Група невідомих захопила чверть вузлів анонімного браузера TOR, щоб красти криптовалюту

Вихідний вузол мережі TOR є її ключовим елементом, який має доступ до всього трафіку підключеного до нього користувача.

Невідомі скористалися особливістю анонімної мережі TOR для перехоплення операцій з криптовалютами та перенаправлення грошей на свої рахунки. Для цього вони запустили 380 нових вихідних вузлів у мережі TOR, захопивши таким чином 23,95% вихідних вузлів цієї мережі. Навіть після протидії розробників TOR сьогодні група все ще контролює 10% вихідних вузлів мережі.

b7fb8411bf341fdd832d8cb9329ea2cf

Вихідний вузол мережі TOR є її ключовим елементом, який має доступ до всього трафіку підключеного до нього користувача.

Контролюючи 23,95% вихідних вузлів мережі, невідомі гарантували, що майже кожен четвертий користувач TOR опиниться на їхньому вузлі. Далі вони використали атаку SSL stripping, щоб перевести трафік з шифрованого протоколу HTTPS у нешифрований HTTP. Після цього вони могли вільно маніпулювати трафіком користувача.

Підписуйтесь на наш канал у Telegramhttps://t.me/techtodayua

Помітивши, що якийсь юзер виконує переказ грошей з використанням криптовалют, ця група редагувала трафік таким чином, щоб кошти відправлялися на їхній рахунок. Оскільки гаманець-отримувач змінювався на рівні HTTP, відправник не дізнавався відразу, що його гроші викрали.

TOR є системою, в якій трафік користувача розділяється і проходить крізь мережу проміжних вузлів. Ці пакети слідують різними маршрутами, що ускладнює відстеження їхнього відправника. Проте всі вони збираються в одному місці – у вихідному вузлі TOR, який, власне, контактує із сервером, що початково потрібен був користувачеві. Подробиці роботи мережі TOR розповідає стаття «Серфинг со вкусом лука: как открыть дверь в скрытый интернет».

Тривалий час TOR був доступний лише на комп’ютерах, але у 2019 році цей браузер вийшов на Android. Схожий інструмент доступний на iPhone.