Em 9 de agosto, um certo Nusenu, o proprietário de um nó de saída no TOR, publicou uma postagem em que afirmava que mais de 23% de todos os nós de saída estão sob o controle de cibercriminosos que interceptam o tráfego de usuários e substituem carteiras de Bitcoin em uma tentativa de roubar fundos de outras pessoas. O artigo original está aqui .
A verdadeira escala das operações desse grupo é desconhecida, mas seu principal objetivo é obter lucro. Os invasores realizam ataques man-in-the-middle aos usuários do Tor e manipulam o tráfego que passa pelos nós de saída sob seu controle. A peculiaridade da situação é que os invasores usaram a técnica sslstrip, que por algum motivo é considerada morta há muito tempo e não é mais relevante. Enquanto o chamado. especialistas falam sobre HTTP Strict Transport Security (= HSTS) e outras listas pré-carregadas de domínios, os vilões da rede estão explorando equipamentos antigos com força e força. Ao mesmo tempo, Edward Snowden usava as mesmas técnicas em seu trabalho.
Portanto, o agrupamento substitui os endereços bitcoin no tráfego HTTP associado aos serviços do mixer. Esses serviços ajudam a "obscurecer o rastro" ao transformar uma simples transferência de fundos de uma conta para outra em um esquema complexo: em vez de uma transação, o serviço divide o pagamento necessário em centenas ou milhares de pequenas transferências que são enviadas para contas diferentes e passam por muitas carteiras antes de chegar ao verdadeiro metas. Ou seja, ao substituir endereços no nível de tráfego HTTP, os invasores interceptam efetivamente os fundos das vítimas, sem o conhecimento dos próprios usuários e dos mixers de criptomoeda.
Eu sugiro que você se familiarize com dois videoclipes. O primeiro conta a história e a essência do ataque sslstrip, que permite cortar links https e interceptar dados destinados a uma sessão SSL.
A segunda descreve o mecanismo HSTS, projetado para evitar o uso da técnica sslstrip. Além disso, o vídeo demonstra uma maneira de contornar o HSTS usando a ferramenta Intercepter-NG e explica o princípio de operação.
Também recomendo que você leia a entrevista a seguir, que aborda os problemas de ataques MiTM e as possíveis maneiras de se proteger contra eles.