Support us

Сотни вредоносных узлов в сети Tor используются для деанонимизации пользователей

ИБ-специалист под псевдонимом Nusenu вычислил хакерскую группировку (или хакера) KAX17, которая контролировала тысячи вредоносных узлов Tor, включая входные, промежуточные и выходные. Эксперт считает, что злоумышленники орудуют минимум с 2017 года и пытаются деанонимизировать пользователей Tor. На пике своей активности KAX17 поддерживала работу более 900 вредоносных серверов в сети Tor, которая обычно насчитывает 9-10 тысяч активных серверов в день.

Оставить комментарий
Сотни вредоносных узлов в сети Tor используются для деанонимизации пользователей

ИБ-специалист под псевдонимом Nusenu вычислил хакерскую группировку (или хакера) KAX17, которая контролировала тысячи вредоносных узлов Tor, включая входные, промежуточные и выходные. Эксперт считает, что злоумышленники орудуют минимум с 2017 года и пытаются деанонимизировать пользователей Tor. На пике своей активности KAX17 поддерживала работу более 900 вредоносных серверов в сети Tor, которая обычно насчитывает 9-10 тысяч активных серверов в день.

Серверы Tor должны содержать контактную информацию, например электронную почту, чтобы можно было связаться с их операторами в случае неправильной конфигурации или отправить отчёт о злоупотреблении. Но жёсткого контроля за этим нет, поэтому в сети часто появляются серверы без контактов. В 2019 году Nusenu заметил закономерность среди таких серверов и пришёл к выводу, что они работают по крайней мере с 2017 года.

По его словам, серверы злоумышленников обычно расположены в центрах обработки данных, разбросанных по всему миру, и сконфигурированы в первую очередь как входные и промежуточные узлы (точек выхода крайне мало). Это странно, так как большинство хакеров сосредотачиваются именно на выходных узлах, чтобы вмешиваться в трафик. Например, один из злоумышленников, которого отслеживает Nusenu, запускал тысячи вредоносных выходных узлов Tor, чтобы подменять адреса биткоин-кошельков и перехватывать платежи пользователей.

Эксперт решил, что группа пытается собрать информацию о пользователях, которые подключаются к сети Tor. В своем исследовании Nusenu пишет, что в какой-то момент 16% пользователей подключались к сети Tor через один из серверов KAX17. Шанс попасть на промежуточный узел злоумышленников составлял 35%, на выходной узел — 5%.

Nusenu говорит, что уведомляет разработчиков Tor Project о происходящем с прошлого года, и осенью 2020-го они удалили все серверы KAX17. Но почти сразу же заработала следующая партия вредоносных узлов, и идентифицировать её быстро не удалось. В итоге несколько сотен вредоносных серверов были удалены только в этом октябре и ноябре.

Что именно представляет собой KAX17 и кто стоит за этой деятельностью, Nusenu и разработчики Tor Project не знают. Пока все признаки указывают на неких «правительственных хакеров», которые хорошо обеспечены и могут арендовать сотни серверов по всему миру, не получая от своей операции прямой финансовой выгоды.

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
Украинские хакеры вычислили базу российских военных, притворившись девушками в соцсетях
2 комментария
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
На хакерской конференции показали обновлённый кабель для взлома любых устройств
На хакерской конференции показали обновлённый кабель для взлома любых устройств
На хакерской конференции показали обновлённый кабель для взлома любых устройств
Android 13 взломали практически сразу, как она вышла
Android 13 взломали практически сразу, как она вышла
Android 13 взломали практически сразу, как она вышла

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.