Plus de 27% des relais Tor espionnaient les activités des utilisateurs

0

Un groupe de pirates informatiques a réussi à contrôler plus de 27% de la capacité totale de sortie du réseau Tor début Février 2021, selon une nouvelle étude sur l’infrastructure du dark web.

« L’entité qui attaque les utilisateurs de Tor exploite activement les utilisateurs depuis plus d’un an et a élargi l’échelle de leurs attaques à un nouveau niveau record », a déclaré un chercheur indépendant en sécurité qui se nomme nusenu. « La fraction moyenne de sortie contrôlée par cette entité a dépassé 14 % au cours des 12 derniers mois. »

Ceci est un nouvel effort pour mettre en lumière les activités malveillantes de Tor perpétrées par le(s) hacker(s) depuis Décembre 2019. Les attaques, qui auraient commencé en Janvier 2020, ont d’abord été documentées et exposées par le même chercheur en Août 2020.

Tor est un logiciel open-source permettant une communication anonyme sur Internet. Il obscurcit la source et la destination d’une requête web en dirigeant le trafic réseau à travers une série de relais afin de masquer l’adresse IP d’un utilisateur ainsi que la surveillance ou l’analyse du trafic. Alors que les relais intermédiaires s’occupent généralement de recevoir le trafic sur le réseau et de le transmettre, le relais de sortie est le nœud final que le trafic de Tor traverse avant d’atteindre sa destination.

Les nœuds de sortie sur le réseau Tor ont été exploités dans le passé pour injecter des logiciels malveillants tels que OnionDuke, mais c’est la première fois qu’un seul acteur non identifié a réussi à contrôler une si grande fraction des nœuds de sortie.

tor

L’entité de piratage a maintenu 380 relais malveillants de sortie de Tor à son apogée en Août 2020, avant que les autorités de Tor interviennent pour éliminer les nœuds du réseau, l’activité a de nouveau atteint son apogée au début de cette année, l’attaquant a tenté d’ajouter plus de 1 000 relais de sortie au cours de la première semaine de Mai. Tous les relais malveillants de sortie de Tor détectés au cours de la deuxième vague des attaques ont depuis été supprimés.

tor

L’objectif principal de l’attaque, selon nusenu, est de mener des attaques « personne-du-milieu » sur les utilisateurs de Tor en manipulant le trafic à travers son réseau de relais de sortie. Plus précisément, l’attaquant semble effectuer ce qu’on appelle le décapage SSL pour déclasser le trafic se dirigeant vers les services de mélangeur Bitcoin de HTTPS à HTTP dans une tentative de remplacer les adresses bitcoin et de rediriger les transactions vers leurs portefeuilles au lieu de l’adresse bitcoin fournie par l’utilisateur.

« Si un utilisateur visitait la version HTTP (c’est-à-dire la version non cryptée et non authentifiée) de l’un de ces sites, il empêcherait le site de rediriger l’utilisateur vers la version HTTPS (c’est-à-dire la version chiffrée et authentifiée) du site », expliquaient les membres de Tor Project en Août dernier. « Si l’utilisateur n’a pas remarqué qu’il ne s’était pas retrouvé sur la version HTTPS du site (pas d’icône de verrouillage dans le navigateur) et qu’il avait envoyé ou reçu des informations sensibles, ces informations pourraient être interceptées par l’attaquant. »

tor

Pour atténuer ces attaques, le projet Tor a décrit un certain nombre de recommandations, y compris recommander aux administrateurs de site Web d’activer HTTPS par défaut et déployer des sites .onion pour éviter les nœuds de sortie, ajoutant qu’il travaille sur un « correctif complet » pour désactiver HTTP dans le navigateur Tor Browser.

« Le risque d’être la cible d’activités malveillantes acheminés par Tor est propre à chaque organisation », a déclaré la Cybersecurity Security and Infrastructure Security Agency (CISA) des États-Unis dans un avis en Juillet 2020. « Une organisation devrait déterminer son risque individuel en évaluant la probabilité qu’un acteur de la menace cible ses systèmes ou données et la probabilité du succès de l’acteur de la menace compte tenu des mesures d’atténuation et des contrôles actuels. »

« Les organisations devraient évaluer leurs décisions d’atténuation contre les menaces qui pèsent sur leur organisation en raison de menaces persistantes avancées (API), d’attaquants modérément sophistiqués et de pirates informatiques individuels peu qualifiés, qui ont tous utilisé Tor pour effectuer des reconnaissances et des attaques dans le passé », a ajouté l’agence.

Laisser un commentaire