Вредоносный узел TOR нашли в России

Специалисты из компании Leviathan Security Group Ссылка доступна только зарегистрированным пользователям на территории России. Он дописывает бинарный код в конец файлов, которые пользователь скачивает из интернета. Tor — хороший инструмент для обеспечения анонимного доступа. Но анонимность не означает безопасность.

Исследователи говорят, что такое поведение сервера можно рассматривать как разновидность MiTM-атаки.


Для демонстрации подобной уязвимости разработчики из Leviathan Security Group выпустили программу Ссылка доступна только зарегистрированным пользователям, которая модифицирует исполняемые файлы, добавляя к ним произвольный код. Автор программы BDF объясняет принцип её работы в демонстрации на видео (выступление записано на хакерской конференции DerbyCon 2014).


О вредоносном российском узле уведомлены координаторы проекта Tor, так что сейчас онСсылка доступна только зарегистрированным пользователям (флаг BadExit). Пользователи сети Tor должны принять эту информацию к сведению.

Нужно отметить, что из 1110 выходных узлов в сети Tor это был единственный, который добавлял вредоносный код к бинарникам. Все остальные проверены и не осуществляют ничего подобного. Хотя, это нельзя гарантировать наверняка: узлы могут действовать избирательно и модифицировать только часть файлов, чтобы не проявить себя при проверке.