Este año cada vez nos sorprende más y más, si recordamos a inicios de años un grupo de hackers estaba interceptando parte del tráfico de los usurarios de Tor, Los expertos comentaron que se hicieron con casi la cuarta parte, aunque tras intervenciones de los administradores de la red, ahora solo tienen un 10% del control. Pero no es como si tomaran control de la red y ahora les pertenezca, en vez de eso lograron conseguir acceso a parte del tráfico y el contenido de los usuarios de la red.
El como funciona Tor, para que logre ser distribuido, utiliza diversos nodos por los que ingresa el tráfico desde el usuario hasta la URL destino. El último de estos se conoce como nodo de salida y es el más comprometido de todos.
Este nodo permite conectar a Tor con la “Internet Normal”, por lo tanto tiene acceso a la IP y en parte a todo el contenido que pueda pasar por ahí. ¿Cuál es el riesgo?, si obtienes acceso a uno de los servidores que actúan como nodo de salida, podrás interceptar el contenido que se envía y trasmite a través de él, y esto se supone es lo que está haciendo el grupo.
Una investigación publicada por Nusenu. Se explica que el grupo ha estado desde enero utilizando esta práctica coloquialmente conocida como eliminación de SSL para acceder al tráfico de Tor.
En mayo lograron obtener un total de 380 nodos, esto representaba alrededor del 25% del total de nodos de salida de Tor. Así que se podría decirse que 1 de cada 4 de usuarios de Tor, puedo estar comprometida su información.
¿Todo esto por Entretenimiento?
Al parecer el objetivo son los Bitcoins, montar todo un sistema de ataque de nodos por diversión, no suena muy económicamente viable. Parece ser que el objetivo es robar criptodivisas como Bitcoin, ETH, entre otras, todo esto indicado en la infestación anteriormente comentada.
Lo que hacen es modificar las conexiones HTTPS por conexiones HTTP a las que se puede acceder al contenido. Y una vez realizado redireccionan el pago de la criptodivisa de la cartera a las que supuestamente debería ir el dinero a sus carteras propias.
Para evitar dar alertas y ser cazados, no las redirigen directamente a sus carteras, primero pasan por sitios web que dividen el dinero en sumas más pequeñas y las transfieren por miles de direcciones hasta volver a unificarlos todos en una dirección final. Una manera de “lavar criptomonedas” que les permite pasar desapercibidos.
La manera de prevenir esto es verificar en todo momento una dirección segura HTTPS y los sitios que manejan bitcoins usar HTTPS por defecto.