駭客挾持Tor流量以竊取比特幣

• 發布日期：109-10-06
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 駭客挾持Tor流量以竊取比特幣
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16437

資安研究人員指出，洋蔥路由(The Onion Router, Tor)網路存在大量惡意出口節點，駭客可藉由SSL Strip手法進行中間人攻擊取得網路傳輸資訊，當發現造訪目標為Bitcoin Mixer服務時即發動攻擊，透過置換使用者所輸入之錢包位址，竊取比特幣。
Tor網路為開源之匿名傳輸網路架構，透過散布在全球逾7,000個志願節點傳遞流量，藉此躲避追蹤與流量分析，達成保障使用者隱私之目的。每一流量於過程中均經過多重加解密程序與至少通過3個節點傳送流量，此3個節點依序為入口節點、中繼節點及出口節點，入口節點至出口節點間之流量皆經過加密，同時入口節點僅知道流量來源，至於出口節點則僅知道流量目的地。
資安研究人員發現，由於Tor網路並未嚴格審核該網路上之節點，使駭客得以部署惡意出口節點，進而挾持使用者連線至特定網站之流量。經研究人員揭露，今年5月下旬，駭客已控制Tor網路上約24%之出口節點，意旨每4個出口節點中便有一個惡意出口節點，截至8月8日止，仍有超過10%之出口節點被駭客操縱。
駭客透過SSL Strip手法攻擊連線至Bitcoin Mixer服務之流量，Bitcoin Mixer服務可協助使用者將比特幣於不同錢包中進行轉移，過程會先將比特幣分散至數以千計之臨時錢包，最終再轉移至目標錢包；而SSL Strip攻擊為駭客介入HTTPS流量，並將其變更為HTTP流量之過程，移除HTTPS流量重新定向為HTTP流量之能力，讓駭客得以存取未加密之網頁流量，透過置換Tor網路使用者所輸入之目標錢包位址，藉此盜走比特幣。
資料來源：
https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac
https://www.cyberscoop.com/tor-security-exit-relays-attack-bitcoin/
https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/
技術服務中心整理