il 27% dei Relay TOR spia gli utenti.

Ne avevamo già parlato in passato relativamente al traffico in uscita dei relay TOR, ma di recente dei criminali informatici sconosciuti sono riusciti a controllare oltre il 27% dell’intera capacità di uscita dalla rete Tor, questo è stato rilevato da un nuovo studio sull’infrastruttura del dark web.

Tor è un software open source che permette di comunicare in modo anonimo su Internet. Offusca l’origine e la destinazione di una richiesta web indirizzando il traffico di rete attraverso una serie di relè al fine di mascherare l’indirizzo IP, la posizione e l’utilizzo di un utente dalle attività di sorveglianza o dalle analisi del traffico.

Mentre gli Entry/Guard Relay si occupano tipicamente di ricevere il traffico sulla rete Tor e lo trasmettono al suo interno, un Exit Relay è il nodo finale attraverso il quale il traffico Tor passa prima di raggiungere la sua destinazione, uscendo di fatto dal modello di cifratura della rete Onion accedendo al clear web.

Un ricercatore di sicurezza indipendente chiamato nusenu, ha scritto due articoli su medium, dal titolo “Tracking One Year of Malicious Tor Exit Relay Activities” parteI e Parte II, uno di agosto del 2020 e il secondo, l’ultimo uscito qualche giorno fa.

Nell’ultimo uscito il 9 di maggio (per chi legge oggi ieri), ha riportato quanto segue:

“La frazione di uscita media controllata da questa entità è stata superiore al 14% negli ultimi 12 mesi”.

Si tratta di un numero impressionante di Relay TOR gestiti, anche considerando che la rete è completamente decentralizzata. Gli attacchi, da quanto viene riportato, sono iniziati da gennaio 2020 e sono stati documentati ed esposti per la prima volta dallo stesso ricercatore nel primo report del 9 agosto 2020, dove aveva concluso che la percentuale di controllo da parte dei criminali informatici era pari al 23% del totale dei Relay TOR.

Monitoraggio Relay TOR dannosi da Settembre 2020 ad Aprile 2021

I nodi di uscita sulla rete Tor sono stati in passato utilizzati per iniettare malware come OnionDuke, ma questa è la prima volta che un singolo attore di minaccia non identificato è riuscito a controllare una frazione così ampia dei nodi di uscita.

Lo scopo principale, secondo nusenu, è quello di eseguire degli attacchi “person-in-the-middle” verso gli utenti Tor manipolando il traffico mentre scorre verso la rete in uscita.

In particolare, l’attaccante sembra eseguire quello che viene chiamato SSL stripping per eseguire il downgrade del traffico verso i servizi di mixer Bitcoin da HTTPS a HTTP nel tentativo di sostituire gli indirizzi bitcoin e reindirizzare le transazioni ai loro portafogli invece che all’indirizzo bitcoin dell’utente.

“Se un utente visitasse la versione HTTP (ovvero la versione non crittografata e non autenticata) di uno di questi siti, impedirebbe al sito di reindirizzare l’utente alla versione HTTPS (ovvero la versione crittografata e autenticata) del sito”

Ed ecco che in questo caso si potrebbe passare alla successiva iniezione.

i manutentori di Tor Project hanno spiegato lo scorso agosto:

“Se l’utente non si è accorto di non essere finito sulla versione HTTPS del sito (nessuna icona di blocco nel browser) e ha proceduto a inviare o ricevere informazioni sensibili, queste informazioni potrebbero essere intercettate dall’aggressore.”

Per mitigare tali attacchi, il progetto Tor ha delineato una serie di raccomandazioni, tra cui esortare gli amministratori dei siti Web ad abilitare HTTPS per impostazione predefinita e creare siti .onion, per evitare che si possa uscire dalla rete, aggiungendo che sta lavorando a una “correzione completa” per disabilitare il semplice HTTP in Tor Browser.

Di seguito i punti salienti della ricerca:

• The entity attacking tor users, originally disclosed in August 2020, is actively exploiting tor users since over a year and expanded the scale of their attacks to a new record level (>27% of the tor network’s exit capacity has been under their control on 2021–02–02).
• The average exit fraction this entity controlled was above 14% throughout the past 12 months (measured between 2020–04–24 and 2021–04–26).
• The malicious actor actively reported non-malicious but poorly configured relays to the Tor Project’s bad-relays mailing list to find viable victims to use for operator impersonation attacks.
• Most of the malicious tor exit capacity did not have any relay ContactInfo. Throughout the last 6 months the majority of tor exit capacity without ContactInfo was malicious.
• The attacker primarily uses servers at the hoster OVH.
• In early May 2021 the attacker attempted to add over 1 000 exit relays to the tor network.
• The attacker (or one of them) likely uses the Russian language interface of gmail.com.
• As of 2021–05–08 I estimate their exit fraction between 4-6% of the tor network’s exit capacity.
• A new non-spoofable ContactInfo field for tor relays has been specified and has been adopted by over 20% of the network’s exit capacity so far.
• OrNetStats has been extended to include two new graphs: exit fraction by non-spoofable ContactInfo domain and graphs showing exit fraction without ContactInfo

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli