Le 9 août, un certain Nusenu, propriétaire d'un nœud de sortie dans TOR, a publié un article dans lequel il a déclaré que plus de 23% de tous les nœuds de sortie sont sous le contrôle de cybercriminels qui interceptent le trafic des utilisateurs et remplacent les portefeuilles Bitcoin à la volée dans le but de voler les fonds d'autres personnes. L'article original est ici .
La véritable échelle des opérations de ce groupe est inconnue, mais leur objectif principal est de réaliser des bénéfices. Les attaquants mènent des attaques man-in-the-middle sur les utilisateurs de Tor et manipulent le trafic passant par les nœuds de sortie sous leur contrôle. La particularité de la situation est que les attaquants ont utilisé la technique sslstrip, qui, pour une raison quelconque, est considérée comme morte depuis longtemps et n'est plus pertinente. Alors que le soi-disant. les experts parlent de HTTP Strict Transport Security (= HSTS) et d'autres listes de domaines préchargées, les méchants du réseau exploitent de vieux équipements avec force et force. À un moment donné, Edward Snowden a utilisé les mêmes techniques dans son travail.
Ainsi, le regroupement remplace les adresses bitcoin dans le trafic HTTP associé aux services de mixage. Ces services aident à «obscurcir la piste» en transformant un simple transfert de fonds d'un compte à un autre en un schéma complexe: au lieu d'une transaction, le service décompose le paiement requis en centaines ou en milliers de petits transferts qui sont envoyés vers différents comptes et passent par de nombreux portefeuilles avant d'atteindre le vrai buts. Autrement dit, en substituant les adresses au niveau du trafic HTTP, les attaquants interceptent effectivement les fonds des victimes, à l'insu des utilisateurs eux-mêmes et des mélangeurs de crypto-monnaie.
Je vous suggère de vous familiariser avec deux clips vidéo. Le premier raconte l'historique et l'essence de l'attaque sslstrip, qui vous permet de couper les liens https et d'intercepter les données destinées à une session ssl.
Le second décrit le mécanisme HSTS, qui est conçu pour empêcher l'utilisation de la technique sslstrip. De plus, la vidéo montre un moyen de contourner le HSTS à l'aide de l'outil Intercepter-NG et explique le principe de fonctionnement.
Je vous recommande également de lire l'interview suivante, qui aborde les problèmes des attaques MiTM et les moyens possibles de s'en protéger.