Haberler
Tor Tarayıcısındaki Kullanıcı Faaliyetlerinin Yüzde 27’si Siber Casusluğa Maruz Kaldı
Dark Web’in altyapısına yönelik yeni bir araştırma, bilinmeyen siber tehdit aktörünün Şubat 2021’de Tor trafiğinin yaklaşık yüzde 27’lik kapasitesini kontrol edebildiğini gösterdi.
Beyaz şapkalı hacker tarafından yapılan araştırmada, siber tehdit aktörünün bir yılı aşkın süredir Tor kullanıcılarının tarayıcı faaliyetlerini takip ettiği ve geride kalan 12 ayda ortalama trafiğin yüzde 14’ünü görebildiği ifade edildi.
Aralık 2019’da temellerinin atıldığı ve Ocak 2020’de saldırılara dönüştüğü anlaşılan tehdit ilk olarak Ağustos 2020’de tespit edildi. Açık kaynaklı bir tarayıcı olan ve Dark Web’e erişim için kullanılan Tor, kullandığı çok sayıdaki nod ile kullanıcıların IP adreslerini saklayan ve denetimlerden koruyan kademeli bir ağ altyapısına sahip. Orta kademeli nod (relay) ağdan gelen trafiği kontrol ederken, exit relay olarak bilinen en son kademe ise bilginin kullanıcıya ulaşmadan önceki son basamağını temsil ediyor.
Çıkış nodları geçmişte kötü amaçlı OnionDuke yazılımı ile saldırı düzenlenmesi için kullanılmış olsa da, ilk kez nodların bu kadar yüksek kapasitede bir tehdit aktörü tarafından uygulandığı tespit edildi.
Siber saldırı unsurunun Ağustos 2020 itibarıyla 380 kötü amaçlı Tor çıkış nodunu kontrol edebildiği anlaşıldı. Saldırganın daha sonra 1.000 yeni nodu daha kontrol altına almaya çalıştığı not edildi. Saldırıların ikinci dalgasında tespit edilen çıkış nodlarının kaldırıldığı belirtildi.
Güvenlik uzmanına göre, saldırının amacı çıkış nodları ile veri trafiğini yönlendirerek kullanıcılara “man-in-the-middle” (aradaki kişi) saldırıları düzenlemek. Saldırı kapsamında Bitcoin hizmetlerine trafiği azaltmak için “SSL stripping” saldırısı düzenlendiği de kaydediliyor. SSL stripping, güvenli web sayfalarını HTTPS’ten HTTP seviyesine indiriyor. Ardından, siber saldırganın Bitcoin işlemlerinde girilen cüzdan adreslerini değiştirerek kendi cüzdanlarına yönlendirme yaptıkları belirtildi.
Kripto para işlemleri yapmak için bir platforma giren kullanıcı, sayfanın http olduğunu fark etmeden hassas bilgileri üzerinden işlem yaparsa, bilgilerini çaldırabiliyor.
Öte yandan Tor Projesi, bu tür saldırıların önüne geçilmesi için web sayfası yöneticilerinin HTTPS standardını daima kullanmalarını, .onion dark web sayfalarının çıkış nodları kullanmamasını önerdi. Ayrıca, Tor tarayıcısında düz metin HTTP’yi kaldırmak için kapsamlı güncelleme yapılacağı ifade edildi.
