Angriff: Bitcoin-Adressen beim Webseitenaufruf über Tor ausgetauscht

Unbekannte haben fast ein Viertel aller Tor-Exit-Nodes betrieben, um Bitcoin-Adressen auszutauschen. Die Angriffe könnten weitergehen.

Artikel veröffentlicht am ,
Ob ihr wirklich richtig steht, seht ihr daran, wo der Bitcoin hingeht.
Ob ihr wirklich richtig steht, seht ihr daran, wo der Bitcoin hingeht. (Bild: Vadim Taranov/Pixabay)

Mit Exit-Nodes im Tor-Netzwerk haben Unbekannte einen Man-in-the-Middle-Angriff (MITM) auf etliche Krypto-Währungs-Webseiten durchgeführt, die über den Anonymisierungsdienst aufgerufen wurden. Laut einem Bericht des Sicherheitsforschers Nusenu hatte die Angreifergruppe auf dem Höhepunkt ihrer Aktivitäten 380 Tor-Exit-Relays. Das Tor-Team habe mit mehreren Interventionen auf die Angriffe reagiert. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Entwickler / Programmierer Automatisierungstechnik (m/w/d)
    KHS GmbH, Worms
  2. IT Support Engineer (m/w/d)
    Stadtwerke Balingen, Balingen
Detailsuche

Seit Januar fügte die Angreifergruppe immer wieder Server zum Tor-Netzwerk hinzu, die als Exit-Nodes fungierten. Diese leiten den Traffic aus dem Tor-Netzwerk in das normale Internet weiter, also beispielsweise den Aufruf einer Webseite, die Krypto-Währungen anbietet. Diese Weiterleitungsposition kann ähnlich wie bei VPN-Servern oder Proxys für Man-in-the-Middle-Angriffe genutzt werden, indem der Traffic manipuliert wird.

Die Angreifer setzen hierbei auf einen SSL-Stripping genannten Angriff, bei dem der Seitenaufruf abgefangen und eine Weiterleitung zu einer HTTPS-Version der Webseite unterbunden wird. Stattdessen wird der Person, die die Webseite geöffnet hat, eine gefälschte oder weitergeleitete Version der Webseite per HTTP präsentiert. Derlei Angriffe funktionieren auch ohne das Tor-Netzwerk und können mit HSTS Preload verhindert werden.

Bitcoin-Adressen werden ausgetauscht

Klappt der Angriff, durchsucht die Angreifergruppe den nun unverschlüsselten Traffic der Kryptowährungs-Webseiten nach Bitcoin-Adressen und tauscht diese anschließend aus, in der Hoffnung, dass die Angegriffenen ihre Bitcoins an eine falsche Adresse senden. Der Austausch von Bitcoin-Adressen sei an sich kein neuer Angriff, in diesem Umfang habe er dies jedoch noch nicht gesehen, erklärt Nusenu.

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    06./07.02.2023, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    20.-22.03.2023, Virtuell
Weitere IT-Trainings

"Der volle Umfang ihrer Operationen ist unbekannt, aber eine Motivation scheint schlicht und einfach zu sein: Profit", schreibt Nusenu. Insgesamt konnte der Sicherheitsforscher sieben Tor-Exit-Node-Cluster der Angreifer entdecken. Zum Höhepunkt der Angriffe soll die Gruppe 380 Exit-Nodes betrieben haben, rund ein Viertel aller Tor-Exit-Relays. Diese habe er ab Mai an das Tor-Admin-Team gemeldet, welches mehrmals intervenierte und die bösartigen Server aus dem Netzwerk verbannte. Nusenu geht jedoch davon aus, dass die Gruppe ihre Angriffe fortsetzen wird und noch immer über 10 Prozent der Exit-Nodes des Tor-Netzwerkes betreibt.

Dass die Exit-Nodes für Man-in-the-Middle-Angriffe missbraucht werden können, ist dabei kein Geheimnis. Wer Tor verwendet, sollte daher darauf achten, dass die über das Netzwerk aufgerufenen Webseiten im normalen Internet per HTTPs geschützt sind. Ist dies nicht der Fall, können die Daten von den Tor-Exit-Nodes mitgelesen werden - oder von allen anderen Knoten im normalen Internet, durch die Daten fließen. Onion-Services, also Webseiten und Dienste, die innerhalb des Tor-Netzwerkes angeboten werden, sind dagegen vor SSL-Stripping geschützt, da die Verbindung von Server und Client per Design verschlüsselt stattfindet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


masel99 12. Aug 2020

Das man die Seite nicht unverschlüsselt ausliefert sollte klar sein. Aber in dem Fall...

Freedome 11. Aug 2020

Problem lässt sich leicht mit signierten Adressen lösen

nuclear 11. Aug 2020

Irgendwie habe ich das Gefühl, dass sich der Großteil der Betroffenen nicht bei der...



Aktuell auf der Startseite von Golem.de
Paramount+ im Test
Paramounts peinliche Premiere

Ein kleiner Katalog an Filmen und Serien, gepaart mit vielen technischen Einschränkungen. So wird Paramount+ Disney+, Netflix und Prime Video nicht gefährlich.
Ein Test von Ingo Pakalski

Paramount+ im Test: Paramounts peinliche Premiere
Artikel
  1. Sicherheit: FBI ist zutiefst besorgt über Apples neue Verschlüsselung
    Sicherheit
    FBI ist "zutiefst besorgt" über Apples neue Verschlüsselung

    Das FBI könnte mit Apples Advanced Data Protection seinen wichtigsten Zugang zu iPhones verlieren. Doch dafür muss die Funktion von Nutzern aktiviert werden.

  2. Smartphones: Huawei schliesst große Patentverträge mit Oppo und Samsung
    Smartphones
    Huawei schliesst große Patentverträge mit Oppo und Samsung

    Huawei hat sich mit den großen Smartphoneherstellern Oppo und Samsung geeinigt, Patente zu tauschen und dafür zu zahlen.

  3. Intellectual Property: Wie aus der CPU ein System-on-Chip wird
    Intellectual Property
    Wie aus der CPU ein System-on-Chip wird

    Moderne Chips bestehen längst nicht mehr nur aus der CPU, sondern aus Hunderten Komponenten. Daher ist es nahezu unmöglich, einen Prozessor selbst zu entwickeln. Wir erklären wieso!
    Eine Analyse von Martin Böckmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore -37% • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% [Werbung]
    •  /