Recherches sur ZDNet X TECHNOLOGIE INFORMATIQUE SMA IDE PRATIQUE: mieux travailler au bureau et & distance avec les conseils et astuces de ZDNet Accueil > News > Cyberséeurité Un groupe mysterieux a detourné des noeuds de sortie Tor Sécurité : L'attaque visait a voler des informations sur des internautes accedant a des services de cryptomonnaie. Le groupe contréle encore 10% de tous les neeuds de sortie de Tor aujourd'hui. Par Catalin Cimpana | Mardi 11 Aott 2020, Résctions 0 Tweet pus Tor senir membre 5 Se connecter |Depuis janvier 2020, un mystérieux groupe a ajouté des serveurs au réseau Tor afin d'effectuer des attaques de type SSL Striping sur des utilisateurs accédant a des sites liés a la cryptomonnaie via le navigateur Tor. Le groupe a été si efficace et persistant dans ses attaques, qu'en mai 2020, ils avaient obtenu le contréle d'un quart de tous les relais de sortie Tor - les serveurs par lesquels le trafic des utilisateurs quitte le réseau Tor et accade @ |'Internet public. Selon un rapport publié dimanche par un chercheur indépendant en sécurité et opérateur de serveur Tor connu sous le nom de Nusenu, le groupe gerait 380 relais de sortie Tor malveillants a son apogée, avant que l'équipe Tor n'intervienne pour eliminer ce réseau. SSL Stripping sur les utilisateurs de Bitcoin "On ne connait pas 'étendue de leurs activités, mais une motivation semble évidente : le profit", a écrit Nusenu ce week-end. Le chercheur explique que le groupe effectue des "attaques de type "man in the middie" sur les utilisateurs de Tor en manipulant le trafic qui passe par leurs relais de sortie", et quiils ciblent spécifiquement les utilisateurs qui acoédent a des sites web de cryptomonnaie en utilisant le logiciel Tor ou le navigateur Tor. Lobjectif de lattaque "man-in-the-middle” est d'exécuter des attaques de type"SSL stripping” , déclassant le trafic web de lutilisateur vers des alternatives HTTP moins sdres. ‘Sur la base de son enquéte, Nusenu a déclaré que le but premier de ces attaques était de permettre au groupe le remplacement les adresses Bitcoin a l'ntérieur du trafic HTTP allant aux services de "mixers" de Bitcoin Les "mixers" sont des sites web qui permettent aux utilisateurs d'envoyer des bitcoins d'une adresse & autre en fractionnant les fonds en petites sommes et en les transférant par des milliers d'adresses intermédiaires avant de rediriger les fonds a l'adresse de destination. En remplagant 'adresse de destination au niveau du trafic HTTP, les attaquants ont effectivement détourné les fonds de utilisateur a insu de ces demier ou du mixer de Bitcoin. Une attaque difficile 4 mener "Les atlaques de réécriture d'adresses de Bitcoin ne sont pas nouvelles, mais 'ampleur de cette opération lest", a déclaré le chercheur. Nusenu a déclaré que sur la base de adresse e-mail de contact utilisée pour les serveurs malveillants, ils ont identifié au moins neuf différents groupes de relais de sortie Tor malveillants, ajoutés au cours des sept derniers mois. | Se connecter | Devenir membreImage : Nusenu Le chercheur a déclaré que le réseau malveillant a atteint son pic de 380 serveurs le 22 mai, 23,95% de tous les relais de sortie de Tor étaient alors contrélés par le groupe, donnant aux utilisateurs de Tor une chance sur quatre d'atterrir sur un relais de sortie malveillant. Nusenu explique avoir signalé les relais de sortie malveillants aux administrateurs de Tor depuis mai Suite au dernier démantélement le 21 juin, les capacités du groupe ont été sévérement réduites (Q.Search tise Join Timestamp Removal Timestamp Contactnto 2020-01-27 2:00:00 2020.05.22 0000-00. eibtherpe@hetmall.cam 2020-01-29 20:0000 2020-06-22.0002:00 thomasplit@hotmaikcom 2020-02-280%:00:00 2020.06.21 23:00:00 mleachmand0@ gmail.com 2020-03-16 05:00:00 2020-05-22 0000.00 _jehnter336@hotmsiLcom 2020.03.21 13:00:00 2020.06.15 2300-00 abusetor'224@protenmail.com 2020-05-04 02:00:00 2020-06-21 23:00:00 fbiteiays@protonmal.com 2020-05-25 08:00:00 2020.06.21 2300-00 Nichaelyons12245@hatmail con 2020-05-26 1:00:00 2020-06-21 2300.00 stayhomeusetor@protonncilch 2020.06.02 08:00:00 2020.06.11 2300-00 joycecbarrera@hotmail.com 2020-01-malicious-extsesy hosted with @ by Gittus view raw Image : Nusenu Néanmoins, Nusenu a également ajouté que depuis le dernier démantélement, “ily a de multiples indicateurs qui suggarent que 'attaquant continue de maitriser un peu plus de 10% de la capacité de iede 2020 09 18." [ | Se connecter | Devenir membreLe chercheur a suggéré que le groupe malveillant est susceptible de poursuivre son attaque car le projet Tor n'a pas de processus de vérification approfondie en place pour les entités qui peuvent rejoindre son réseau. Bien que l'anonymat soit une caractéristique essentielle du réseau Tor, le chercheur soutient qu'un meilleur contréle peut étre mis en place au moins pour les opérateurs de relais de sortie. Une attaque similaire a eu lieu en 2018 Une attaque quelque peu similaire a celle-ci a eu lieu en 2018 ; cependant, elle ne visait pas les relais de sortie Tor mais les proxys Tor-to-web (Tor2Web). Ces portails web sur internet public permettent aux utilisateurs d'accéder a des adresses .onion habituellement accessibles uniquement via le navigateur Tor. Arépoque, la société de sécurité américaine Proofpoint a rapporté qu'au moins un opérateur proxy Tor-to-web remplagait discretement les adresses Bitcoin des utilisateurs accédant aux sites de paiement de rangon d'attaques aux ransomware, détournant le paiement et laissant les victimes sans clé de dechiffrement. Source : "ZDNet.com" Tor A lire aussi : Saturer le réseau Tor : pour une poignée de dollars ? Selon une étude uriverstaire, des attaguants pouraintinonder les pots Tor avec seulement 17000 dors par mois et Suiver toute factualité de ZONet sur Google Actualités. Sujet: Cyberséeurité Cyberattaque CybereriminalitéChifrement ‘Suivre via Par Catalin Cimpana | Mardi 11 Aodt 2020, alg Réactions 9 Tweat ps + Articles relatifs = Les autorités font tomber deux marchés noirs basés sur Tor - 03/05/2019 Le trafic Tor provenant d'applications Android peut tre détecté avec une précision de 97% 19/02/2019 Se connecter | Devenir membreLa NSA cible TOR et Tails pour débusquer leurs adeptes 04/07/2014 ‘Attaques DDoS : La Poste et le Crédit Agricole hors ligne pendant une demi-journge osyo2/2024 Contenus partenaires a NordPass : la solution pour ne plus s'embéter avec les mots de passe ES Testeurs-pro : expérimentez le stockage haute densité du Synology HD65O0 ! Protégez votre messagerie et bénéficiez de 3 mois offerts b i Stockage Objet : ol! en est-on ? Contenus sponsorisés Réagissez a l'article Connectez vous ou Enregistrez-vous pour commencer la discussion Les guides pratiques 4 facons d'aider votre entreprise a surmonter I'inertie en matiére @'TA, 6/02/2024 Linkedin : Comment et pourquoi ajouter des certifications professionnelles & votre profil ? 02/02/2024 Comment ajouter des fichiers locaux sur Spatify ? 26/01/2024 Comment créer des playlists sur YouTube ? 32/01/2024 Comment créer rapidement et facilement une liste déroulante dans Excel ? 09/01/2024 Voir tous les guides » ZDNet.fr Se connecter | Devenir membreLe meilleur de ZDNet, chez vous La nouvelle newsletter de ZDNET Recevez le meilleur de 'actualité IT Pro chaque jour dans votre botte mail E-Mail Powercenter Optimisez le potentiel de vos équipes pour le traval hybride Bumble : un nouveau avec de I'IA pour éliminer les faux profils osyo2/2024 {étecteur de supercheri Roblox : le nouveau traducteur de chat gére 16 langues en temps réel 8/02/2024 Caiscount s'engage doucement mais sGrement sur "TA générative osyo2/2024 1A, publicité et rentabilité : Mirakl franchit un tournant, 08/02/2024 Pourquol la France cherche des alliés européens sur les sujets tech 07/02/2024 Se connecter | Devenir membreSignaler sonters — Téidsharger Copyright © 2024 ZDNET, A RED VENTURES COMPANY. ALL RIGHTS RESERVED. CUP interactive SAS (France). Tous droits réserots. Mentions légales | Conditions générales d'utilisation | Politique de protection des données personneles | Cookies | Foire aux questions - Vos choix ‘concernant utilisation de cookies | Paramétrer les cookies | ‘Se connecter | Devenir membre