Сотни вредоносных узлов в сети Tor используются для деанонимизации пользователей

Серверы Tor должны содержать контактную информацию, например электронную почту, чтобы можно было связаться с их операторами в случае неправильной конфигурации или отправить отчёт о злоупотреблении. Но жёсткого контроля за этим нет, поэтому в сети часто появляются серверы без контактов. В 2019 году Nusenu заметил закономерность среди таких серверов и пришёл к выводу, что они работают по крайней мере с 2017 года.

По его словам, серверы злоумышленников обычно расположены в центрах обработки данных, разбросанных по всему миру, и сконфигурированы в первую очередь как входные и промежуточные узлы (точек выхода крайне мало). Это странно, так как большинство хакеров сосредотачиваются именно на выходных узлах, чтобы вмешиваться в трафик. Например, один из злоумышленников, которого отслеживает Nusenu, запускал тысячи вредоносных выходных узлов Tor, чтобы подменять адреса биткоин-кошельков и перехватывать платежи пользователей.

Эксперт решил, что группа пытается собрать информацию о пользователях, которые подключаются к сети Tor. В своем исследовании Nusenu пишет, что в какой-то момент 16% пользователей подключались к сети Tor через один из серверов KAX17. Шанс попасть на промежуточный узел злоумышленников составлял 35%, на выходной узел — 5%.

Nusenu говорит, что уведомляет разработчиков Tor Project о происходящем с прошлого года, и осенью 2020-го они удалили все серверы KAX17. Но почти сразу же заработала следующая партия вредоносных узлов, и идентифицировать её быстро не удалось. В итоге несколько сотен вредоносных серверов были удалены только в этом октябре и ноябре.

Что именно представляет собой KAX17 и кто стоит за этой деятельностью, Nusenu и разработчики Tor Project не знают. Пока все признаки указывают на неких «правительственных хакеров», которые хорошо обеспечены и могут арендовать сотни серверов по всему миру, не получая от своей операции прямой финансовой выгоды.

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.