تم تسجيل هجوم على Tor حاول التلاعب بحركة مرور المستخدم

مؤلف مشروع OrNetRadar ، التي تراقب اتصال مجموعات جديدة من العقد بشبكة Tor المجهولة ، نشر تقرير في تحديد مشغل عقدة الخروج الرائع Tor الخبيث الذي يحاول التلاعب بحركة مرور المستخدم.

وفقًا لهذه الإحصائيات ، في الثاني والعشرين من شهر مايوأصلحت الاتصال بشبكة Tor من مجموعة كبيرة من المضيفين الخبيثين ، حيث تمكن المهاجم من السيطرة على حركة المرور ، وقام بتغطية 23,95٪ من جميع المكالمات من خلال عقد الخروج.

في كانون الأول (ديسمبر) 2019 ، كتبت عن المشكلة المتزايدة لعمليات الترحيل الخبيثة على شبكة Tor بدافع زيادة الوعي وتحسين الوضع بمرور الوقت. لسوء الحظ ، بدلاً من أن تتحسن الأمور ، ساءت الأمور ، خاصة عندما يتعلق الأمر بنشاط ترحيل Tor الخبيث.

في ذروتها، تتكون المجموعة الخبيثة من حوالي 380 عقدة. من خلال ربط العقد بناءً على رسائل البريد الإلكتروني للاتصال المدرجة في الخوادم ذات الأنشطة الضارة ، الباحثون كانوا قادرين على تحديد ما لا يقل عن 9 مجموعات مختلفة من عقد الخروج الخبيثة التي كانت نشطة لمدة 7 أشهر تقريبًا.

حاول مطورو Tor منع المضيفات الخبيثة، لكن المهاجمين استعادوا نشاطهم بسرعة. في الوقت الحالي ، انخفض عدد المواقع الخبيثة ، ولكن لا يزال أكثر من 10٪ من حركة المرور تمر عبرها.

توجد إجراءات مضادة ثابتة ، مثل التحميل المسبق لـ HSTS و HTTPS في كل مكان، لكن في الممارسة العملية ، العديد من مشغلي مواقع الويب لا يطبقونها وتترك مستخدميها عرضة لهذا النوع من الهجمات.

هذا النوع من الهجوم ليس خاصًا بمتصفح Tor. يتم استخدام المرحلات الضارة فقط للوصول إلى حركة مرور المستخدم ولجعل الكشف صعبًا ، ولم يهاجم الكيان الضار جميع مواقع الويب على قدم المساواة.

يبدو أنهم يبحثون بشكل أساسي عن مواقع الويب ذات الصلة بالعملات المشفرةأي خدمات خلط متعددة للبيتكوين.

لقد استبدلوا عناوين البيتكوين في حركة مرور HTTP لإعادة توجيه المعاملات إلى محافظهم بدلاً من عنوان البيتكوين الذي قدمه المستخدم. هجمات إعادة كتابة عنوان Bitcoin ليست جديدة ، ولكن حجم عملياتها هو. لا يمكن تحديد ما إذا كانوا يشاركون في أنواع أخرى من الهجمات.

الإزالة المستهدفة لعمليات إعادة التوجيه المتغيرة لـ HTTPS الخاصة بالنشاط الذي تم تسجيله على عقد الخروج الضارة يمكن رؤيتها عند الوصول الأولي إلى مورد غير مشفر عبر HTTP ، مما يسمح للمهاجمين باعتراض محتوى الجلسة دون تزوير الشهادات TLS (هجوم "SSL kill").

تعمل طريقة مماثلة للمستخدمين الذين يكتبون عنوان الموقع دون الإشارة صراحة إلى "https: //" أمام المجال ، وبعد فتح الصفحة لا تركز على اسم البروتوكول في شريط عنوان متصفح Tor. للحماية من حظر عمليات إعادة التوجيه إلى مواقع HTTPS ، يوصى باستخدام تحميل HSTS المسبق.

لقد وصلت إلى بعض مواقع Bitcoin المعروفة المتأثرة ، حتى يتمكنوا من تخفيف ذلك على المستوى الفني باستخدام HSTS التحميل المسبق. نشر شخص آخر قواعد HTTPS-Everywhere للنطاقات المتأثرة المعروفة (يتم تثبيت HTTPS Everywhere افتراضيًا في متصفح Tor). للأسف ، لم يتم تمكين تحميل HSTS مسبقًا في أي من هذه المواقع في ذلك الوقت. قام موقع بتكوين واحد متأثر على الأقل بتطبيق HSTS للتحميل المسبق بعد التعرف على هذه الأحداث.

بعد منشور مدونة ديسمبر 2019 ، كان لدى Project Tor بعض الخطط الواعدة لعام 2020 مع شخص مخصص لقيادة التحسينات في هذا المجال ، ولكن بسبب عمليات التسريح الأخيرة المتعلقة بـ COVID19، تم تعيين هذا الشخص في منطقة أخرى.

علاوة على ذلك ، يبدو أن سلطات دليل Tor لم تعد تزيل المرحلات التي استخدمتها لإزالتها لبضعة أسابيع.

ليس من الواضح ما الذي أدى إلى هذا التغيير في السياسة ، ولكن يبدو أن هناك شخصًا ما يحبه ويضيف مجموعات ترحيل غير معلن عنها.

أخيرًا ، إذا كنت تريد معرفة المزيد عنها ، فيمكنك التحقق من التفاصيل في الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.