9 августа некий Nusenu, владелец выходной ноды в TOR, опубликовал пост, в котором заявил, что более 23% всех выходных нод находятся под контролем злоумышленников, которые перехватывают трафик пользователей и подменяют на лету Bitcoin кошельки в попытке увести чужие средства. Оригинал статьи находится здесь.
Истинный масштаб операций этой группы неизвестен, но их главной целью является получение прибыли. Злоумышленники осуществляют атаки man-in-the-middle на пользователей Tor и манипулируют трафиком, проходящим через подконтрольные им выходные узлы. Особенность ситуации в том, что атакующие применяли технику sslstrip, которая почему-то считается давно умершей и утратившей актуальность. Пока т.н. специалисты твердят об HTTP Strict Transport Security (= HSTS) и прочих preloaded списках доменов, сетевые злодеи вовсю эксплуатируют старую технику. В свое время Эдвард Сноуден использовал такие же приемы в своей деятельности.
Таким образом группировка подменяет биткоин-адреса внутри HTTP-трафика, связанного с миксер-сервисами. Подобные сервисы помогают «запутать следы», превращая простой перевод средств с одного аккаунта на другой в сложную схему: вместо одной транзакции сервис разбивает нужный платеж на сотни или тысячи мелких переводов, которые отправляются на разные аккаунты и проходят через множество кошельков, прежде чем достигнут истинной цели. То есть, подменяя адреса на уровне HTTP-трафика, злоумышленники эффективно перехватывают средства жертв, без ведома как самих пользователей, так и криптовалютных миксер-серсивов.
Предлагаю вам ознакомиться с двумя видео роликами. В первом рассказывается история и суть атаки sslstrip, которая позволяет обрезать https ссылки и перехватывать данные предназначенные для ssl сессии.
Во втором рассказывается о механизме HSTS, который призван предотвратить использование техники sslstrip. Кроме этого в ролике демонстрируется способ обхода HSTS при помощи инструмента Intercepter-NG и объясняется принцип действия.
Также рекомендую ознакомиться со следующим интервью, в котором затрагиваются вопросы MiTM атак и возможные способы защиты от них.