Hacker kapern Tor Exit Nodes für SSL-Striping-Angriffe

Eine unbekannte Hackergruppe geht seit Januar dieses Jahres gegen das Anonymisierungsnetzwerk Tor vor. Sie fügt Exit Nodes zu Tor hinzu, um Nutzer von Kryptowährungs-Websites per SSL Striping anzugreifen. Im Mai betrieb die Gruppe vorübergehend sogar fast ein Viertel aller Exit Relays, also der Server, über die der User-Traffic das Tor-Netzwerk verlässt und wieder ins öffentliche Internet eintritt.

Mit der Gruppe beschäftige sich der unabhängige Sicherheitsforscher Nusenu, der selbst einen Tor-Server betreibt. Ihm zufolge verwalteten die Hacker zwischenzeitlich 380 schädliche Tor Exit Relays. Durch Eingriffe des Tor-Teams sei diese Zahl inzwischen reduziert worden.

„Das vollständige Ausmaß der Operation ist nicht bekannt, aber eine Motivation erscheint eindeutig zu sein: Profit“, schreibt Nusenu in einem Blogeintrag. Ihm zufolge manipulieren die Hacker den Traffic, der über ihre Exit Nodes geleitet wird. Per SSL Striping versuchten sie, ein Downgrade des HTTPS-Datenverkehrs zu einer nicht gesicherten HTTP-Verbindung durchzuführen. Ihr eigentliches Ziel sei es, Bitcoin-Adressen im HTTP-Traffic sogenannter Bitcoin Mixing Services auszutauschen.

Bitcoin Mixer sind Websites, die es Nutzern erlauben, Bitcoins von einer Adresse an eine andere zu schicken, indem sie die Summe in viele kleine Teilbeträge aufspalten und über tausende von Adressen leiten, bevor sie beim eigentlichen Empfänger wieder zusammengesetzt werden. Werden die Zieladressen im HTTP-Traffic ausgetauscht, können die Angreifer effektiv die Transaktionen umleiten, ohne dass es der Absender oder die Bitcoin Mixer bemerken.

Über die Analyse der Kontakt-E-Mail-Adressen der schädlichen Tor-Server fand der Forscher heraus, dass die Hacker in den vergangenen sieben Monaten mindestens neun Exit Relay Cluster verwalteten. Im Mai habe er diese erstmals den Tor-Administratoren gemeldet. Zuletzt seien am 21. Juni schädliche Exit Nodes abgeschaltet worden, was die Möglichkeiten der Angreifer stark eingeschränkt habe.

Aktuell geht Nusenu davon aus, dass sich weiterhin mehr als 10 Prozent aller derzeit aktiven Exit Nodes im Tor-Netzwerk unter der Kontrolle der Hacker befinden. Er geht zudem davon aus, dass sie ihre Angriffe fortsetzen werden, da es kein sicheres Prüfverfahren für neue Teilnehmer am Tor-Netzwerk gebe – was dem Anspruch auf Anonymität geschuldet sei. Für Betreiber von Exit Nodes forderte Nusenu trotzdem schärfere Kontrollen.

Einen ähnlichen Angriff entdeckten Proofpoint-Forscher bereits im Jahr 2018. Zudem Zeitpunkt wurden Tor2Web-Proxies manipuliert, um ebenfalls Bitcoin-Adressen auszutauschen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago