Hacker kapern Tor Exit Nodes für SSL-Striping-Angriffe

Eine unbekannte Hackergruppe geht seit Januar dieses Jahres gegen das Anonymisierungsnetzwerk Tor vor. Sie fügt Exit Nodes zu Tor hinzu, um Nutzer von Kryptowährungs-Websites per SSL Striping anzugreifen. Im Mai betrieb die Gruppe vorübergehend sogar fast ein Viertel aller Exit Relays, also der Server, über die der User-Traffic das Tor-Netzwerk verlässt und wieder ins öffentliche Internet eintritt.

Mit der Gruppe beschäftige sich der unabhängige Sicherheitsforscher Nusenu, der selbst einen Tor-Server betreibt. Ihm zufolge verwalteten die Hacker zwischenzeitlich 380 schädliche Tor Exit Relays. Durch Eingriffe des Tor-Teams sei diese Zahl inzwischen reduziert worden.

„Das vollständige Ausmaß der Operation ist nicht bekannt, aber eine Motivation erscheint eindeutig zu sein: Profit“, schreibt Nusenu in einem Blogeintrag. Ihm zufolge manipulieren die Hacker den Traffic, der über ihre Exit Nodes geleitet wird. Per SSL Striping versuchten sie, ein Downgrade des HTTPS-Datenverkehrs zu einer nicht gesicherten HTTP-Verbindung durchzuführen. Ihr eigentliches Ziel sei es, Bitcoin-Adressen im HTTP-Traffic sogenannter Bitcoin Mixing Services auszutauschen.

Bitcoin Mixer sind Websites, die es Nutzern erlauben, Bitcoins von einer Adresse an eine andere zu schicken, indem sie die Summe in viele kleine Teilbeträge aufspalten und über tausende von Adressen leiten, bevor sie beim eigentlichen Empfänger wieder zusammengesetzt werden. Werden die Zieladressen im HTTP-Traffic ausgetauscht, können die Angreifer effektiv die Transaktionen umleiten, ohne dass es der Absender oder die Bitcoin Mixer bemerken.

Über die Analyse der Kontakt-E-Mail-Adressen der schädlichen Tor-Server fand der Forscher heraus, dass die Hacker in den vergangenen sieben Monaten mindestens neun Exit Relay Cluster verwalteten. Im Mai habe er diese erstmals den Tor-Administratoren gemeldet. Zuletzt seien am 21. Juni schädliche Exit Nodes abgeschaltet worden, was die Möglichkeiten der Angreifer stark eingeschränkt habe.

Aktuell geht Nusenu davon aus, dass sich weiterhin mehr als 10 Prozent aller derzeit aktiven Exit Nodes im Tor-Netzwerk unter der Kontrolle der Hacker befinden. Er geht zudem davon aus, dass sie ihre Angriffe fortsetzen werden, da es kein sicheres Prüfverfahren für neue Teilnehmer am Tor-Netzwerk gebe – was dem Anspruch auf Anonymität geschuldet sei. Für Betreiber von Exit Nodes forderte Nusenu trotzdem schärfere Kontrollen.

Einen ähnlichen Angriff entdeckten Proofpoint-Forscher bereits im Jahr 2018. Zudem Zeitpunkt wurden Tor2Web-Proxies manipuliert, um ebenfalls Bitcoin-Adressen auszutauschen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

15 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

21 Stunden ago