一个神秘组织劫持了Tor出口节点以进行SSL剥离攻击

自2020年1月以来，一个神秘的威胁参与者一直在向Tor网络中添加服务器，以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击。

该组织的攻击是如此的庞大和持久，以至于到2020年5月，他们运行了所有Tor出口中继的四分之一  -用户流量通过这些服务器离开Tor网络并访问公共互联网。

根据 独立安全研究人员和Tor服务器运营商Nusenu周日发布的一份报告，在Tor团队采取三项干预措施中的第一项来淘汰该网络之前，该小组在高峰期管理了380个恶意Tor出口中继。

对比特币用户的SSL剥离攻击

努瑟努在周末写道：“他们运作的全部细节还不得而知，但是动机似乎很简单：利润。”

研究人员说，该小组正在“通过操纵流过出口中继的流量来对Tor用户进行中间人攻击”，他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。

中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级到不太安全的HTTP替代方案，从而执行“ SSL剥离”攻击。

根据调查，Nusenu说，这些SSL剥离攻击的主要目标是使该组织能够替换进入比特币混合服务的HTTP流量内的比特币地址。

比特币混合器是一个网站，通过将少量资金分成零碎资金并通过数千个中间地址进行转移，然后再在目标地址重新加入资金，用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址，攻击者有效地劫持了用户的资金，而无需用户或比特币混合器的了解。

艰难的突破

研究人员说：“比特币地址重写攻击并不新鲜，但是其操作规模却很大。”

Nusenu表示，根据用于恶意服务器的联系电子邮件地址，他们跟踪了至少七个不同的恶意Tor出口中继群集，这些群集在过去七个月内被添加。

研究人员说，恶意网络在5月22日达到380台服务器的峰值，当时所有Tor出口中继的23.95％受该组织控制，这使Tor用户有四分之一的机会登陆到恶意出口中继。

Nusenu表示，自5月以来，他一直在向Tor管理员报告恶意出口中继，并且在6月21日最近一次撤离后，威胁参与者的能力已大大降低。

尽管如此，Nusenu还补充说，自从上次下台以来，“有多个指标表明攻击者的Tor网络出口容量仍然超过10％（截至2020-08-08）。”

研究人员认为，由于Tor项目对可加入其网络的实体没有适当的审查流程，威胁者可能会继续进行攻击。虽然匿名是Tor网络的核心特征，但研究人员认为，至少对出口中继运营商而言，可以进行更好的审查。

2018年发生了类似的攻击

在2018年发生了类似的攻击; 但是，它不是针对Tor出口中继，而是针对Tor-to-web（Tor2Web）代理-公共互联网上的Web门户，允许用户访问通常只能通过Tor浏览器访问的.onion地址。

当时，美国安全公司Proofpoint报告说，至少有一个Tor-to-web代理运营商正在悄悄地为访问打算支付赎金要求的勒索软件支付门户的用户替换比特币地址-有效劫持了付款，使受害者没有解密密钥，即使他们支付了赎金。