به گزارش کارگروه حملات سایبری سایبربان؛ یک محقق فناوری اطلاعات با نام مستعار نوسنو (Nusenu) و بهعنوان یکی اپراتورهای سرور تور با انتشار گزارشی در وبلاگ خود نوشت یک گروه هکری ناشناس با کنترل رلههای خروجی تور کاربرانی را که از طریق این مرورگر اقدام به خریدوفروش ارز دیجیتال میکردهاند، هدف قرار داده است.
این کارشناس امنیتی اعلام کرده است افرادی ناشناس از ماه ژانویه سال 2020 با اضافه کردن سرور به شبکه تور، کنترل رلههای خروجی آن را به دست گرفته و حملات مردمیانی (MitM) و «SSL stripping» علیه کاربران تدارک دیدهاند.
به گفته وی، هکرها یکچهارم رلههای خروجی مخرب (380 رله) را تحت کنترل خود درآورده و با دستکاری ترافیک عبوری از رلههای خروجی تور حملات مردمیانی و سپس حمله «SSL stripping» تدراک دیدهاند تا بتوانند آدرسهای بیت کوین را در ترافیک HTTP سرویس میکسر بیت کوین جایگزین کرده و گواهینامه SSL را از کاربران سایتهای ارز دیجیتال سلب کنند. با این اقدام مهاجمان توانستهاند ارز دیجیتال کاربران را بدون اطلاعات آنها و سرویسهای میکسر هایجک و سرقت کنند.
نوسنو گفته بارها در خصوص رلههای خروجی مخرب به مدیران تور اطلاعرسانی کرده و از 21 ژوئن سال 2020 از میزان چنین حملاتی کاسته شده است، اگرچه از 8 آگوست 2020 هکرها مجدداً 10 درصد از رلههای خروجی را در اختیار گرفتهاند.
به گفته وی این حملات ادامهدار خواهد بود، چراکه کارشناسان تور قادر نیستند تمام کاربرانی را که به این شبکه متصل میشوند، کنترل کنند.
هکرها در حملات مرد میانی با شنود ارتباطات و درخواستهای کاربر، او را به صفحات جعلی خود هدایت میکنند تا اطلاعاتش را سرقت کنند.
آنها در حمله «SSL stripping» نیز درخواستهای کاربر را به سرور ارسال کرده و ترافیک را بهجای پروتکل HTTPS از طریق پروتکل HTTP که امنیت پایینی دارد ارسال میکنند تا گواهینامههای SSL را در اختیار بگیرند.
