Hacker kapern Tor Exit Nodes für SSL-Striping-Angriffe

Eine unbekannte Hackergruppe geht seit Januar dieses Jahres gegen das Anonymisierungsnetzwerk Tor vor. Sie fügt Exit Nodes zu Tor hinzu, um Nutzer von Kryptowährungs-Websites per SSL Striping anzugreifen. Im Mai betrieb die Gruppe vorübergehend sogar fast ein Viertel aller Exit Relays, also der Server, über die der User-Traffic das Tor-Netzwerk verlässt und wieder ins öffentliche Internet eintritt.

Mit der Gruppe beschäftige sich der unabhängige Sicherheitsforscher Nusenu, der selbst einen Tor-Server betreibt. Ihm zufolge verwalteten die Hacker zwischenzeitlich 380 schädliche Tor Exit Relays. Durch Eingriffe des Tor-Teams sei diese Zahl inzwischen reduziert worden.

„Das vollständige Ausmaß der Operation ist nicht bekannt, aber eine Motivation erscheint eindeutig zu sein: Profit“, schreibt Nusenu in einem Blogeintrag. Ihm zufolge manipulieren die Hacker den Traffic, der über ihre Exit Nodes geleitet wird. Per SSL Striping versuchten sie, ein Downgrade des HTTPS-Datenverkehrs zu einer nicht gesicherten HTTP-Verbindung durchzuführen. Ihr eigentliches Ziel sei es, Bitcoin-Adressen im HTTP-Traffic sogenannter Bitcoin Mixing Services auszutauschen.

Bitcoin Mixer sind Websites, die es Nutzern erlauben, Bitcoins von einer Adresse an eine andere zu schicken, indem sie die Summe in viele kleine Teilbeträge aufspalten und über tausende von Adressen leiten, bevor sie beim eigentlichen Empfänger wieder zusammengesetzt werden. Werden die Zieladressen im HTTP-Traffic ausgetauscht, können die Angreifer effektiv die Transaktionen umleiten, ohne dass es der Absender oder die Bitcoin Mixer bemerken.

Über die Analyse der Kontakt-E-Mail-Adressen der schädlichen Tor-Server fand der Forscher heraus, dass die Hacker in den vergangenen sieben Monaten mindestens neun Exit Relay Cluster verwalteten. Im Mai habe er diese erstmals den Tor-Administratoren gemeldet. Zuletzt seien am 21. Juni schädliche Exit Nodes abgeschaltet worden, was die Möglichkeiten der Angreifer stark eingeschränkt habe.

Aktuell geht Nusenu davon aus, dass sich weiterhin mehr als 10 Prozent aller derzeit aktiven Exit Nodes im Tor-Netzwerk unter der Kontrolle der Hacker befinden. Er geht zudem davon aus, dass sie ihre Angriffe fortsetzen werden, da es kein sicheres Prüfverfahren für neue Teilnehmer am Tor-Netzwerk gebe – was dem Anspruch auf Anonymität geschuldet sei. Für Betreiber von Exit Nodes forderte Nusenu trotzdem schärfere Kontrollen.

Einen ähnlichen Angriff entdeckten Proofpoint-Forscher bereits im Jahr 2018. Zudem Zeitpunkt wurden Tor2Web-Proxies manipuliert, um ebenfalls Bitcoin-Adressen auszutauschen.