Un groupe mysterieux a detourné des noeuds de sortie Tor
Depuis janvier 2020, un mystérieux groupe a ajouté des serveurs au réseau Tor afin d’effectuer des attaques de type SSL Striping sur des utilisateurs accédant à des sites liés à la cryptomonnaie via le navigateur Tor.
Le groupe a été si efficace et persistant dans ses attaques, qu’en mai 2020, ils avaient obtenu le contrôle d’un quart de tous les relais de sortie Tor – les serveurs par lesquels le trafic des utilisateurs quitte le réseau Tor et accède à l’Internet public.
Selon un rapport publié dimanche par un chercheur indépendant en sécurité et opérateur de serveur Tor connu sous le nom de Nusenu, le groupe gerait 380 relais de sortie Tor malveillants à son apogée, avant que l’équipe Tor n’intervienne pour eliminer ce réseau.
SSL Stripping sur les utilisateurs de Bitcoin
“On ne connaît pas l’étendue de leurs activités, mais une motivation semble évidente : le profit”, a écrit Nusenu ce week-end.
Le chercheur explique que le groupe effectue des “attaques de type “man in the middle” sur les utilisateurs de Tor en manipulant le trafic qui passe par leurs relais de sortie”, et qu’ils ciblent spécifiquement les utilisateurs qui accèdent à des sites web de cryptomonnaie en utilisant le logiciel Tor ou le navigateur Tor.
L’objectif de l’attaque “man-in-the-middle” est d’exécuter des attaques de type”SSL stripping” , déclassant le trafic web de l’utilisateur vers des alternatives HTTP moins sûres.
Sur la base de son enquête, Nusenu a déclaré que le but premier de ces attaques était de permettre au groupe le remplacement les adresses Bitcoin à l’intérieur du trafic HTTP allant aux services de “mixers” de Bitcoin.
Les “mixers” sont des sites web qui permettent aux utilisateurs d’envoyer des bitcoins d’une adresse à l’autre en fractionnant les fonds en petites sommes et en les transférant par des milliers d’adresses intermédiaires avant de rediriger les fonds à l’adresse de destination. En remplaçant l’adresse de destination au niveau du trafic HTTP, les attaquants ont effectivement détourné les fonds de l’utilisateur à l’insu de ces dernier ou du mixer de Bitcoin.
Une attaque difficile à mener
“Les attaques de réécriture d’adresses de Bitcoin ne sont pas nouvelles, mais l’ampleur de cette opération l’est”, a déclaré le chercheur.
Nusenu a déclaré que sur la base de l’adresse e-mail de contact utilisée pour les serveurs malveillants, ils ont identifié au moins neuf différents groupes de relais de sortie Tor malveillants, ajoutés au cours des sept derniers mois.
Image : Nusenu
Le chercheur a déclaré que le réseau malveillant a atteint son pic de 380 serveurs le 22 mai. 23,95% de tous les relais de sortie de Tor étaient alors contrôlés par le groupe, donnant aux utilisateurs de Tor une chance sur quatre d’atterrir sur un relais de sortie malveillant.
Nusenu explique avoir signalé les relais de sortie malveillants aux administrateurs de Tor depuis mai.Suite au dernier démantèlement le 21 juin, les capacités du groupe ont été sévèrement réduites.
Image : Nusenu
Néanmoins, Nusenu a également ajouté que depuis le dernier démantèlement, “il y a de multiples indicateurs qui suggèrent que l’attaquant continue de maitriser un peu plus de 10% de la capacité de sortie du réseau Tor (à partir de 2020-08-08)”.
Le chercheur a suggéré que le groupe malveillant est susceptible de poursuivre son attaque car le projet Tor n’a pas de processus de vérification approfondie en place pour les entités qui peuvent rejoindre son réseau. Bien que l’anonymat soit une caractéristique essentielle du réseau Tor, le chercheur soutient qu’un meilleur contrôle peut être mis en place au moins pour les opérateurs de relais de sortie.
Une attaque similaire a eu lieu en 2018
Une attaque quelque peu similaire à celle-ci a eu lieu en 2018 ; cependant, elle ne visait pas les relais de sortie Tor mais les proxys Tor-to-web (Tor2Web). Ces portails web sur l’internet public permettent aux utilisateurs d’accéder à des adresses .onion habituellement accessibles uniquement via le navigateur Tor.
À l’époque, la société de sécurité américaine Proofpoint a rapporté qu’au moins un opérateur proxy Tor-to-web remplaçait discretement les adresses Bitcoin des utilisateurs accédant aux sites de paiement de rançon d’attaques aux ransomware, détournant le paiement et laissant les victimes sans clé de dechiffrement.
Source : “ZDNet.com”
