El 9 de agosto, un tal Nusenu, propietario de un nodo de salida en TOR, publicó una publicación en la que afirmó que más del 23% de todos los nodos de salida están bajo el control de ciberdelincuentes que interceptan el tráfico de usuarios y reemplazan las billeteras de Bitcoin sobre la marcha en un intento de robar los fondos de otras personas. El artículo original está aquí .
Se desconoce la verdadera escala de las operaciones de este grupo, pero su principal objetivo es obtener ganancias. Los atacantes llevan a cabo ataques man-in-the-middle contra los usuarios de Tor y manipulan el tráfico que pasa por los nodos de salida bajo su control. La peculiaridad de la situación es que los atacantes utilizaron la técnica sslstrip, que por alguna razón se considera muerta hace mucho tiempo y ya no es relevante. Mientras que el llamado. Los expertos hablan sobre HTTP Strict Transport Security (= HSTS) y otras listas de dominios precargadas, los villanos de la red están explotando la vieja técnica con poder y fuerza. En un momento, Edward Snowden utilizó las mismas técnicas en su trabajo.
Por lo tanto, la agrupación reemplaza las direcciones de bitcoin dentro del tráfico HTTP asociado con los servicios de mezcla. Estos servicios ayudan a "oscurecer el rastro" al convertir una simple transferencia de fondos de una cuenta a otra en un esquema complejo: en lugar de una transacción, el servicio divide el pago requerido en cientos o miles de pequeñas transferencias que se envían a diferentes cuentas y pasan por muchas billeteras antes de llegar a la verdadera metas. Es decir, al sustituir direcciones al nivel del tráfico HTTP, los atacantes interceptan efectivamente los fondos de las víctimas, sin el conocimiento tanto de los propios usuarios como de los mezcladores de criptomonedas.
Le sugiero que se familiarice con dos videoclips. El primero cuenta la historia y la esencia del ataque sslstrip, que le permite cortar enlaces https e interceptar datos destinados a una sesión ssl.
El segundo describe el mecanismo HSTS, que está diseñado para evitar el uso de la técnica sslstrip. Además, el video demuestra una forma de evitar HSTS utilizando la herramienta Intercepter-NG y explica el principio de funcionamiento.
También le recomiendo que lea la siguiente entrevista, que aborda los problemas de los ataques MiTM y las posibles formas de protegerse contra ellos.