Спецпроекты

Безопасность Пользователю Стратегия безопасности Кадры Интернет Веб-сервисы

Более четверти узлов Tor шпионят за пользователями

С середины 2020 г. администраторам Tor Project пришлось закрывать огромное количество выходных узлов Tor, созданных с криминальными целями. Большинство из них в результате расследования увязали с одним и тем же человеком.

Подменный узел

Злоумышленники создали сотни выходных узлов сети Tor, чтобы перехватывать транзакции криптовалют. Как пишет издание The Record, для этого применялись атаки, известные под названием SSL stripping - понижение уровня соединения с защищенного HTTPS до простого HTTP. Это открывает возможности для перехвата трафика и манипуляции с данными.

Создавая новые выходные узлы Tor, злоумышленники также подменяли адреса легитимных криптокошельков другими, находящимися под их контролем.

Эксперт по безопасности и оператор узла Tor, известный как Nusenu, в августе 2020 г. опубликовал исследование, в котором описал эту кампанию; в своей более недавней публикации он отметил, что вредоносная активность сохраняется и что к февралю 2021 г. операторы этой кампании контролировали около четверти выходных узлов Tor или 27% их общего числа.

Эти узлы перекрывались несколько раз: в августе, сентябре и октябре 2020 г., однако злоумышленники быстро восстанавливали арсенал своих выходных узлов, в течение нескольких месяцев злоумышленники могли перехватывать весь трафик, проходящий через них.

Один человек, тысячи узлов

В своём исследовании Nusenu довольно убедительно увязывает кампанию по созданию вредоносных узлов с неким Андреем Гвоздевым, владельцем почтового адреса andrejgvozdev55@gmail.com, и даже даёт его физический адрес в Москве. По данным Nusenu, именно этот человек с высокой долей вероятности создаёт и контролирует вредоносные выходные узлы Tor. В частности, как минимум некоторые из них располагались в диапазоне IP-адресов, который, согласно базе данных RIPE, связана с указанным почтовым адресом.

look600.jpg
Сотни выходных узлов сети Tor созданы специально, чтобы перехватывать транзакции криптовалют

Тот же Андрей Гвоздев в сентябре 2020 г. написал в рассылку bad-relays (специализированная рассылка Tor Project, посвящённая неправильно настроенным или вредоносным узлам Tor) о некорректных настройках выходных узлов группе CypherpunkLabs. После этого начали появляться новые вредоносные узлы, якобы принадлежащие ей. Администраторы Tor Project перекрыли в итоге все узлы, где в ContactInfo значилось CypherpunkLabs.

По мнению Nusenu, таким образом злоумышленник проверял реакцию администраторов Tor Project.

В начале мая в Tor появились более тысячи новых анонимных выходных узлов; учитывая, что вся сеть Tor обычно насчитывает менее 1500 таких узлов, появление такого количества новых не могло остаться незамеченным. Их также очень быстро перекрыли. Но злоумышленник, похоже, не собирается останавливаться.

«По-видимому, администраторам Tor Project придётся потратить ещё немало усилий, чтобы остановить этого человека и его возможных подельников, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Он использует сразу несколько архитектурных особенностей и слабых мест Tor, которые быстро устранить не получится. В скором времени ожидается реализация режима HTTPS Only в Firefox и, соответственно, в Tor, однако, как признают разработчики проекта, в сети до сих пор немало сайтов, не поддерживающих HTTPS. В конечном счёте, вероятно, придётся полностью отказываться от анонимных выходных узлов Tor».

Tor Project действительно предпринимает некоторые меры в этом направлении. В частности, реализован защищённый вариант поля ContactInfo, который невозможно подделать, и уже около 20% выходных узлов Tor используют его.

Роман Георгиев

Короткая ссылка