Bösartige Tor-Nodes und verschwundene Gelder

Irgendwann im Jahr 2018 veröffentlichte das Cybersicherheitsunternehmen Proofpoint einen Artikel, in dem die Existenz mehrerer Tor-to-Web-Proxy-Betreiber gemeldet wurde, die verdeckt Bitcoin-Benutzeradressen ersetzten. Das bedeutete, dass die Betreiber Zugang zu Ransomware-Zahlungsportalen erhielten und die Zahlungen von Opfern abfingen und behielten.

Im Dezember 2019 wurde in einem Artikel mit dem Titel “Das wachsende Problem bösartiger Relais im Tor-Netzwerk” versucht, das Bewusstsein für die Tor-Situation zu schärfen und gleichzeitig auf eine verbesserte Cyber-Situation für Tor-Benutzer zu hoffen.

Seit Anfang des Jahres 2020 hat Berichten zufolge ein Unbekannter Server mit dem Tor-Netzwerk verbunden, um SSL-Stripping-Angriffe gegen Benutzer durchzuführen, die über den Tor-Browser kryptobezogene Plattformen durchsuchen.

Die Aktionen des mysteriösen Unbekannten wurden als aggressiv und hartnäckig beschrieben, da sie bis zum Mai 2020 ein Viertel aller Tor-Exit-Relays – Server, auf denen der Benutzerverkehr das Tor-Netzwerk verlässt, um ins öffentliche Internet zu gelangen – kontrollieren konnten.

Laut Details, die in einem Bericht des unabhängigen Sicherheitsexperten und Tor-Server-Betreibers Nusenu veröffentlicht wurden, startete der Unbekannteauf seinem Höhepunkt 380 Tor-Exit-Relais – noch bevor das Tor-Projekt eingriff, um Interventionen gegen die Angriffe bereitzustellen.

SSL-Stripping-Angriffe auf Crypto-Benutzer

In dem Bericht von Nusenu wurde angedeutet, dass der an den böswilligen Tor-Relays des Jahres 2020 beteiligte Bedrohungsakteur “Man-in-the-Middle” -Angriffe gegen Tor-Benutzer verwendet hat, indem er den Webverkehr über seine Exit-Relays gleitet hat. Bestimmte Ziele sind Benutzer, die auf kryptobezogene Plattformen zugreifen mit Tor.

Es stellt sich heraus, dass das Hauptziel der Aktionen des Bedrohungsakteurs darin besteht, der mysteriösen Gruppe zu ermöglichen, Bitcoin-Adressen innerhalb des HTTP-Verkehrs zu ersetzen, die zu Krypto-mixern (um Spuren zu verwischen werden die Beträge durch eine Art Geldwaschanlage geschleust. Anm. d. Red.) führen. Das führt zum erfolgreichen Diebstahl von Geldern ohne das Wissen des Opfers oder des Mixers/Tumblers.

Laut einer Untersuchung von Nusenu wurde eine Reihe von Kontakt-E-Mail-Adressen identifiziert, die mit den bösartigen Servern verknüpft sind. Ein Verfolgungsprozess ergab, dass in den letzten sieben Monaten mehr als neun verschiedene böswillige Tor-Exit-Node-Gruppen tätig waren.

Es stellte sich heraus, dass der Unbekannte auf dem Höhepunkt des böswilligen Netzwerks am 22. Mai 23,95 Prozent aller Tor-Ausgangsrelais kontrollierte, was bedeutete, dass Tor-Benutzer auf einem Minenfeld liefen – es bestand eine 1: 4-Chance, dass ein Benutzer auf eine korrupte Exit-Node stieß .

Was Nusenu betrifft, warnt er die Tor-Administratoren seit dem Monat Mai vor dem großen Abschalten am 21. Juni, der die Kapazitäten des Angreifers einschränkte, vor den böswilligen Exit-Nodes.

Obwohl Tor die Kontrolle über das Netzwerk aus dem Griff des Feindes zurückzugewinnen schien, stellt Nusenu fest, dass die Ereignisse nach dem Abbau von Beweisen begleitet waren, dass der Angreifer immer noch die Kontrolle über mehr als 10 Prozent der Ausgangskapazität des Tor-Netzwerks hat.

Lösung – Risiken abwenden

In früheren Arbeiten hat der Forscher Nusenu versucht, eine Lösung für die Flut von SSL-Stripping-Angriffen zu empfehlen, die das Tor-Netzwerk in den letzten zwei Jahren geplagt haben.

Im Highlight behauptete er, dass es aufgrund der infrastrukturellen Herausforderungen, die sich aus den Bedrohungen ergeben, keine wirkliche Lösung für die böswilligen Tor-Nodes gibt – obwohl die Risikominderung derzeit die beste Wahl ist.

In seinem Rat riet er den Tor-Verzeichnisbehörden, einen Weg zu finden, um es für Bedrohungsakteure schwierig und unpraktisch zu machen, massive Mengen an Tor-Kapazität hinzuzufügen.

Ansonsten schien Nusenu an einem Scheideweg zu stehen, was Gegner erreichen können – entschlossene Hacker haben in der Vergangenheit unübertroffene Agilität und Konsistenz bewiesen, ein Aspekt, der darauf hindeuten könnte, dass das Tor-Netzwerk die bestehende Bedrohung durch böswillige Nodes bei weitem nicht ausschließt.

Übersetzt aus dem Original von: Tape (Onion link)

Leave a Reply