Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

il 27% dei Relay TOR spia gli utenti.

Redazione RHC : 10 Maggio 2021 14:14

Ne avevamo già parlato in passato relativamente al traffico in uscita dei relay TOR, ma di recente dei criminali informatici sconosciuti sono riusciti a controllare oltre il 27% dell’intera capacità di uscita dalla rete Tor, questo è stato rilevato da un nuovo studio sull’infrastruttura del dark web.

Tor è un software open source che permette di comunicare in modo anonimo su Internet. Offusca l’origine e la destinazione di una richiesta web indirizzando il traffico di rete attraverso una serie di relè al fine di mascherare l’indirizzo IP, la posizione e l’utilizzo di un utente dalle attività di sorveglianza o dalle analisi del traffico.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Mentre gli Entry/Guard Relay si occupano tipicamente di ricevere il traffico sulla rete Tor e lo trasmettono al suo interno, un Exit Relay è il nodo finale attraverso il quale il traffico Tor passa prima di raggiungere la sua destinazione, uscendo di fatto dal modello di cifratura della rete Onion accedendo al clear web.

Un ricercatore di sicurezza indipendente chiamato nusenu, ha scritto due articoli su medium, dal titolo “Tracking One Year of Malicious Tor Exit Relay Activities” parteI e Parte II, uno di agosto del 2020 e il secondo, l’ultimo uscito qualche giorno fa.

Nell’ultimo uscito il 9 di maggio (per chi legge oggi ieri), ha riportato quanto segue:

“La frazione di uscita media controllata da questa entità è stata superiore al 14% negli ultimi 12 mesi”.

Si tratta di un numero impressionante di Relay TOR gestiti, anche considerando che la rete è completamente decentralizzata. Gli attacchi, da quanto viene riportato, sono iniziati da gennaio 2020 e sono stati documentati ed esposti per la prima volta dallo stesso ricercatore nel primo report del 9 agosto 2020, dove aveva concluso che la percentuale di controllo da parte dei criminali informatici era pari al 23% del totale dei Relay TOR.


Monitoraggio Relay TOR dannosi da Settembre 2020 ad Aprile 2021

I nodi di uscita sulla rete Tor sono stati in passato utilizzati per iniettare malware come OnionDuke, ma questa è la prima volta che un singolo attore di minaccia non identificato è riuscito a controllare una frazione così ampia dei nodi di uscita.

Lo scopo principale, secondo nusenu, è quello di eseguire degli attacchi “person-in-the-middle” verso gli utenti Tor manipolando il traffico mentre scorre verso la rete in uscita.

In particolare, l’attaccante sembra eseguire quello che viene chiamato SSL stripping per eseguire il downgrade del traffico verso i servizi di mixer Bitcoin da HTTPS a HTTP nel tentativo di sostituire gli indirizzi bitcoin e reindirizzare le transazioni ai loro portafogli invece che all’indirizzo bitcoin dell’utente.

“Se un utente visitasse la versione HTTP (ovvero la versione non crittografata e non autenticata) di uno di questi siti, impedirebbe al sito di reindirizzare l’utente alla versione HTTPS (ovvero la versione crittografata e autenticata) del sito”

Ed ecco che in questo caso si potrebbe passare alla successiva iniezione.

i manutentori di Tor Project hanno spiegato lo scorso agosto:

“Se l’utente non si è accorto di non essere finito sulla versione HTTPS del sito (nessuna icona di blocco nel browser) e ha proceduto a inviare o ricevere informazioni sensibili, queste informazioni potrebbero essere intercettate dall’aggressore.”

Per mitigare tali attacchi, il progetto Tor ha delineato una serie di raccomandazioni, tra cui esortare gli amministratori dei siti Web ad abilitare HTTPS per impostazione predefinita e creare siti .onion, per evitare che si possa uscire dalla rete, aggiungendo che sta lavorando a una “correzione completa” per disabilitare il semplice HTTP in Tor Browser.

Di seguito i punti salienti della ricerca:

  • The entity attacking tor users, originally disclosed in August 2020, is actively exploiting tor users since over a year and expanded the scale of their attacks to a new record level (>27% of the tor network’s exit capacity has been under their control on 2021–02–02).
  • The average exit fraction this entity controlled was above 14% throughout the past 12 months (measured between 2020–04–24 and 2021–04–26).
  • The malicious actor actively reported non-malicious but poorly configured relays to the Tor Project’s bad-relays mailing list to find viable victims to use for operator impersonation attacks.
  • Most of the malicious tor exit capacity did not have any relay ContactInfo. Throughout the last 6 months the majority of tor exit capacity without ContactInfo was malicious.
  • The attacker primarily uses servers at the hoster OVH.
  • In early May 2021 the attacker attempted to add over 1 000 exit relays to the tor network.
  • The attacker (or one of them) likely uses the Russian language interface of gmail.com.
  • As of 2021–05–08 I estimate their exit fraction between 4-6% of the tor network’s exit capacity.
  • A new non-spoofable ContactInfo field for tor relays has been specified and has been adopted by over 20% of the network’s exit capacity so far.
  • OrNetStats has been extended to include two new graphs: exit fraction by non-spoofable ContactInfo domain and graphs showing exit fraction without ContactInfo

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

RHC Conference 2025: 2 giorni di sicurezza informatica tra panel, workshop e Capture The Flag

Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...

Gli hacker criminali di Nova rivendicano un attacco informatico al Comune di Pisa

La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...

Attacco informatico all’Università Roma Tre: intervengono ACN e Polizia Postale

Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...

Sei Davvero Umano? Shock su Reddit: migliaia di utenti hanno discusso con dei bot senza saperlo

Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...

GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006