Вредоносные сетевые серверы Tor нацелены на криптовалюты пользователей⁠⁠

Неизвестный хакер уже более 16 месяцев проводит крупномасштабную атаку на сеть Tor, захватив до 25% ее мощности «реле выхода».

Согласно новым данным, пользователи сети Tor, ориентированной на анонимность, рискуют потерять свои криптовалюты в результате непрерывной крупномасштабной кибератаки, которая была начата в начале 2020 года.

Согласно отчету, опубликованному вчера исследователем кибербезопасности и оператором узла Tor Нусену, неопознанный хакер добавил тысячи вредоносных серверов в сеть Tor с января 2020 года. Несмотря на то, что его несколько раз отключали, злоумышленник продолжает отслеживать и перехватывать данные пользователей, связанные с криптовалютой, по сей день.

Как следует из названия, реле выхода Tor отвечают за отправку запросов пользователей обратно в «нормальный» Интернет после того, как они были анонимизированы. Однако хакер внес некоторые изменения в код, которые позволили ему точно определять трафик, связанный с криптовалютой, и изменять его перед отправкой.

Проект Tor пояснил, что эти серверы не позволяли веб-сайтам перенаправлять посетителей на более безопасные HTTPS-версии своих платформ. Если бы пользователи не заметили и продолжили отправлять или получать конфиденциальную информацию, она могла быть перехвачена злоумышленником.

Считается, что хакер использует свои серверы для переключения криптографических адресов в транзакционных запросах, сделанных пользователями, и перенаправления их криптовалюты на свои собственные кошельки. Недавно хакер также начал изменять загрузки, сделанные через Tor, но неясно, с какой целью или какие другие методы они могли использовать.

По словам Нусену, за последние 16 месяцев серверы хакеров были отключены разработчиками Tor как минимум три раза. Примечательно, что вредоносные узлы несколько раз составляли примерно четверть выходной мощности сети Tor, достигнув пика в 27% в феврале 2021 года.

Недавно хакер даже внезапно включил все свои серверы, увеличив выходную емкость сети с примерно 1500 до 2500 ретрансляторов. Однако такой резкий рост не остался незамеченным, и злонамеренные реле были удалены.

Однако хакер постоянно перестраивает свою сеть. По оценкам Нусену, до 10% или даже больше мощности выходного реле Tor все еще может контролироваться злоумышленником по сей день.

«Повторяющиеся события крупномасштабных злонамеренных операций ретранслятора Tor ясно показывают, что текущие проверки и подходы к обнаружению неисправных реле недостаточны для предотвращения повторения таких событий и что ландшафт угроз для пользователей Tor изменился», - заключил Нусену.