Хакер больше года контролировал до 27% сети TOR для кражи криптовалюты. И «засветил» свой московский адрес

Серверы идентифицировали трафик, который был направлен на ресурсы с криптовалютой, и выполняли атаки с удалением SSL. Уровень шифрования при этом понижался с HTTPS до HTTP для того, чтобы хакер подменил адреса ресурсов, связанных с криптовалютой, и перехватил транзакции.

«Если пользователь посещал HTTP-версию одного из этих сайтов, он не позволял сайту перенаправить пользователя на HTTPS-версию. Если пользователь не заметил, что он не попал на HTTPS-версию сайта (в браузере нет значка замка) и продолжал отправлять или получать конфиденциальную информацию, эта информация могла быть перехвачена злоумышленником», — пояснили мейнтейнеры TOR Project.

По данным оператора узла TOR Nusenu, атаки начались в январе 2020 года. Он утверждает, что неизвестному хакеру удалось трижды наводнить сеть своими вредоносными серверами. Это привело к тому, что объем созданной инфраструктуры в феврале 2021 года достиг 27% от всего объема сети TOR, позднее команда сети отключила эти серверы. В течение последних 12 месяцев средняя доля, контролируемая хакером, составляла 14%. 

Попытки перехвата пользовательских данных обнаружили спустя несколько недель и даже месяцев после того, как они были запущены. Несмотря на разоблачение, злоумышленник продолжает совершать атаки: теперь он не пытается запустить все серверы одновременно, чтобы не привлекать внимание. Nusenu добавляет, что сейчас вредоносные серверы контролируют от 4% до 6% сети.

Также Nusenu предположил, кто может стоять за этими атаками. Сравнив IP-адреса с помощью базы данных RIPE, он обнаружил заказчика серверов по адресу электронной почты. Хостинговая компания подтвердила, что указанные в RIPE контакт верен, там же указан и физический адрес, который расположен в Москве. Однако Nusenu сомневается, что этот физический адрес реальный.