Một nghiên cứu mới về cơ sở hạ tầng dark web đã tiết lộ một tác nhân đe dọa không xác định đã kiểm soát hơn 27% toàn bộ công suất thoát mạng Tor vào đầu tháng 2 năm 2021.
“Thực thể tấn công người dùng Tor đang tích cực khai thác người dùng tor kể từ hơn một năm nay và mở rộng quy mô các cuộc tấn công của họ lên một mức kỷ lục mới”, một nhà nghiên cứu bảo mật độc lập có tên nusenu nói trong một bài viết được xuất bản vào Chủ nhật. “Tỷ lệ thoát trung bình mà thực thể này kiểm soát là trên 14% trong suốt 12 tháng qua.”
Đây là nỗ lực mới nhất trong một loạt nỗ lực được thực hiện nhằm đưa ra hoạt động Tor độc hại kể từ Tháng 12 năm 2019. Các cuộc tấn công, được cho là bắt đầu vào tháng 1 năm 2020, lần đầu tiên được ghi lại và tiếp xúc bởi cùng một nhà nghiên cứu vào tháng 8 năm 2020.
Tor là phần mềm mã nguồn mở cho phép giao tiếp ẩn danh trên Internet. Nó làm xáo trộn nguồn và đích của một yêu cầu web bằng cách điều hướng lưu lượng mạng thông qua một loạt các rơle để che giấu địa chỉ IP và vị trí cũng như việc sử dụng của người dùng khỏi giám sát hoặc phân tích lưu lượng. Trong khi các rơle giữa thường đảm nhiệm việc nhận lưu lượng trên mạng Tor và chuyển nó đi, thì một rơle lối ra là nút cuối cùng mà lưu lượng Tor đi qua trước khi nó đến đích.
Trước đây, các nút thoát trên mạng Tor đã bị lật đổ để đưa phần mềm độc hại như OnionDuke, nhưng đây là lần đầu tiên một tác nhân không xác định có thể kiểm soát một phần lớn các nút thoát Tor như vậy.
Thực thể hack đã duy trì 380 lần chuyển tiếp Tor độc hại vào thời điểm cao điểm vào tháng 8 năm 2020, trước khi cơ quan quản lý thư mục Tor can thiệp để loại bỏ các nút khỏi mạng, sau đó hoạt động này một lần nữa bùng nổ vào đầu năm nay, với kẻ tấn công cố gắng thêm hơn 1.000 lần thoát chuyển tiếp vào tuần đầu tiên của tháng Năm. Tất cả các rơle thoát Tor độc hại được phát hiện trong đợt tấn công thứ hai kể từ đó đã bị loại bỏ.
Theo nusenu, mục đích chính của cuộc tấn công là thực hiện các cuộc tấn công “người ở giữa” vào người dùng Tor bằng cách điều khiển lưu lượng truy cập khi nó chạy qua mạng lưới các rơle thoát của nó. Cụ thể, kẻ tấn công dường như biểu diễn cái gì được gọi là Tước SSL để hạ cấp lưu lượng truy cập hướng đến Máy trộn bitcoin các dịch vụ từ HTTPS sang HTTP nhằm thay thế địa chỉ bitcoin và chuyển hướng giao dịch đến ví của họ thay vì địa chỉ bitcoin do người dùng cung cấp.
“Nếu người dùng truy cập phiên bản HTTP (tức là phiên bản không được mã hóa, chưa được xác thực) của một trong những trang web này, họ sẽ ngăn trang web chuyển hướng người dùng đến phiên bản HTTPS (tức là phiên bản được mã hóa, xác thực) của trang web”, người bảo trì của Tor Project giải thích Cuối tháng tám. “Nếu người dùng không nhận thấy rằng họ chưa truy cập vào phiên bản HTTPS của trang web (không có biểu tượng khóa trong trình duyệt) và tiếp tục gửi hoặc nhận thông tin nhạy cảm, thì thông tin này có thể bị kẻ tấn công chặn.”
Để giảm thiểu các cuộc tấn công như vậy, Dự án Tor đã đưa ra một số khuyến nghị, bao gồm cả việc thúc giục quản trị viên trang web bật HTTPS theo mặc định và triển khai .củ hành các trang web để tránh các nút thoát, thêm vào đó nó đang hoạt động trên một “bản sửa lỗi toàn diện” cho vô hiệu hóa HTTP thuần túy trong Tor Browser.
“Nguy cơ trở thành mục tiêu của hoạt động độc hại được định tuyến qua Tor là duy nhất đối với mỗi tổ chức”, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) nói trong một cuộc tư vấn vào tháng 7 năm 2020. “Một tổ chức nên xác định rủi ro cá nhân của mình bằng cách đánh giá khả năng tác nhân đe dọa sẽ nhắm mục tiêu vào hệ thống hoặc dữ liệu của nó và xác suất thành công của tác nhân đe dọa với các biện pháp giảm thiểu và kiểm soát hiện tại.”
“Các tổ chức nên đánh giá các quyết định giảm thiểu của họ trước các mối đe dọa đối với tổ chức của họ từ các mối đe dọa liên tục nâng cao (APT), những kẻ tấn công tinh vi vừa phải và các tin tặc cá nhân có kỹ năng thấp, tất cả đều đã tận dụng Tor để thực hiện do thám và tấn công trong quá khứ”, cơ quan này thêm.
