Angriff: Bitcoin-Adressen beim Webseitenaufruf über Tor ausgetauscht

Unbekannte haben fast ein Viertel aller Tor-Exit-Nodes betrieben, um Bitcoin-Adressen auszutauschen. Die Angriffe könnten weitergehen.

Artikel veröffentlicht am ,
Ob ihr wirklich richtig steht, seht ihr daran, wo der Bitcoin hingeht.
Ob ihr wirklich richtig steht, seht ihr daran, wo der Bitcoin hingeht. (Bild: Vadim Taranov/Pixabay)

Mit Exit-Nodes im Tor-Netzwerk haben Unbekannte einen Man-in-the-Middle-Angriff (MITM) auf etliche Krypto-Währungs-Webseiten durchgeführt, die über den Anonymisierungsdienst aufgerufen wurden. Laut einem Bericht des Sicherheitsforschers Nusenu hatte die Angreifergruppe auf dem Höhepunkt ihrer Aktivitäten 380 Tor-Exit-Relays. Das Tor-Team habe mit mehreren Interventionen auf die Angriffe reagiert. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Fachgebietsleiter "IMIS Messtechnik" (m/w/d) Naturwissenschaften, Informatik oder Sicherheitstechnik ... (m/w/d)
    BfS Bundesamt für Strahlenschutz, Berlin, Freiburg, Oberschleißheim
  2. IT-Application Support Analyst (w/m/d)
    KONZEPTUM GmbH, Koblenz
Detailsuche

Seit Januar fügte die Angreifergruppe immer wieder Server zum Tor-Netzwerk hinzu, die als Exit-Nodes fungierten. Diese leiten den Traffic aus dem Tor-Netzwerk in das normale Internet weiter, also beispielsweise den Aufruf einer Webseite, die Krypto-Währungen anbietet. Diese Weiterleitungsposition kann ähnlich wie bei VPN-Servern oder Proxys für Man-in-the-Middle-Angriffe genutzt werden, indem der Traffic manipuliert wird.

Die Angreifer setzen hierbei auf einen SSL-Stripping genannten Angriff, bei dem der Seitenaufruf abgefangen und eine Weiterleitung zu einer HTTPS-Version der Webseite unterbunden wird. Stattdessen wird der Person, die die Webseite geöffnet hat, eine gefälschte oder weitergeleitete Version der Webseite per HTTP präsentiert. Derlei Angriffe funktionieren auch ohne das Tor-Netzwerk und können mit HSTS Preload verhindert werden.

Bitcoin-Adressen werden ausgetauscht

Klappt der Angriff, durchsucht die Angreifergruppe den nun unverschlüsselten Traffic der Kryptowährungs-Webseiten nach Bitcoin-Adressen und tauscht diese anschließend aus, in der Hoffnung, dass die Angegriffenen ihre Bitcoins an eine falsche Adresse senden. Der Austausch von Bitcoin-Adressen sei an sich kein neuer Angriff, in diesem Umfang habe er dies jedoch noch nicht gesehen, erklärt Nusenu.

Golem Akademie
  1. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
  2. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
Weitere IT-Trainings

"Der volle Umfang ihrer Operationen ist unbekannt, aber eine Motivation scheint schlicht und einfach zu sein: Profit", schreibt Nusenu. Insgesamt konnte der Sicherheitsforscher sieben Tor-Exit-Node-Cluster der Angreifer entdecken. Zum Höhepunkt der Angriffe soll die Gruppe 380 Exit-Nodes betrieben haben, rund ein Viertel aller Tor-Exit-Relays. Diese habe er ab Mai an das Tor-Admin-Team gemeldet, welches mehrmals intervenierte und die bösartigen Server aus dem Netzwerk verbannte. Nusenu geht jedoch davon aus, dass die Gruppe ihre Angriffe fortsetzen wird und noch immer über 10 Prozent der Exit-Nodes des Tor-Netzwerkes betreibt.

Dass die Exit-Nodes für Man-in-the-Middle-Angriffe missbraucht werden können, ist dabei kein Geheimnis. Wer Tor verwendet, sollte daher darauf achten, dass die über das Netzwerk aufgerufenen Webseiten im normalen Internet per HTTPs geschützt sind. Ist dies nicht der Fall, können die Daten von den Tor-Exit-Nodes mitgelesen werden - oder von allen anderen Knoten im normalen Internet, durch die Daten fließen. Onion-Services, also Webseiten und Dienste, die innerhalb des Tor-Netzwerkes angeboten werden, sind dagegen vor SSL-Stripping geschützt, da die Verbindung von Server und Client per Design verschlüsselt stattfindet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

  3. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /