Uma entidade conseguiu o controle de mais de 27% dos nodes de saída da rede Tor, segundo um novo estudo.
“A entidade que ataca os usuários do Tor está explorando ativamente os usuários da rede há mais de um ano e expandiu a escala de seus ataques para um novo nível”, mostra o estudo do pesquisador nusensu.
Nos últimos 12 meses, a entidade conseguiu controlar uma média de 14% do tráfego de saída da rede Tor. Os pesquisadores conseguiram cruzar dados de nodes relays de saída que estavam modificando páginas da web.
Os ataques foram identificados em agosto de 2020 pelo mesmo pesquisador, com os dados foi possível remover boa parte dos nós de saída maliciosos. Contudo, graças a uma configuração errada nos nodes da empresa CypherpunkLabs a entidade conseguiu se camuflar como se fosse um nó honesto na rede.
“ A entidade maliciosa começou a tirar vantagem da má configuração do relays do CypherpunkLabs. Novos relays de saída maliciosos usando o ContactInfo do CypherPunkLabs apareceram…. Como o CypherPunkLabs não declarou corretamente seu grupo de revezamento, não foi possível diferenciar seus relays dos relays do atacante (eles até usaram a mesma empresa de hospedagem para os relays maliciosos). Então todos eles, aqueles realmente executados por CypherpunkLabs e aqueles executados pelo atacante, foram removidos completamente“ – explicou o pesquisador.
Para se camuflar como se fossem nós confiáveis, os atacantes criavam até mesmo profiles fakes em redes sociais:
“A rede tor geralmente consiste em menos de 1500 relés de saída de tor. No início de maio de 2021, mais de 1000 novos relés de saída de tor sem nome sem o ContactInfo se juntaram à rede tor em menos de 24 horas”
Eles querem seus bitcoins
Diferente de outras redes anônimas como a I2P, o Tor permite uma navegação facilitada na internet comum de forma privada. Contudo, quem busca essas informações são os “nós de saída,” que podem simplesmente coletá-las e modificá-las, principalmente se a página em questão não tiver “https” habilitado.
Mirando usuários de bitcoins que usam o Tor com o objetivo de misturar as criptomoedas em sites de mixers ou trocas automáticas, os hackers tentavam modificar os endereços de btc. Aparentemente a entidade controlando os nodes faz um ataque de SSL stripping para tirar o https e modificar os endereços de bitcoin.
Abaixo vemos uma tentativa de um ataque de “Man in the Middle” para o site de troca automática de criptomoedas changenow.io:
Para mitigar os problemas, a equipe do Tor recomenda a criação e navegação apenas em sites .onion e habilitar HTTPS como padrão no browser. Atualmente, o maior site na rede Tor é o Facebook. Os nodes foram removidos, mas nada impede que eles voltem com outra tática para roubar nossos bitcoins.