Uno de cada cuatro conexiones que salían de la red TOR eran controladas por un atacante
Hace dos días se dio a conocer que la red TOR estaba siendo intervenida con nodos de salida maliciosos, con el fin de dirigir transacciones de bitcoin a la cartera de los ciber delincuentes.
Tor es un software de código abierto que permite la comunicación anónima en Internet. Oculta el origen y el destino de una solicitud web al dirigir el tráfico de la red a través de una serie de nodos intermedios para enmascarar la dirección IP y la ubicación y el uso de un usuario con el fin de mantener privacidad en la navegación por esta red. Mientras que los nodos intermedios generalmente se encargan de recibir y pasar el tráfico de un nodo a otro, un nodo de salida es el punto final por el que pasa el tráfico de Tor antes de llegar a su destino. Estos nodos de salida ya han sido relacionados con fines maliciosos, pero en esta ocasión el 24% de ellos fueron controlados por una sola entidad.
Cuando alguien decide convertirse en operador de algún nodo de la red TOR, una de las principales configuraciones es añadir un medio de contacto con el operador para reportar si su nodo llega a ser utilizado con fines maliciosos. Por otro lado, es muy complicado dar de alta al mismo tiempo más de un nodo intermedio o de salida debido a configuraciones y restricciones de operadores de internet. Sin embargo, en el blog personal de nusenu, el dio a conocer una serie de indicadores bastante sospechosos con respecto a la actividad normal de nuevos nodos pertenecientes a la red TOR.
Después de que usuarios reportaron que algunos nodos no tenían información de contacto, nusenu escribió en agosto de 2020 la primera parte de esta investigación reportando que se habían dado de alta 380 nodos de salida pertenecientes a un mismo actor o grupo de actores con el fin de llevar a cabo ataques de persona en medio y así poder manipular el tráfico a través de los nodos de salida operados por esta entidad.
Específicamente el atacante llevaba a cabo un ataque llamado SSL Strip para degradar el tráfico que se dirige a los mezcladores de bitcoin, llevándolo de un sitio con protocolo HTTP seguro a uno inseguro intentando de reemplazar las direcciones de bitcoin y redirigir las transacciones a las carteras del atacante en lugar de las que fueron proporcionadas por el usuario.
Después de que estos nodos fueron reportados y dados de baja en 2020, nuevamente en 2021 esta entidad maliciosa intentó añadir 1000 nodos de salida consiguiendo con éxito operar del 4 al 6% de los nodos de salida respecto al 24% de los nodos que operaba el año pasado.
Finalmente, en un intento para evitar este tipo de ataques, el proyecto TOR recomienda a los administradores de sitios web .onion habilitar de forma predeterminada HTTPS, se implementó un campo para no registrar información de contacto falsa, además de que el equipo de desarrolladores ya se encuentra trabajando en un fix para deshabilitar HTTP en TOR browser.
Fuentes de consulta:
https://thehackernews.com/2021/05/over-25-of-tor-exit-relays-are-spying.html?m=1
