Eine unbekannte Hackergruppe geht seit Januar dieses Jahres gegen das Anonymisierungsnetzwerk Tor vor. Sie fügt Exit Nodes zu Tor hinzu, um Nutzer von Kryptowährungs-Websites per SSL Striping anzugreifen. Im Mai betrieb die Gruppe vorübergehend sogar fast ein Viertel aller Exit Relays, also der Server, über die der User-Traffic das Tor-Netzwerk verlässt und wieder ins öffentliche Internet eintritt.
„Das vollständige Ausmaß der Operation ist nicht bekannt, aber eine Motivation erscheint eindeutig zu sein: Profit“, schreibt Nusenu in einem Blogeintrag. Ihm zufolge manipulieren die Hacker den Traffic, der über ihre Exit Nodes geleitet wird. Per SSL Striping versuchten sie, ein Downgrade des HTTPS-Datenverkehrs zu einer nicht gesicherten HTTP-Verbindung durchzuführen. Ihr eigentliches Ziel sei es, Bitcoin-Adressen im HTTP-Traffic sogenannter Bitcoin Mixing Services auszutauschen.
Bitcoin Mixer sind Websites, die es Nutzern erlauben, Bitcoins von einer Adresse an eine andere zu schicken, indem sie die Summe in viele kleine Teilbeträge aufspalten und über tausende von Adressen leiten, bevor sie beim eigentlichen Empfänger wieder zusammengesetzt werden. Werden die Zieladressen im HTTP-Traffic ausgetauscht, können die Angreifer effektiv die Transaktionen umleiten, ohne dass es der Absender oder die Bitcoin Mixer bemerken.
Über die Analyse der Kontakt-E-Mail-Adressen der schädlichen Tor-Server fand der Forscher heraus, dass die Hacker in den vergangenen sieben Monaten mindestens neun Exit Relay Cluster verwalteten. Im Mai habe er diese erstmals den Tor-Administratoren gemeldet. Zuletzt seien am 21. Juni schädliche Exit Nodes abgeschaltet worden, was die Möglichkeiten der Angreifer stark eingeschränkt habe.
Aktuell geht Nusenu davon aus, dass sich weiterhin mehr als 10 Prozent aller derzeit aktiven Exit Nodes im Tor-Netzwerk unter der Kontrolle der Hacker befinden. Er geht zudem davon aus, dass sie ihre Angriffe fortsetzen werden, da es kein sicheres Prüfverfahren für neue Teilnehmer am Tor-Netzwerk gebe – was dem Anspruch auf Anonymität geschuldet sei. Für Betreiber von Exit Nodes forderte Nusenu trotzdem schärfere Kontrollen.
Einen ähnlichen Angriff entdeckten Proofpoint-Forscher bereits im Jahr 2018. Zudem Zeitpunkt wurden Tor2Web-Proxies manipuliert, um ebenfalls Bitcoin-Adressen auszutauschen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
