Nusenu adlı bağımsız bir güvenlik araştırmacısı tarafından pazar günü yayınlanan bir makalede, ‘’Tor kullanıcılarına saldıran ‘’kuruluş’’, bir yıldan uzun süredir kullanıcılarından aktif olarak fayda/istismar sağlıyor ve saldırılarının ölçeğini genişleterek yeni bir rekora imza attı. Bu kuruluşun kontrol ettiği ortalama çıkış oranı, son 12 ayda %14 bandını aştı.’’ değerlendirmelerinde bulundu. Bu, Aralık 2019’dan bu yana kötü amaçlı Tor faaliyetlerini çözümlemek için yapılan bir dizi çalışmanın sonuncusunu oluşturuyor. Ocak 2020’de başladığı tahmin edilen saldırılar ilk olarak Ağustos 2020’de yine aynı araştırmacı tarafından belgelendi ve ortaya kondu.
Tor, anonim bir şekilde internet kullanımını sağlayan açık kaynaklı bir yazılımdır. Bir kullanıcının IP adresini, konumunu ve faaliyetlerini gözetim ya da trafik analizinden gizlemek için ağ trafiğini bir dizi röle üzerinden yönlendirerek bir web isteğinin kaynağını ve hedefini gizler. Orta röleler genellikle Tor ağında ‘’trafik almakla’’ ve iletmekle ilgilenirken çıkış rölesi, Tor trafiğinin hedefine ulaşmadan önce geçtiği son düğümdür.
Tor ağındaki çıkış düğümleri geçmişte Onion Duke gibi kötü amaçlı yazılımları entegre etmek için subverte edilmişti, ancak bu, belirsiz tek bir aktörün Tor çıkış düğümlerinin bu kadar büyük bir bölümünü kontrol etmeyi başarması bakımından ilk olma özelliği taşıyor.
Tor yöneticileri ağdan düğümleri ayırmak için müdahalede bulunmadan önce Hacker kuruluşu Ağustos 2020’de 380 kötü amaçlı tor çıkış rölesi ile zirveye tutundu ardından bu yılın başlarında bir kez daha zirveyi gördü ve mayıs ayının ilk haftasında saldırgan binden fazla çıkış rölesi eklemeye çalıştı. Saldırıların ikinci dalgası esnasında tespiti yapılan tüm kötü amaçlı Tor çıkış röleleri kaldırıldı.
Nusenu’ya göre saldırının temel amacı, çıkış röleleri ağından geçerken trafiği manipüle ederek Tor kullanıcılarına “ortadaki kişi” saldırıları düzenlemektir. Özellikle, saldırgan, bitcoin adreslerini değiştirmek ve işlemleri kullanıcı tarafından yapılan bitcoin adreslerini cüzdanlarına yönlendirmek amacıyla bitcoin mixer hizmetlerine giden trafiği HTTPS’den HTTP’ye düşürmek için SSL strippinge başvuruyor gibi görünüyor.
Tor projesinin kontrolörleri geçen Ağustos ayında, bir kullanıcı bu sitelerden birinin HTTP sürümünü (şifrelenmemiş, kimliği doğrulanmamış sürümünü) ziyaret ederse, kullanıcıyı HTTPS sürümüne (yani şifrelenmiş, kimliği doğrulanmış sürümüne) yönlendirmesini engelleyeceğini açıkladı. Ayrıca, ‘’kullanıcı, sitenin HTTPS sürümünü kullanmadığını (tarayıcıda kilit simgesi olmadığını) fark etmez bu yüzden de özel bilgilerini göndermeye yahut almaya devam ederse, bu bilgiler saldırgan tarafından ele geçirilebilir.’’ifadeleri kullanıldı.
Tor projesi bu tür kötücül saldırıları azaltmak için Web sitesi idarecilerine HTTPS’yi varsayılan olarak etkinleştirmek, onion uzantılı çıkış düğümlerinden kaçınmak, Tor tarayıcısında HTTP’yi devre dışı bırakmak gibi bir dizi öneride bulundu.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Temmuz 2020’de ‘’Tor aracılığıyla yönlendirilen kötü amaçlı faaliyetlerin hedefi olma riski her kuruluş için farklıdır. Bir kuruluş, tehdit aktörünün sistemlerini veya verilerini hedefleme olasılığını mevcut azaltmalar ve kontroller göz önüne alındığında başarı olasılığını değerlendirerek bireysel riskini belirlemelidir.’’açıklamalarında bulunmuştu.
CISA ayrıca, ‘’Organizasyonlar, kuruluşlarına yönelik gelişmiş kalıcı tehditlerden (APT’ler), kısmen sofistike saldırganlardan ve geçmişte keşif ve saldırılar yapmak için Tor’dan yararlanan düşük vasıflı bireysel bilgisayar korsanlarından kaynaklanan tehditlere karşı azaltma kararlarını değerlendirmelidir.” dedi.
Editör : SavunmaTR Haber Merkezi
