كشفت دراسة جديدة أجريت على البنية التحتية للويب المظلم ، أن جهة تهديد غير معروفة تمكنت من السيطرة على أكثر من 27٪ من قدرة خروج شبكة Tor بالكامل في أوائل فبراير 2021.
واضاف ان "الكيان مهاجمة مستخدمي تور تستغل بنشاط مستخدمي تور منذ أكثر من عام وتوسيع نطاق هجماتهم إلى مستوى قياسي جديد" باحث أمني مستقل الذي يمر nusenu اسم قال في متابعة الكتابة نشرت يوم الاحد. "كان متوسط جزء الخروج الذي يسيطر عليه هذا الكيان أعلى من 14٪ على مدار الـ 12 شهرًا الماضية".
إنها الأحدث في سلسلة من الجهود المبذولة لتسليط الضوء على نشاط Tor الخبيث الذي ارتكبه الممثل منذ ديسمبر 2019 . الهجمات التي قيل إنها بدأت في يناير 2020 ، تم توثيقها وكشفها لأول مرة من قبل نفس الباحث في أغسطس 2020.
مدقق كلمة المرور
Tor هو برنامج مفتوح المصدر لتمكين الاتصال المجهول على الإنترنت. إنه يحجب مصدر ووجهة طلب الويب عن طريق توجيه حركة مرور الشبكة عبر سلسلة من المرحلات من أجل إخفاء عنوان IP الخاص بالمستخدم والموقع والاستخدام من المراقبة أو تحليل حركة المرور. بينما تهتم المرحلات الوسطى عادةً باستقبال حركة المرور على الشبكة وتمريرها ، فإن مرحل الخروج هو العقدة الأخيرة التي تمر بها حركة مرور Tor قبل أن تصل إلى وجهتها.
تم تخريب عقد الخروج على شبكة Tor في الماضي لحقن برامج ضارة مثل OnionDuke ، ولكن هذه هي المرة الأولى التي يتمكن فيها ممثل واحد غير معروف من التحكم في جزء كبير من عقد خروج Tor.
احتفظ كيان القرصنة بـ 380 مرحلات خروج خبيثة من Tor في ذروتها في أغسطس 2020 ، قبل أن تتدخل سلطات دليل Tor لإخراج العقد من الشبكة ، وبعد ذلك توج النشاط مرة أخرى في وقت مبكر من هذا العام ، مع محاولة المهاجم إضافة أكثر من 1،000 خروج مرحلات في الأسبوع الأول من شهر مايو. تمت إزالة جميع مرحلات خروج Tor الخبيثة التي تم اكتشافها خلال الموجة الثانية من الهجمات.
الغرض الرئيسي من الهجوم ، وفقًا لـ nusenu ، هو تنفيذ هجمات "شخص في الوسط" على مستخدمي Tor
من خلال التلاعب بحركة المرور أثناء تدفقها عبر شبكة مرحلات الخروج الخاصة بها. على وجه التحديد ، يبدو أن المهاجم يقوم بما يسمى تجريد طبقة المقابس الآمنة ( SSL) لتقليل حركة المرور المتجهة إلى خدمات خلط Bitcoin من HTTPS إلى HTTP في محاولة لاستبدال عناوين Bitcoin وإعادة توجيه المعاملات إلى محافظهم بدلاً من عنوان Bitcoin الذي يوفره المستخدم.
"إذا قام أحد المستخدمين بزيارة إصدار HTTP (أي الإصدار غير المشفر وغير المصدق) لأحد هذه المواقع ، فإنه سيمنع الموقع من إعادة توجيه المستخدم إلى إصدار HTTPS (أي الإصدار المشفر والمصادق عليه) من الموقع" ، من مشروع Tor أوضح في أغسطس الماضي. "إذا لم يلاحظ المستخدم أنه لم ينتهِ إلى إصدار HTTPS من الموقع (لا يوجد رمز قفل في المتصفح) وتابع إرسال أو تلقي معلومات حساسة ، فقد يعترض المهاجم هذه المعلومات."
للتخفيف من مثل هذه الهجمات ، حدد Tor Project عددًا من التوصيات ، بما في ذلك حث مسؤولي مواقع الويب على تمكين HTTPS افتراضيًا ونشر مواقع .onion لتجنب عقد الخروج ، مضيفًا أنه يعمل على "إصلاح شامل" لتعطيل HTTP العادي في متصفح Tor.
قالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في تقرير استشاري في يوليو 2020: "إن خطر أن تكون هدفًا لنشاط ضار يتم توجيهه عبر Tor هو أمر فريد لكل منظمة". احتمال أن يستهدف الفاعل أنظمته أو بياناته واحتمال نجاح الفاعل في ظل إجراءات التخفيف والضوابط الحالية ".
"يجب على المنظمات تقييم قرارات التخفيف الخاصة بها ضد التهديدات التي تتعرض لها مؤسساتها من التهديدات المستمرة المتقدمة (APTs) ، والمهاجمين المتطورين إلى حد ما ، والمتسللين الأفراد ذوي المهارات المنخفضة ، وجميعهم استفادوا من Tor لتنفيذ عمليات الاستطلاع والهجمات في الماضي ،" مضاف.
0 تعليقات