超过25%的Tor出口中继监视用户的黑暗网络活动

一个未知的威胁演员设法控制超过27%的整个Tor网络的出口能力在2021年2月初，一项新的研究表明，黑暗的网络基础设施。

“攻击Tor用户的实体自一年多以来一直在积极利用Tor用户，并将他们的攻击规模扩大到了一个新的记录水平，”一位名为Nuscus的独立安全研究人员在周日发表的一篇文章中说。“在过去12个月里，该实体控制的平均退出率超过14%。”

这是该演员自2019年12月以来为揭露恶意Tor活动而采取的一系列努力中的最新一次。这些袭击据说始于2020年1月，同一名研究人员于2020年8月首次记录并揭露了这些袭击。

Tor是一种开源软件，用于在互联网上实现匿名通信。它通过一系列中继引导网络流量，以屏蔽用户的IP地址、位置和使用情况，从而混淆web请求的来源和目的地，不受监视或流量分析的影响。中间中继通常负责接收网络上的流量并将其传递出去，而出口中继是Tor流量到达目的地之前经过的最后一个节点。

Tor网络上的出口节点过去曾被破坏，以注入OnionDuke等恶意软件，但这是第一次由一个身份不明的参与者控制如此大比例的Tor出口节点。

黑客实体在2020年8月的高峰期维护了380个恶意Tor出口中继，之后Tor目录管理机构进行干预，从网络中清除节点，此后该活动在今年年初再次达到高潮，攻击者试图在5月的第一周添加1000多个出口中继。在第二波攻击中检测到的所有恶意Tor exit中继都已被删除。

nusenu称，攻击的主要目的是在Tor用户通过出口中继网络时操纵流量，从而对Tor用户实施“中间人”攻击。具体而言，攻击者似乎执行了所谓的SSL剥离，将流向比特币混合器服务的流量从HTTPS降级为HTTP，试图替换比特币地址，并将交易重定向到其钱包，而不是用户提供的比特币地址。

Tor Project的维护人员去年8月解释说：“如果用户访问了其中一个站点的HTTP版本（即未加密、未经验证的版本），他们将阻止该站点将用户重定向到该站点的HTTPS版本（即加密、经验证的版本）。”。“如果用户没有注意到他们没有进入该网站的HTTPS版本（浏览器中没有锁定图标），并继续发送或接收敏感信息，攻击者可能会截获这些信息。”

为了缓解此类攻击，Tor项目提出了一些建议，包括敦促网站管理员默认启用HTTPS并部署。为了避免退出节点，onion网站正在进行“全面修复”，以禁用Tor浏览器中的普通HTTP。

美国网络安全和基础设施安全局（CISA）在2020年7月的一份咨询报告中表示，“成为通过Tor路由的恶意活动目标的风险对于每个组织来说都是独一无二的。”。“一个组织应通过评估威胁行为人针对其系统或数据的可能性，以及考虑到当前的缓解和控制措施，威胁行为人成功的可能性，来确定其个人风险。”

该机构补充说：“组织应评估其缓解决策，以应对高级持续性威胁（APT）、中等成熟度攻击者和低技能个人黑客对组织造成的威胁，这些黑客过去都利用Tor进行侦察和攻击。”。