Eine unbekannte Hackergruppe geht seit Januar dieses Jahres gegen das Anonymisierungsnetzwerk Tor vor. Sie fügt Exit Nodes zu Tor hinzu, um Nutzer von Kryptowährungs-Websites per SSL Striping anzugreifen. Im Mai betrieb die Gruppe vorübergehend sogar fast ein Viertel aller Exit Relays, also der Server, über die der User-Traffic das Tor-Netzwerk verlässt und wieder ins öffentliche Internet eintritt.
„Das vollständige Ausmaß der Operation ist nicht bekannt, aber eine Motivation erscheint eindeutig zu sein: Profit“, schreibt Nusenu in einem Blogeintrag. Ihm zufolge manipulieren die Hacker den Traffic, der über ihre Exit Nodes geleitet wird. Per SSL Striping versuchten sie, ein Downgrade des HTTPS-Datenverkehrs zu einer nicht gesicherten HTTP-Verbindung durchzuführen. Ihr eigentliches Ziel sei es, Bitcoin-Adressen im HTTP-Traffic sogenannter Bitcoin Mixing Services auszutauschen.
Bitcoin Mixer sind Websites, die es Nutzern erlauben, Bitcoins von einer Adresse an eine andere zu schicken, indem sie die Summe in viele kleine Teilbeträge aufspalten und über tausende von Adressen leiten, bevor sie beim eigentlichen Empfänger wieder zusammengesetzt werden. Werden die Zieladressen im HTTP-Traffic ausgetauscht, können die Angreifer effektiv die Transaktionen umleiten, ohne dass es der Absender oder die Bitcoin Mixer bemerken.
Über die Analyse der Kontakt-E-Mail-Adressen der schädlichen Tor-Server fand der Forscher heraus, dass die Hacker in den vergangenen sieben Monaten mindestens neun Exit Relay Cluster verwalteten. Im Mai habe er diese erstmals den Tor-Administratoren gemeldet. Zuletzt seien am 21. Juni schädliche Exit Nodes abgeschaltet worden, was die Möglichkeiten der Angreifer stark eingeschränkt habe.
Aktuell geht Nusenu davon aus, dass sich weiterhin mehr als 10 Prozent aller derzeit aktiven Exit Nodes im Tor-Netzwerk unter der Kontrolle der Hacker befinden. Er geht zudem davon aus, dass sie ihre Angriffe fortsetzen werden, da es kein sicheres Prüfverfahren für neue Teilnehmer am Tor-Netzwerk gebe – was dem Anspruch auf Anonymität geschuldet sei. Für Betreiber von Exit Nodes forderte Nusenu trotzdem schärfere Kontrollen.
Einen ähnlichen Angriff entdeckten Proofpoint-Forscher bereits im Jahr 2018. Zudem Zeitpunkt wurden Tor2Web-Proxies manipuliert, um ebenfalls Bitcoin-Adressen auszutauschen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.