• IT-Karriere:
  • Services:

Angriff: Bitcoin-Adressen beim Webseitenaufruf über Tor ausgetauscht

Unbekannte haben fast ein Viertel aller Tor-Exit-Nodes betrieben, um Bitcoin-Adressen auszutauschen. Die Angriffe könnten weitergehen.

Artikel veröffentlicht am ,
Ob ihr wirklich richtig steht, seht ihr daran, wo der Bitcoin hingeht.
Ob ihr wirklich richtig steht, seht ihr daran, wo der Bitcoin hingeht. (Bild: Vadim Taranov/Pixabay)

Mit Exit-Nodes im Tor-Netzwerk haben Unbekannte einen Man-in-the-Middle-Angriff (MITM) auf etliche Krypto-Währungs-Webseiten durchgeführt, die über den Anonymisierungsdienst aufgerufen wurden. Laut einem Bericht des Sicherheitsforschers Nusenu hatte die Angreifergruppe auf dem Höhepunkt ihrer Aktivitäten 380 Tor-Exit-Relays. Das Tor-Team habe mit mehreren Interventionen auf die Angriffe reagiert. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. BREMER AG, Hamburg, Leipzig, Paderborn
  2. Stadt Korntal-Münchingen, Korntal-Münchingen

Seit Januar fügte die Angreifergruppe immer wieder Server zum Tor-Netzwerk hinzu, die als Exit-Nodes fungierten. Diese leiten den Traffic aus dem Tor-Netzwerk in das normale Internet weiter, also beispielsweise den Aufruf einer Webseite, die Krypto-Währungen anbietet. Diese Weiterleitungsposition kann ähnlich wie bei VPN-Servern oder Proxys für Man-in-the-Middle-Angriffe genutzt werden, indem der Traffic manipuliert wird.

Die Angreifer setzen hierbei auf einen SSL-Stripping genannten Angriff, bei dem der Seitenaufruf abgefangen und eine Weiterleitung zu einer HTTPS-Version der Webseite unterbunden wird. Stattdessen wird der Person, die die Webseite geöffnet hat, eine gefälschte oder weitergeleitete Version der Webseite per HTTP präsentiert. Derlei Angriffe funktionieren auch ohne das Tor-Netzwerk und können mit HSTS Preload verhindert werden.

Bitcoin-Adressen werden ausgetauscht

Klappt der Angriff, durchsucht die Angreifergruppe den nun unverschlüsselten Traffic der Kryptowährungs-Webseiten nach Bitcoin-Adressen und tauscht diese anschließend aus, in der Hoffnung, dass die Angegriffenen ihre Bitcoins an eine falsche Adresse senden. Der Austausch von Bitcoin-Adressen sei an sich kein neuer Angriff, in diesem Umfang habe er dies jedoch noch nicht gesehen, erklärt Nusenu.

"Der volle Umfang ihrer Operationen ist unbekannt, aber eine Motivation scheint schlicht und einfach zu sein: Profit", schreibt Nusenu. Insgesamt konnte der Sicherheitsforscher sieben Tor-Exit-Node-Cluster der Angreifer entdecken. Zum Höhepunkt der Angriffe soll die Gruppe 380 Exit-Nodes betrieben haben, rund ein Viertel aller Tor-Exit-Relays. Diese habe er ab Mai an das Tor-Admin-Team gemeldet, welches mehrmals intervenierte und die bösartigen Server aus dem Netzwerk verbannte. Nusenu geht jedoch davon aus, dass die Gruppe ihre Angriffe fortsetzen wird und noch immer über 10 Prozent der Exit-Nodes des Tor-Netzwerkes betreibt.

Dass die Exit-Nodes für Man-in-the-Middle-Angriffe missbraucht werden können, ist dabei kein Geheimnis. Wer Tor verwendet, sollte daher darauf achten, dass die über das Netzwerk aufgerufenen Webseiten im normalen Internet per HTTPs geschützt sind. Ist dies nicht der Fall, können die Daten von den Tor-Exit-Nodes mitgelesen werden - oder von allen anderen Knoten im normalen Internet, durch die Daten fließen. Onion-Services, also Webseiten und Dienste, die innerhalb des Tor-Netzwerkes angeboten werden, sind dagegen vor SSL-Stripping geschützt, da die Verbindung von Server und Client per Design verschlüsselt stattfindet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Samsung Portable SSD T5 500 GB für 69,21€, Seagate Expansion Portable SSD 2 TB für 56...
  2. (u. a. Samsung 55 Zoll TV Crystal UHD für 515,67€, HP 17-Zoll-Notebook für 449,00€, Huawei...
  3. 169,99€ (Bestpreis!)
  4. 77,01€ (Bestpreis!)

masel99 12. Aug 2020 / Themenstart

Das man die Seite nicht unverschlüsselt ausliefert sollte klar sein. Aber in dem Fall...

Freedome 11. Aug 2020 / Themenstart

Problem lässt sich leicht mit signierten Adressen lösen

nuclear 11. Aug 2020 / Themenstart

Irgendwie habe ich das Gefühl, dass sich der Großteil der Betroffenen nicht bei der...

Kommentieren


Folgen Sie uns
       


    •  /