駭客挾持Tor流量以竊取比特幣

資安研究人員指出,洋蔥路由(The Onion Router, Tor)網路存在大量惡意出口節點,駭客可藉由SSL Strip手法進行中間人攻擊取得網路傳輸資訊,當發現造訪目標為Bitcoin Mixer服務時即發動攻擊,透過置換使用者所輸入之錢包位址,竊取比特幣。

 

Tor網路為開源之匿名傳輸網路架構,透過散布在全球逾7,000個志願節點傳遞流量,藉此躲避追蹤與流量分析,達成保障使用者隱私之目的。每一流量於過程中均經過多重加解密程序與至少通過3個節點傳送流量,此3個節點依序為入口節點、中繼節點及出口節點,入口節點至出口節點間之流量皆經過加密,同時入口節點僅知道流量來源,至於出口節點則僅知道流量目的地。

 

資安研究人員發現,由於Tor網路並未嚴格審核該網路上之節點,使駭客得以部署惡意出口節點,進而挾持使用者連線至特定網站之流量。經研究人員揭露,今年5月下旬,駭客已控制Tor網路上約24%之出口節點,意旨每4個出口節點中便有一個惡意出口節點,截至8月8日止,仍有超過10%之出口節點被駭客操縱。

 

駭客透過SSL Strip手法攻擊連線至Bitcoin Mixer服務之流量,Bitcoin Mixer服務可協助使用者將比特幣於不同錢包中進行轉移,過程會先將比特幣分散至數以千計之臨時錢包,最終再轉移至目標錢包;而SSL Strip攻擊為駭客介入HTTPS流量,並將其變更為HTTP流量之過程,移除HTTPS流量重新定向為HTTP流量之能力,讓駭客得以存取未加密之網頁流量,透過置換Tor網路使用者所輸入之目標錢包位址,藉此盜走比特幣。

Reference

資料來源:

https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac

Hackers exploited Tor exit relays to generate bitcoin: research

https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/