Выявлена узлы деанонимизации сети Tor

Выявлены узлы деанонимизации сети Tor

Разработчики анонимной сети Tor опубликовали информацию о выявленной в начале июля атаке по деанонимизации трафика, для проведения которой использовалась группа подконтрольных атакующим ретрансляторов Tor (relay). Атака была направлена на отслеживание обращения к скрытым сервисам Tor. Не связанный со скрытыми сервисами трафик не был подвержен атаке.

Для проведения атаки подтверждения трафика (traffic confirmation attack), использовалась пометка запросов, осуществляемая через внесение изменений в заголовки пакетов протокола Tor, которые остаются неизменными на протяжении всей цепочки анонимизации. Данный вид атак позволяет выявить корреляцию между запросами, обработанными в начальной и конечной точках в цепочке Tor (определить, что запрос пришедший на начальную точку является тем же, что обработан на конечной точке), но для этого начальный и конечный узел Tor должны быть подконтрольны атакующим, сообщает uinc.ru.

В частности, первый узел в цепочке Tor знает IP пользователя, а последний знает IP-адрес запрошенного ресурса, что позволяет деанонимизировать запрос, но вероятность, что один запрос пользователя пройдёт через начальный и конечный узлы атакующего очень мала. Участвующие в атаке ретрансляторы были присоединены к сети Tor 30 января 2014 года и заблокированы 4 июля, в этот промежуток существовал риск раскрытия сведений о пользователях, работающих со скрытыми сервисами.

Пока не ясно какие именно категории скрытых сервисов и пользователей были охвачены атакой, насколько она была успешной и остаются ли ещё подконтрольные атакующим узлы. Известно, что атакующие выявляли пользователей, запрашивающих дескрипторов скрытых сервисов, но скорее всего они использовали данную информацию в общем виде и не могли сопоставить эти запросы с трафиком уровня приложений, т.е. не могли отследить какие именно страницы и скрытые сервисы открывает пользователь, но знали о факте совершения таких действий (например, таких пользователей можно было поставить на контроль для дальнейшего анализа).

В результате атаки также были осуществлены попытки получения информации о том кто публикует дескрипторы скрытых сервисов, что могло быть использовано для выявления их местоположения. Теоретически атака могла быть использована и для выявления связи между пользователем и точкой назначения запроса в условиях нормальной цепочки анонимизации Tor, но не найдено никаких подтверждений о наличии у атакующих контроля над какими-либо выходными узлами, что делает такую атаку маловероятной.

Администраторам ретрансляторов рекомендуется обновить программное обеспечение Tor до версий 0.2.4.23 или 0.2.5.6-alpha, в которых устранена используемая атакующими уязвимость в протоколе. В общем виде проблема подтверждения трафика остаётся открытой, например, могут использоваться такие неточные эвристические методы как сопоставление времени, объёма и других характеристик трафика. В случае описываемой атаки, в качестве индикатора запроса узлы атакующих подставляли через ячейку "relay early" специально сформированную фиктивный список ретрансляторов, через который было закодировано имя скрытого сервиса.

Дополнительно можно отметить публикацию проектом Tor финансового отчёта за 2013 год, показывающего как были получены и потрачены средства проекта. Интересно, что в 2013 году более 1.8 млн долларов было пожертвовано проекту подконтрольными правительству США фондами SRI International, Internews Network и National Science Foundation. В 2012 году этими же фондами было пожертвовано примерно 1.2 млн долларов.

Хакеры угоняют WhatsApp руководителей и требуют перевести деньги

Мошенничество с письмом от директора вышло на новый уровень. Теперь злоумышленники не просто подделывают имя руководителя в письме, они перехватывают его WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) и рассылают сообщения от лица настоящего владельца аккаунта.

Новую схему, получившую название Boss Scam, описали специалисты, расследующие киберинциденты. Она сочетает социальную инженерию, технику сторонней загрузки DLL и кражу сессий WhatsApp Web.

Всё начинается с сообщения, якобы отправленного от имени регулятора или госоргана. Жертве предлагают срочно ознакомиться с документами или выполнить требования, прикладывая ZIP-архив. Внутри — исполняемый файл и DLL-библиотека. После запуска Windows автоматически подгружает вредоносную DLL, позволяя малвари закрепиться в системе.

 

Дальше цель меняется. Вместо шифрования файлов или уничтожения данных злоумышленников интересует активная сессия WhatsApp Web. Если она найдена, атакующие получают возможность читать переписку и отправлять сообщения от имени руководителя, не обходя двухфакторную аутентификацию на смартфоне.

Именно здесь начинается самое опасное. Финансовый отдел получает вполне привычное сообщение от генерального директора с просьбой срочно перевести деньги или изменить банковские реквизиты. Поскольку сообщение приходит с настоящего аккаунта, доверие к нему значительно выше, чем к обычному фишинговому письму.

В некоторых вариантах атаки вредонос также изменяет локальные контакты на заражённом компьютере, подменяя номер злоумышленника именем руководителя. Это помогает сохранить иллюзию подлинности даже после завершения угнанной веб-сессии.

Эксперты предупреждают, что атака нацелена не столько на ИТ-инфраструктуру, сколько на бизнес-процессы компаний. Поэтому защититься одним антивирусом не получится.

Специалисты рекомендуют подтверждать любые срочные платежные поручения через независимый канал связи (например, по телефону или лично), не запускать неизвестные EXE-файлы из мессенджеров, контролировать подключенные устройства в WhatsApp Web, а также отслеживать подозрительную загрузку DLL и попытки кражи пользовательских токенов.

RSS: Новости на портале Anti-Malware.ru