, а Tor2Web-прокси – специальные веб-порталы в открытом интернете, которые позволяют пользователям посещать сайты в псевдодоменной зоне .onion, которые обычно доступны только из Tor.

Американская ИБ-компания Proofpoint рассказывала о существовании как минимум одного оператора Tor2Web-прокси, который тихо и незаметно грабил и так ставших жертвами программ-вымогателей (Ransomware) пользователей, которые пытались заплатить выкуп в надежде вернуть доступ к зашифрованным вредоносом данным. В итоге несчастные оказывались и без ключей для расшифровки информации, и без денег.

Несколько слов о Tor

Tor является системой прокси-серверов, поддерживающих «луковую маршрутизацию» — технологию анонимного обмена информацией через компьютерную сеть. Tor дает пользователю возможность сохранять инкогнито в интернете и защищает его трафик от анализа.

Технология, лежащая в основе Tor, была разработана ВМС США для шифрования военных коммуникаций, но впоследствии приобрела статус открытого проекта, доступного всем желающим.

Основная часть средств на развитие Tor поступает от подконтрольных правительству США фондов, однако в последние годы доля таких пожертвований стремительно сокращалась. Так, в 2015 г. она составляла 85%, в 2016 г. снизилась до 76%, а в 2017 г. оказалась на уровне 51%.

Среди действующих спонсоров Tor Project из числа различных государственных структур сегодня числятся: Шведское управление международного сотрудничества в области развития, Управление перспективных исследовательских проектов Министерства обороны США (DARPA), Государственный департамент США, Национальный научный фонд.

По данным официального сайта проекта, организация тратит около $5 млн в год. Примерно 80% всех средств уходит на содержание персонала, в основном программистов. Еще 10% идут на административные расходы, то есть на услуги бухгалтерии, юристов и банков. Оставшиеся 10% тратят на организацию поездок, встреч и конференций.

В апреле 2020 г. CNews писал о том, что Tor Project пришлось расстаться с 13 из 35 разработчиков из-за финансовых проблем, вызванных пандемией коронавирусной инфекции COVID-19.

В июне 2020 г. сотни организаций и тысячи частных лиц, имеющих непосредственное отношение к разработке открытого ПО или правозащитной деятельности, в том числе и Tor Project, обратились к Конгрессу США с просьбой не лишать открытые проекты фонда OTF финансирования из бюджета. Опасения по этому поводу у подписантов вызвал ряд кадровых решений президента США Дональда Трампа (Donald Trump), в результате которых приоритетную поддержку могут получить решения с закрытым исходным кодом.

Дмитрий Степанов

Короткая ссылка