黑客添加数千个 Tor 出口节点进行 SSL 剥离攻击

据The Record首次报道，从2020年1月开始，威胁参与者已在Tor网络中添加了数千个恶意出口中继，以拦截流量并在访问混合网站时对用户进行SSL剥离攻击。

SSL剥离（也称为SSL降级攻击）允许将连接从安全HTTPS降级到HTTP，这可能会将流量暴露被窃听和数据操纵。

在针对Tor网络的攻击中，威胁行为者旨在将合法钱包的地址替换为攻击者控制的地址，以劫持交易。

2020年8月，安全研究人员和Tor节点运营商“Nusenu”在对2020年恶意Tor中继如何利用用户的分析中描述了这种做法。

Nusenu发表了其研究的新部分，揭示了威胁参与者仍在活跃。

“您可以看到新的恶意中继的重复模式被添加到了tor网络中并获得了巨大的吸引力，然后又被删除了，然后急剧下降。”研究报告写道。

“就攻击者退出比例的规模而言，他们设法从2020年5月开始两次打破自己的记录（恶意退出比例大于23％）：

• 在2020–10–30年，恶意实体经营着Torr网络出口中继能力的26％以上
• 在2021-02-02年间，他们管理着Tor出口继电器容量的27％以上。这是曾经观察到的最大的恶意攻击退出率。”

去年，威胁行为者两次操作了Tor网络出口中继容量的26％以上，到2021年2月达到27％。

攻击者一直处于监视之下，因为他们每次都添加有限数量的新恶意出口中继。

专家指出，所有攻击都被检测到，并且恶意的Tor出口中继已从Tor网络中删除，专家指出，威胁者能够拦截流量达数月之久。

5月初，恶意的Tor中继再次被删除，但是这次威胁行动者试图通过添加大量新的出口节点来替换它们。

快速增长迅速由Tor项目的维护者发现，但据Nusenu称，他们的反应并不有效，因为截至2021-05-05年，他估计攻击者控制着Tor网络的4-6％出口能力，执行SSL剥离攻击。