Secuestran nodos de salida Tor para ataques de eliminación de SSL

Secuestran nodos de salida Tor para ataques de eliminación de SSL

Javier Jiménez

Los ataques en la red es algo que está muy presente en nuestro día a día. Los hay de muchos tipos y pueden afectar a nuestros dispositivos y sistemas. En este artículo nos hacemos eco de un grupo de piratas informáticos que ha logrado secuestrar nodos de salida de Tor para realizar ataques de eliminación de SSL.

Un grupo de ciberdelincuentes secuestran nodos de salida de Tor

Según el informe del que nos hacemos eco, este grupo de piratas informáticos que han secuestrado nodos de salida de Tor controla el 10% de este tipo de ataques en la actualidad. Sin embargo llegaron a representar hasta el 25%. Llevan unos meses de actividad, ya que hay constancia desde al menos enero de 2020.

Este misterioso grupo, como así lo nombran, ha estado agregando servidores a la red Tor para realizar ataques de eliminación de SSL en los usuarios que acceden a sitios relacionados con criptomonedas a través de este navegador.

Como decimos, han llegado a tener una cuarta parte de todos los nodos de salida de Tor. Eso ocurrió durante el mes de mayo. Como sabemos, estos son los servidores a través de los cuales el tráfico de usuarios sale de la red Tor y accede a la red de Internet pública.

Si tenemos en cuenta su punto máximo, el momento en el que tenían más nodos de salida de Tor controlados, la cifra ascendió a 380. Lógicamente desde el equipo de Tor han realizado diferentes intervenciones para eliminar esta red.

Nodos de salida de Tor

Ataques Man-in-The-Middle

Este grupo de investigadores de seguridad indican que los atacantes están realizando ataques de Man-in-The-Middle a los usuarios de Tor al manipular el tráfico conforme pasan a través de sus nodos de salida. Apuntan principalmente a sitios web relacionados con criptodivisas.

El objetivo de estos ataques Man-in-The-Middle es ejecutar ataques de «eliminación de SSL» degradando el tráfico web del usuario de URL HTTPS a alternativas HTTP menos seguras. Ya sabemos que en el primer caso el tráfico va cifrado pero que si navegamos a través de HTTP podríamos exponer la información y dar lugar a intrusos.

En este sentido, indicaron también que el que el objetivo principal de estos ataques de eliminación de SSL era permitir que el grupo reemplazara las direcciones de Bitcoin dentro del tráfico HTTP que va a los servicios de intercambio de esta popular moneda digital.

Estos servicios de intercambio permiten a los usuarios el envío de criptomonedas a otra dirección. Pasa por diferentes direcciones intermedias antes de llegar al destino. El objetivo es reemplazar la dirección de destino en el nivel de tráfico HTTP. De esta forma los atacantes secuestraron los fondos del usuario sin el conocimiento tanto de la víctima como de los servicios de intercambio de Bitcoin.

Por suerte, como así indican los investigadores de seguridad, en todo momento han estado en contacto con los administradores de Tor y la presencia de este grupo de piratas informáticos ha disminuido considerablemente en las últimas semanas. No obstante, como hemos indicado aún siguen presentes. Ya hablamos en otro artículo de las amenazas al comprar online.