Даже если ты пользуешься защищённым сервисом через Tor, нельзя быть полностью уверенным в своей безопасности. В списке рассылки Tor обсуждают инцидент, который произошёл с почтой SIGAINT в даркнете.
Админ SIGAINT написал, что неизвестные лица заинтересовались их маленьким скромным проектом. Недавно они обнаружили 70 плохих выходных узлов, которые сканировали трафик почтового сервиса SIGAINT. Сразу после обнаружения их внесли в чёрный список BadExit.
Расследование показало, что злоумышленники работали несколько месяцев. За это время они испытали несколько эксплоитов против инфраструктуры SIGAINT.
Админ уверен, что защитные меры сработали хорошо. За несколько месяцев они получали ряд предупреждающих сообщений и вроде бы отбили все атаки, так что хакерам не удалось проникнуть на серверы SIGAINT. Судя по всему, они пытались изменить .onion URL сервера sigaint.org на один из своих адресов, чтобы организовать MiTM-атаку.
Пароли пользователей им тоже не удалось добыть. Админ говорит, что им приходят сообщения о взломе почтовых аккаунтов реже, чем раз в три месяца, хотя на сервисе около 42 тыс. почтовых ящиков.
Находка плохих выходных узлов для атаки на SIGAINT даёт основания предполагать, что они же могли использоваться для компрометации трафика других ресурсов даркнета. Админ SIGAINT считает, что за атакой стоит «какое-то агентство». По его оценке, плохие узлы составляли до 6% всех выходных узлов Tor и имели вероятность 2,7% прохода через них произвольного трафика с сервисов Tor. На сегодняшний день выходной узел можно организовать даже на Raspberry Pi, так что создание такой вредоносной сети не представляет большой проблемы.
