Хакерская атака на TOR и последствия

В течение более 16 месяцев злоумышленник добавлял вредоносные серверы в сеть TOR, чтобы перехватывать трафик и выполнять атаки с удалением SSL на пользователей, обращающихся к сайтам, связанным с криптовалютой. Атаки, начавшиеся в январе 2020 года, заключались в добавлении серверов в сеть TOR и их пометке как «реле выхода», которые представляют собой серверы. Через них трафик покидает сеть и повторно попадает в общедоступный Интернет.

Но с января 2020 года злоумышленник вставлял тысячи вредоносных серверов в сеть TOR, чтобы идентифицировать трафик, направляемый на веб-сайты смешивания криптовалют. Тогда стало возможно выполнить атаку с удалением SSL, когда трафик понижается с зашифрованного HTTPS-соединения до обычного.

Как происходили атаки и что было предпринято TOR?

Считается, что злоумышленник понижал трафик до обычного HTTP, чтобы заменить адреса криптовалюты своими собственными и перехватить транзакции для собственной выгоды. Атаки не новы и были впервые задокументированы и раскрыты в августе прошлого года исследователем безопасности и оператором узла TOR, известным как Nusenu. В то время исследователь сказал, что злоумышленнику удалось трижды заполнить сеть TOR вредоносными реле выхода, достигнув пика своей инфраструктуры атаки примерно на 23% от выходной мощности всей сети TOR, прежде чем команда отключила его.

Хакерская атака на TOR и последствия
График от Nusenu

Однако сейчас Nusenu сказал, что, несмотря на публичное разоблачение их операций, злоумышленник продолжал свои атаки, которые все еще продолжаются. Они даже достигли и превзошли четверть всей выходной емкости сети TOR в два раза ранее в 2021 году, достигнув пика в 27% в феврале 2021 года.

Вторая волна атак была обнаружена, как и первая, и злонамеренные реле выхода TOR были удалены из сети. Но не раньше, чем инфраструктура атаки была жива и перехватывала трафик TOR в течение недель или месяцев.

График от Nusenu

Основная причина, по которой атаки работали более года, заключалась в том, что злоумышленник добавлял злонамеренные реле выхода небольшими порциями, проходя мимо радара и со временем накапливая инфраструктуру. Однако хакер отказался от этой тактики ранее в этом месяце, когда разработчики попытались восстановить все серверы одновременно.

Последняя атака хакера

Эта последняя атака была обнаружена в течение дня после того, как она увеличила выходную мощность сети TOR с около 1500 ежедневных выходных реле до более 2500 – всплеск, который никто не мог игнорировать внутри проекта TOR. Но, несмотря на отключение более 1000 серверов, Nusenu также сказал, что по состоянию на 5 мая 2021 года злоумышленник все еще контролирует от 4% до 6% выходной мощности всей сети TOR, при этом атаки с удалением SSL все еще продолжаются.

Кроме того, Nusenu сказал, что с прошлого года злоумышленник, похоже, также занимается модификациями загрузки после выполнения атак с использованием SSL-полос, хотя неясно, что именно добавляется или использует ли хакер другие методы.

Еще в августе 2020 года TOR Project выпустил серию рекомендаций о том, как операции веб-сайта и пользователи TOR Browser могут защитить себя от подобных атак. Пользователям, которые используют браузер TOR для доступа к криптовалютным или другим финансовым сайтам, рекомендуется следовать приведенным там советам.

💡 Подписывайтесь на Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей 👉 @like_freedman

Автор: Евгения Лимончикова, аналитик Freedman Сlub Crypto News

5 1 голос
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии