Alguien está controlando nodos de salida de Tor para extraer información sitios de criptomonedas

Desde enero de 2020, un misterioso actor de amenazas ha estado agregando servidores a la red Tor para realizar ataques de eliminación de SSL (básicamente de https a http) en los usuarios que acceden a sitios relacionados con criptomonedas a través del navegador Tor. Los operadores maliciosos llegaron a controlar más del 23% de la capacidad de salida de la red Tor, ahora se calcula que sólo un 10%. Se propone controlar más rigurosamente quién pone nodos de salida Tor para evitar tráfico malicioso. Cualquiera puede poner un servidor Tor de salida, los requerimientos son mínimos y las comprobaciones, a veces, también.

Un grupo misterioso ha secuestrado los nodos de salida de Tor para realizar ataques de eliminación de SSL
¿Qué es un nodo de salida? Los nodos de salida (el último relé antes de que tu información alcance su destino)
El atacante ha usado servidores alojados en OVH y Hetzner (muy habituales) para capturar tráfico.

• En algún momento, el grupo ejecutó casi una cuarta parte de todos los nodos de salida de Tor y El grupo todavía controla el 10% de todos los nodos de salida de Tor en la actualidad.

El grupo ha sido tan prodigioso y persistente en sus ataques, que en mayo de 2020, ejecutaron una cuarta parte de todos los relés de salida de Tor, los servidores a través de los cuales el tráfico de usuarios sale de la red Tor y acceder a la Internet pública.

Según un informe publicado el domingo por un investigador de seguridad independiente y operador del servidor Tor conocido como Nusenu, el grupo logró 380 relés de salida de Tor maliciosos en su punto máximo, antes de que el equipo de Tor hiciera la primera de tres intervenciones para eliminar esta red.

• https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac

Ataques de eliminación de SSL en usuarios de Bitcoin

"Se desconoce la extensión total [sic] de sus operaciones, pero una motivación parece ser simple y llana: ganancias", escribió Nusenu durante el fin de semana.

El investigador dice que el grupo está realizando "ataques de persona en el medio a los usuarios de Tor al manipular el tráfico a medida que fluye a través de sus relés de salida", y que están apuntando específicamente a los usuarios que acceden a sitios web relacionados con criptomonedas utilizando el software Tor o el navegador Tor. .

El objetivo del ataque de persona en el medio es ejecutar ataques de "eliminación de SSL" degradando el tráfico web del usuario de URL HTTPS a alternativas HTTP menos seguras.

Basado en su investigación, Nusenu dijo que el objetivo principal de estos ataques de eliminación de SSL era permitir que el grupo reemplazara las direcciones de Bitcoin dentro del tráfico HTTP que va a los servicios de mezcla de Bitcoin.


Los mezcladores de Bitcoin son sitios web que permiten a los usuarios enviar Bitcoin de una dirección a otra dividiendo los fondos en pequeñas sumas y transfiriéndolos a través de miles de direcciones intermediarias antes de volver a unir los fondos en la dirección de destino. Al reemplazar la dirección de destino en el nivel de tráfico HTTP, los atacantes efectivamente secuestraron los fondos del usuario sin el conocimiento de los usuarios o del mezclador de Bitcoin.

Un ataque difícil de superar

"Los ataques de reescritura de direcciones de Bitcoin no son nuevos, pero la escala de sus operaciones sí lo es", dijo el investigador.

Nusenu dijo que, en función de la dirección de correo electrónico de contacto utilizada para los servidores maliciosos, rastrearon al menos nueve diferentes clústeres de retransmisión de salida de Tor maliciosos, agregados en los últimos siete meses.

Imagen: Nusenu

El investigador dijo que la red maliciosa alcanzó su punto máximo en 380 servidores el 22 de mayo, cuando el grupo controló el 23,95% de todos los relés de salida de Tor, lo que les dio a los usuarios de Tor una probabilidad de uno en cuatro de aterrizar en un relé de salida malicioso.

Nusenu dijo que ha estado informando los relés de salida maliciosos a los administradores de Tor desde mayo, y después del último derribo el 21 de junio, las capacidades del actor de amenazas se han reducido drásticamente.

tor-exit-malware-takedowns.png


Join Timestamp, Removal Timestamp,ContactInfo
2020-01-27 21:00:00,2020-05-22 00:00:00,loribthorpe@hotmail.com
2020-01-29 20:00:00,2020-06-22 00:00:00,thomaspli1@hotmail.com
2020-02-29 03:00:00,2020-06-21 23:00:00,mleachman00@gmail.com
2020-03-16 05:00:00,2020-05-22 00:00:00,johntor336@hotmail.com
2020-03-21 13:00:00,2020-06-15 23:00:00,abusetor1234@protonmail.com
2020-05-04 02:00:00,2020-06-21 23:00:00,fbirelays@protonmail.com
2020-05-25 08:00:00,2020-06-21 23:00:00,MichaelLyons12345@hotmail.com
2020-05-28 19:00:00,2020-06-21 23:00:00,stayhomeusetor@protonmail.ch
2020-06-02 08:00:00,2020-06-21 23:00:00,joycecbarrera@hotmail.com

No obstante, Nusenu también agregó que desde la última eliminación "hay múltiples indicadores que sugieren que el atacante aún ejecuta> 10% de la capacidad de salida de la red Tor (a partir de 2020-08-08)".

El investigador sugirió que es probable que el actor de amenazas continúe su ataque ya que el Proyecto Tor no cuenta con un proceso de investigación exhaustivo para las entidades que pueden unirse a su red. Si bien el anonimato es una característica central de la red Tor, el investigador argumenta que se puede implementar una mejor verificación para al menos los operadores de retransmisión de salida.

Un ataque similar tuvo lugar en 2018

Un ataque algo similar como este tuvo lugar en 2018; sin embargo, no apuntó a los relés de salida de Tor, sino a los proxies Tor-to-web (Tor2Web), portales web en la Internet pública que permiten a los usuarios acceder a direcciones .onion generalmente accesibles solo a través del Navegador Tor.

En ese momento, la firma de seguridad estadounidense Proofpoint informó que al menos un operador de proxy Tor-to-web estaba reemplazando silenciosamente las direcciones de Bitcoin para los usuarios que acceden a portales de pago de ransomware con la intención de pagar demandas de rescate, secuestrando efectivamente el pago y dejando a las víctimas sin una clave de descifrado. , incluso si pagaron el rescate.

Resumen:

• Desde la divulgación de ataques a gran escala en la red Tor (el operador malicioso ejecutó> 10% de la capacidad de Tor) en diciembre de 2019, no se han implementado mejoras con respecto a los relés Tor maliciosos.
•  El operador malicioso de Tor que se analiza en esta publicación de blog controlaba más del 23% de la capacidad de salida de la red Tor (a partir de 2020–05–22)
•  El operador malicioso demostró recuperar su capacidad después de los intentos iniciales de eliminación por parte de las autoridades del directorio Tor.
• Hay varios indicadores que sugieren que el atacante aún ejecuta> 10% de la capacidad de salida de la red Tor (a partir de 2020-08-08)
• Los eventos recurrentes de operaciones maliciosas de retransmisión de Tor a gran escala dejan en claro que las comprobaciones y enfoques actuales para la detección de retransmisiones defectuosas son insuficientes para evitar que tales eventos vuelvan a ocurrir y que el panorama de amenazas para los usuarios de Tor ha cambiado.
• Se han propuesto múltiples contramedidas específicas para abordar el problema actual de la capacidad de retransmisión maliciosa.
• Depende del Proyecto Tor y de las autoridades del directorio Tor actuar para evitar más daños a los usuarios de Tor.

Introducción

Tor está gestionado por The Tor Project que es una organización sin ánimo de lucro orientada a la investigación y la educación, y que es financiada por distintas organizaciones. Años atrás pasó a ser patrocinado por la Electronic Frontier Foundation, que es la organización de defensa de las libertades civiles en el mundo digital.

Fue creada por Roger Dingledine, Nick Mathewson y Paul Syverson como una evolución del proyecto Onion Routing, desarrollado por el laboratorio de Investigación Naval de los Estados Unidos.

¿Cómo funciona Tor?

El nombre TOR son las siglas de 'The Onion Router', el router Cebolla.  El objetivo de este proyecto es el de crear una red de comunicaciones distribuida y superpuesta al Internet convencional

Tor es una red que implementa una técnica llamada Onion Routing (enrutado cebolla en castellano), y basada en un sistema de enrutamiento por capas (de ahí la referencia a ‘onion’, cebolla en inglés)
La idea es cambiar el modo de enrutado tradicional de Internet para garantizar el anonimato y la privacidad de los datos.

Onion Routing, que consiste en enviar los datos por un camino no directo utilizando diferentes nodos. Primero, el ordenador A, que quiere enviar el mensaje a B, calcula una ruta más o menos aleatoria al destino pasando por varios nodos intermedios. Después, consigue las claves públicas de todos ellos usando un directorio de nodos.

El precio a pagar por la privacidad y seguridad es la velocidad, y las páginas de la Darknet TOR suelen cargar más lentas.

La red Tor es muy usada en países o lugares donde las comunicaciones están extremadamente vigiladas y donde se persiguen a las personas que intentan acceder a ese tipo de información Por eso es muy popular entre periodistas, activistas, trabajadores por los derechos humanos y quienes sacan información secreta a luz, especialmente aquellos que viven o trabajan en países con restricciones de Internet.

TOR es extremadamente sencillo gracias a que tiene un navegador preparado para conectarte sin grandes problemas. Lo primero que tienes que hacer es ir a la página de Tor Browser,

Viene con el buscador DuckDuckGo configurado para encontrar también páginas .onion, el dominio de las webs de esta Darknet.


También tienes una versión para Android de TOR Browser que puedes descargar desde Google Play. Su funcionamiento es extremadamente sencillo: la descargas, cuando la enciendas pulsas en Conectar y ya está, en unos segundos estarás conectado a la red TOR.

Fuentes:
https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/