به گزارش کارگروه امنیت سایبربان؛ یک محقق فناوری اطلاعات با نام مستعار نوسنو (Nusenu) و بهعنوان یکی اپراتورهای سرور تور در وبلاگ خود نوشت بیش از یک سال است افرادی ناشناس نودهای خروجی مخربی به شبکه تور اضافه کرده و اقدام به سرقت ترافیک و انجام حملات SSL-stripping به کاربران سایتهای ارز دیجیتال میکنند.
نوسنو در مورد این حملات نخستین بار آگوست 2020 گزارش داد. این کارشناس امنیتی اعلام کرد هکرها از ماه ژانویه سال 2020 با افزودن سرور به شبکه تور، کنترل رلههای خروجی آن را به دست گرفته و حملات مردمیانی (MitM) و «SSL stripping» علیه کاربران تدارک دیدهاند.
در آن زمان هکرها یکچهارم رلههای خروجی مخرب (380 رله) را تحت کنترل خود درآورده و با دستکاری ترافیک عبوری از رلههای خروجی تور حملات مردمیانی و سپس حمله «SSL stripping» تدارک دیده بودند تا بتوانند آدرسهای بیت کوین را در ترافیک HTTP سرویس میکسر بیت کوین جایگزین کرده و گواهینامه SSL را از کاربران سایتهای ارز دیجیتال سلب کنند. با این اقدام مهاجمان توانسته بودند ارز دیجیتال کاربران را بدون اطلاع آنها و سرویسهای میکسر هایجک و سرقت کنند.
علی رغم افشاگری های نوسنو حملات همچنان ادامه داشته و از فوریه 2021 در این حملات هکرها از 27% از نودهای خروجی مخرب تور بهره برداری کردهاند.
به گفته این کارشناس امنیتی، علت اصلی موفقیت هکرها در حملات این بوده که نودهای مخرب را به تعداد کم اضافه کرده و بهطور نامحسوس یک زیرساخت مؤثر ایجاد کردهاند، اگرچه اوایل ماه می مهاجمان قصد داشتهاند همزمان همه سرورهای قطعشده را بهصورت آنلاین بازگردانند و از حالت نامحسوس خارجشدهاند.
حملات یک روز پسازاینکه شمار نودهای خروجی تور از 1.5 هزار به بیش از 2.5 هزار رسیده، شناساییشدهاند. علیرغم متوقف شدن بیش از 1000 سرور مخرب، مهاجمان همچنان 6% از توان خروجی Tor را تحت کنترل خود دارند.
