無畏曝光，繼續攻擊Tor(The Onion Router，洋蔥路由)是一個成熟的匿名上網工具，可以幫助用戶匿名上網，同時可以提供服務器端的匿名，所以 Tor 既可以用來瀏覽普通網絡也可以訪問暗網。薩里大學教授兼歐洲刑警組織網絡犯罪部門顧問 Alan Woodward 指出，在斯諾登事件之前，訪問 Tor 網絡的人數大約有 100 萬，之后，這一數字飆升到了 600 萬。

去年 8 月，一位叫 Nusenu 的安全研究人員和 Tor 節點運營商 首次記錄 并曝光了這些攻擊。攻擊者有選擇地刪除 HTTP 到 HTTPS 重定向，以完全訪問普通的未加密 HTTP 信息，而不會引起 TLS 證書警告，并用他們自己的地址來替代加密貨幣地址，然后劫持交易為自己牟利。

在研究發表前，攻擊者已經三次用惡意的 Tor 出口中繼充斥 Tor 網絡，每次被 Tor 團隊關閉之前，他們的攻擊都會達到 Tor 網絡出口總容量的約 23%。惡意攻擊在去年 5 月 22 日達到 380 臺服務器的峰值，當時該組控制了所有 Tor 出口中繼的 23.95%，使 Tor 用戶有四分之一的機會登陸到惡意出口中繼。

“比特幣地址重寫攻擊并不新鮮，但其操作規模卻很大。”Nusenu 表示，根據用于惡意服務器的聯系電子郵件地址，駭客跟蹤了至少七個不同的惡意 Tor 出口中繼群集，這些群集是在七個月內被添加的。

與上次攻擊一樣，Nusenu 最新檢測到的這次攻擊也是從 Tor 網絡中刪除惡意 Tor 出口中繼。不過攻擊行為一直都在進行，大概已經持續一年之久。

來源: Nusenu

Nusenu 推測，駭客攻擊行為一直沒有被發現的主要原因在于，他們每次添加惡意出口中繼的數量都很小，以便通過雷達的監控，但這些都會隨著時間慢慢積累。

但本月早些時候，駭客改變了策略，很可能是因為他們的基礎設施再次被摧毀，他們試圖讓所有服務器同時上線。

最近的一次攻擊是在 Tor 網絡的出口容量從每日 1500 次左右增加到超過 2500 次之后的一天內被發現的，這個峰值在 Tor 內部任何人都無法忽視。

但盡管有超過 1000 臺服務器被關閉，Nusenu 表示，截至 2021 年 5 月 5 日，攻擊者仍然控制著整個 Tor 網絡退出能力的 4% 至 6%，SSLStrip 攻擊仍在繼續。

此外，Nusenu 還表示，自去年以來，攻擊者似乎還在 SSLStrip 攻擊后進行下載修改，但尚不清楚他們究竟篡改了什么，或攻擊者是否使用了其他技術。

短期難解決

去年，為了減輕此類攻擊，Tor 就表示網站將啟用 HTTPS(經加密，身份驗證的版本)，并添加一個“全面修復”功能來禁用 Tor 瀏覽器中的普通 HTTP(未加密、未經身份驗證的版本)。

同時，Tor 表示將加強監控，一旦發現惡意中繼便會立即處理。但會面臨兩個問題：

• 很難判斷一個未知中繼是否惡意，這導致在沒有觀察到攻擊行為情況下是否應該對其保留成為一個問題。
• 給定一組未知的中繼，很難判斷它們是否相關，即是否屬于 Sybil 攻擊。

2019 年，Tor 創建了一個監控網絡情況的 Network Health 團隊，該團隊可以幫助更快、更全面地識別惡意中繼。但由于疫情影響，Tor 公司裁員三分之一，該監控團隊也被解散。目前，Tor 沒有足夠的人力來專門解決這個事情。

美國網絡安全與基礎設施安全局 (CISA) 在 2020 年 7 月的一份報告中表示，成為通過 Tor 路由的惡意活動目標的風險是每個組織特有的。一個組織應該通過評估攻擊者將其系統或數據作為目標的可能性，以及在當前控制措施下攻擊者成功的可能性，并以此來確定個人風險。

其實，早在 2018 年發生了類似的對 Tor 的攻擊，但當時針對的 Tor-to-web(Tor2Web)代理 - 公共互聯網上的 Web 門戶，而非 Tor 出口中繼。

當時的美國安全公司 Proofpoint 報告稱，至少有一個 Tor-to-web 代理運營商正在悄悄地為訪問打算支付贖金要求的勒索軟件支付門戶的用戶替換比特幣地址。這樣攻擊者可以有效劫持付款，使受害者即使支付了贖金也沒有解密密鑰。

Tor 雖被認為是互聯網上用于保護隱私最有力的工具之一，但安全問題也是不可忽略的。