1. صفحه نخست
  2. اخبار امنیت اطلاعات
  3. دستکاری بیش از 25 درصد شبکه Tor توسط یک عامل تهدید

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

دستکاری بیش از 25 درصد شبکه Tor توسط یک عامل تهدید

در گروهاخبار امنیت اطلاعات، ۱۴۰۰/۲/۲۲

یک عامل ناشناس کنترل یک چهارم رله‌های شبکه‌ Tor را گرفته تا بتواند حملات مرد میانی[1] خود را پیش برده، آدرس‌های بیت‌کوین را مورد هدف قرار داده و کلی کارهای دیگر انجام دهد. Tor نرم‌افزایست که به کاربران اجازه می‌دهد با روت کردن خودکار ترافیک شبکه خود بواسطه چندین رله‌ی داوطلبانه در سراسر جهان آن را مبهم‌سازی[2] کنند. این ترافیک معمولاً رمزگذاری می‌شود؛ بنابراین رهگیری آن گزینه محتملی نمی‌تواند باشد؛ اما مهاجم مربوطه کار ظریف‌تری انجام داده است. یک محقق امنیتی تحلیلی مفصل از اقدامات عاملین تهدید در سال 2021 تهیه کرد که در آن ذکر شده بود احتمالاً این بزرگ‌ترین دستکاری رله‌ تا به امروز بوده است. در این دستکاری 27 درصد رله‌های شبکه Tor تحت‌الشعاع قرار گرفت. یکی از مشکلاتی که این محقق پیدا کرده بود به لینک‌های ناامن مرورگر Tor مربوط می‌شد. کاشف بعمل آمد که مرورگر Tor منحصر به  HTTPS نبوده است؛ بدین‌معنا که همچنین می‌تواند HTTP را نیز نشان دهد. نمایش وبسایت‌ها در قالب متن ساده برای مهاجمینی که به دنبال اطلاعات ارزشمندند همچون معدن طلاست. به نقل از این محقق، ماهیت کامل حمله هنوز معلوم نیست (البته به استثنای برخی موارد). او چنین می‌گوید، «ما از بازنویسی‌های آدرس بیت‌کوین، sslstrip و mitmproxy خبر داریم و همچنین می‌دانیم حمله از طریق دستکاری صورت گرفته اما این احتمال را نیز می‌دهیم که انواع دیگری از حمله نیز در این پروسه دخیل باشد. تصور کنید مهاجمین 27 درصد گنجایش خروج شبکه تور را اجرا کرده و اکسپلویت فایرفاکسی که روی مرورگر تور تأثیر گذاشته بود هم پیش از اینکه کاربران آپدیت‌های خودکار خود را دریافت کنند نشر شود». بازنویسی آدرس بیت‌کوین و sslstrip جالب است چون احتمالاً این معنا را می‌دهد که مهاجمین چیزی تحت عنوان SSL stripping را اجرا می‌کنند؛ این کار قربانیان را مجبور می‌کند به استفاده از نسخه‌ی HTTP مخصوص سرویس ترکیب رمزارز و همین آدرس‌ها را در تیررس مهاجم قرار می‌دهد. بدین‌ترتیب فاندها می‌توانند براحتی به کیف‌پول‌ها ریدایرکت شوند. این محقق همچنین چندین تخفیف احتمالی هم قائل شد؛ برای مثال انتقال تور به نسخه منحصر به HTTPS. اما در حال حاضر خیلی هم نمی‌شود بدان راحت دسترسی پیدا کرد. او همچنین اقداماتی چند را ارائه داد که با دنبال کردنشان می‌شود براحتی فهمید چه زمان رله‌ها آلوده می‌شوند. با توجه به شاخص‌ها اینطور به نظر می‌رسد که مهاجم خارج از روسیه دست به عمل زده اما اعتبارسنجی این خبر هم خود کاریست بس دشوار.

[1] man-in-the-middle attack

[2] obfuscate