Сотни вредоносных узлов в сети Tor используются для деанонимизации пользователей
ИБ-специалист под псевдонимом Nusenu вычислил хакерскую группировку (или хакера) KAX17, которая контролировала тысячи вредоносных узлов Tor, включая входные, промежуточные и выходные. Эксперт считает, что злоумышленники орудуют минимум с 2017 года и пытаются деанонимизировать пользователей Tor. На пике своей активности KAX17 поддерживала работу более 900 вредоносных серверов в сети Tor, которая обычно насчитывает 9-10 тысяч активных серверов в день.
Серверы Tor должны содержать контактную информацию, например электронную почту, чтобы можно было связаться с их операторами в случае неправильной конфигурации или отправить отчет о злоупотреблении. Но жесткого контроля за этим нет, поэтому в сети часто появляются серверы без контактов. В 2019 году Nusenu заметил закономерность среди таких серверов и пришел к выводу, что они работают по крайней мере с 2017 года.
По его словам, серверы злоумышленников обычно расположены в центрах обработки данных, разбросанных по всему миру, и сконфигурированы в первую очередь как входные и промежуточные узлы (точек выхода крайне мало). Это странно, так как большинство хакеров сосредотачиваются именно на выходных узлах, чтобы вмешиваться в трафик. Например, один из злоумышленников, которого отслеживает Nusenu, запускал тысячи вредоносных выходных узлов Tor, чтобы подменять адреса биткоин-кошельков и перехватывать платежи пользователей.
Эксперт решил, что группа пытается собрать информацию о пользователях, которые подключаются к сети Tor. В своем исследовании Nusenu пишет, что в какой-то момент 16% пользователей подключались к сети Tor через один из серверов KAX17. Шанс попасть на промежуточный узел злоумышленников составлял 35%, на выходной узел - 5%.
Nusenu говорит, что уведомляет разработчиков Tor Project о происходящем с прошлого года, и осенью 2020-го они удалили все серверы KAX17. Но почти сразу же заработала следующая партия вредоносных узлов, и идентифицировать ее быстро не удалось. В итоге несколько сотен вредоносных серверов были удалены только в этом октябре и ноябре.
Что именно представляет собой KAX17 и кто стоит за этой деятельностью, Nusenu и разработчики Tor Project не знают. Пока все признаки указывают на неких "правительственных хакеров", которые хорошо обеспечены и могут арендовать сотни серверов по всему миру, не получая от своей операции прямой финансовой выгоды.