Site icon 暗网下

超过27%的Tor出口节点被黑客组织控制用来监视暗网用户的活动

一项关于暗网基础设施的新研究显示,一个未知的威胁参与者在2021年2月上旬设法控制了整个Tor网络出口流量的27%以上。

独立安全研究人员nusenu在周日发表的一篇文章中说: “攻击Tor用户的黑客组织自一年以来一直在积极针对tor用户,并将其攻击范围扩大到新的记录水平。” 在过去的12个月中,该黑客组织控制的平均出口节点比例超过14%。”

这是自201912月以来揭露恶意的Tor活动而开展的一系列工作中的最新一项。据称,这些攻击始于2020年1月,由同一研究人员在2020年8月首次记录和揭露

Tor是一款开源软件,用于实现互联网上的匿名通信。它通过将网络流量引导通过一系列中继来混淆Web请求的源和目的地,以便从监视或流量分析中掩盖用户的IP地址以及位置和使用情况。中继节点通常负责在Tor网络上接收流量并传递,而出口节点是Tor流量到达目的地之前经过的最后一个节点。

过去曾经发生过破坏了Tor网络上的出口节点以注入OnionDuke之类的恶意软件,但这是第一次有一个身份不明的参与者首次设法控制如此大比例的Tor出口节点。

在2020年7月和2021年4月之间,这个特定的恶意攻击者控制的Tor出口容量(以整个可用的Tor网络出口容量的百分比衡量)。峰值可以看出:攻击者在2021年2月2日确实控制了大约27.5%的Tor网络出口容量。Graph by nusenu (raw data source: Tor Project/onionoo)

黑客组织在2020年8月高峰期之前维护了380个恶意Tor出口节点,然后Tor项目官方进行了干预,将这些节点从Tor网络中剔除,之后该活动在今年年初再次达到顶峰,攻击者试图在5月的第一周增加超过1000个出口节点。在第二波攻击中检测到的所有恶意Tor出口节点后来都被删除。

据nusenu称,攻击的主要目的是通过控制流过出口中继网络的流量来对Tor用户进行“中间人”攻击。具体来说,攻击者似乎执行了所谓的SSL剥离,以将前往比特币混币服务的流量从HTTPS降级为HTTP,以试图替换比特币地址并将交易重定向到其钱包,而不是用户提供的比特币地址。

“如果用户访问了这些站点之一的HTTP版本(即未加密,未经身份验证的版本),他们将阻止该站点将用户重定向到该站点的HTTPS版本(即经过加密,身份验证的版本),”维护者Tor Project的负责人于去年8月解释道。“如果用户没有注意到他们没有进入该站点的HTTPS版本(浏览器中没有锁定图标)并继续发送或接收敏感信息,则攻击者可能会拦截此信息。”

为了减轻此类攻击,Tor项目概述了许多建议,包括敦促网站管理员部署.onion网站时默认启用HTTPS以避免出口节点攻击,并补充说它正在“全面修复”上工作以禁用Tor浏览器中的纯HTTP

美国网络安全和基础设施安全局(CISA)在2020年7月的一份咨询报告中说: “通过Tor传播的恶意活动的目标风险对每个组织来说都是独特的。每个组织应通过评估黑客将其系统或数据作为目标的可能性,以及考虑到当前的缓解措施和控制措施,并苹果黑客成功的概率来确定其风险。”

该机构补充说:“各组织应评估其缓解决策,以应对来自高级持续性威胁(APT)、中度复杂的攻击者以及技术水平低下的单个黑客的威胁,这些人过去都曾利用Tor进行了侦察和攻击。”

Exit mobile version