黑客添加數千個 Tor 出口節點進行 SSL 剝離攻擊

據The Record首次報道，從2020年1月開始，威脅參與者已在Tor網絡中添加了數千個惡意出口中繼，以攔截流量并在訪問混合網站時對用戶進行SSL剝離攻擊。

SSL剝離（也稱為SSL降級攻擊）允許將連接從安全HTTPS降級到HTTP，這可能會將流量暴露被竊聽和數據操縱。

在針對Tor網絡的攻擊中，威脅行為者旨在將合法錢包的地址替換為攻擊者控制的地址，以劫持交易。

2020年8月，安全研究人員和Tor節點運營商“Nusenu”在對2020年惡意Tor中繼如何利用用戶的分析中描述了這種做法。

Nusenu發表了其研究的新部分，揭示了威脅參與者仍在活躍。

“您可以看到新的惡意中繼的重復模式被添加到了tor網絡中并獲得了巨大的吸引力，然后又被刪除了，然后急劇下降。”研究報告寫道。

“就攻擊者退出比例的規模而言，他們設法從2020年5月開始兩次打破自己的記錄（惡意退出比例大于23％）：

• 在2020–10–30年，惡意實體經營著Torr網絡出口中繼能力的26％以上
• 在2021-02-02年間，他們管理著Tor出口繼電器容量的27％以上。這是曾經觀察到的最大的惡意攻擊退出率。”

去年，威脅行為者兩次操作了Tor網絡出口中繼容量的26％以上，到2021年2月達到27％。

攻擊者一直處于監視之下，因為他們每次都添加有限數量的新惡意出口中繼。

專家指出，所有攻擊都被檢測到，并且惡意的Tor出口中繼已從Tor網絡中刪除，專家指出，威脅者能夠攔截流量達數月之久。

5月初，惡意的Tor中繼再次被刪除，但是這次威脅行動者試圖通過添加大量新的出口節點來替換它們。

快速增長迅速由Tor項目的維護者發現，但據Nusenu稱，他們的反應并不有效，因為截至2021-05-05年，他估計攻擊者控制著Tor網絡的4-6％出口能力，執行SSL剝離攻擊。