Хакер больше года контролировал до 27% сети TOR для кражи криптовалюты. И «засветил» свой московский адрес

Более 16 месяцев злоумышленник добавлял вредоносные серверы в сеть TOR, чтобы перехватывать трафик и выполнять атаки на компьютеры пользователей, которые посещали сайты с криптовалютой.

Хакер больше года контролировал до 27% сети TOR для кражи криптовалюты. И «засветил» свой московский адрес

Более 16 месяцев злоумышленник добавлял вредоносные серверы в сеть TOR, чтобы перехватывать трафик и выполнять атаки на компьютеры пользователей, которые посещали сайты с криптовалютой.

Серверы идентифицировали трафик, который был направлен на ресурсы с криптовалютой, и выполняли атаки с удалением SSL. Уровень шифрования при этом понижался с HTTPS до HTTP для того, чтобы хакер подменил адреса ресурсов, связанных с криптовалютой, и перехватил транзакции.

Доля трафика вредоносных серверов (в % от всей доступной мощности Tor) в период с июля 2020 года по апрель 2021 года. Пиковое значение приходится на 2 февраля 2021 года: злоумышленник использовал примерно 27,5% возможностей сети. Источник: Nusenu.

«Если пользователь посещал HTTP-версию одного из этих сайтов, он не позволял сайту перенаправить пользователя на HTTPS-версию. Если пользователь не заметил, что он не попал на HTTPS-версию сайта (в браузере нет значка замка) и продолжал отправлять или получать конфиденциальную информацию, эта информация могла быть перехвачена злоумышленником», — пояснили мейнтейнеры TOR Project.

По данным оператора узла TOR Nusenu, атаки начались в январе 2020 года. Он утверждает, что неизвестному хакеру удалось трижды наводнить сеть своими вредоносными серверами. Это привело к тому, что объем созданной инфраструктуры в феврале 2021 года достиг 27% от всего объема сети TOR, позднее команда сети отключила эти серверы. В течение последних 12 месяцев средняя доля, контролируемая хакером, составляла 14%. 

Попытки перехвата пользовательских данных обнаружили спустя несколько недель и даже месяцев после того, как они были запущены. Несмотря на разоблачение, злоумышленник продолжает совершать атаки: теперь он не пытается запустить все серверы одновременно, чтобы не привлекать внимание. Nusenu добавляет, что сейчас вредоносные серверы контролируют от 4% до 6% сети.

Nusenu публикует несколько источников, в том числе RIPE, которые указывают на один конкретный адрес предполагаемого злоумышленника. Источник: Nusenu.

Также Nusenu предположил, кто может стоять за этими атаками. Сравнив IP-адреса с помощью базы данных RIPE, он обнаружил заказчика серверов по адресу электронной почты. Хостинговая компания подтвердила, что указанные в RIPE контакт верен, там же указан и физический адрес, который расположен в Москве. Однако Nusenu сомневается, что этот физический адрес реальный.

Регистрируйтесь на Currency.com и инвестируйте в токенизированные акции, крипту, сырье.

Разбираемся в украинском ИТ. Подписывайтесь на наш Телеграм-канал и будьте в курсе последних новостей!