ИБ-исследователь, известный под псевдонимом Nusenu, заявил, что идентифицировал хак-группу KAX17, которая управляла тысячами вредоносных узлов Tor (включая входные, промежуточные и выходные). Эксперт считает, что злоумышленники активны как минимум с 2017 года и пытаются деанонимизировать пользователей Tor.
На пике своей активности KAX17 поддерживала работу более 900 вредоносных серверов в сети Tor, которая обычно состоит из 9000-10000 активных серверов в день.
В нормальных обстоятельствах серверы в сети Tor должны содержать контактную информацию (такую как адрес электронной почты), чтобы администраторы и правоохранительные органы могли связаться с их операторами в случае неправильной конфигурации или отправить отчет о злоупотреблении. Увы, несмотря на это правило, в сети Tor часто появляются серверы без контактной информации, так как жесткого контроля за этим нет.
Nusenu заметил определенную закономерность среди серверов без контактной информации. Впервые исследователь обратил на это внимание еще в 2019 году и пришел к выводу, что активность продолжается как минимум с 2017 года.
По словам специалиста, серверы злоумышленников обычно расположены в центрах обработки данных, разбросанных по всему миру, и сконфигурированы в первую очередь как входные и промежуточные узлы (точек выхода крайне мало). Эксперт говорит, что это странно, так как большинство злоумышленников, как правило, сосредотачиваются именно на выходных узлах, что позволяет им вмешиваться в трафик. Например, злоумышленник, которого Nusenu отслеживает под идентификатором BTCMITM20, запускал тысячи вредоносных выходных узлов Tor, чтобы подменять адреса биткоин-кошельков и перехватывать платежи пользователей.
Поведение KAX17 навело эксперта на мысль о том, что группа пытается собрать информацию о пользователях, подключающихся к сети Tor. В своем исследовании Nusenu пишет, что в какой-то момент 16% пользователей подключались к сети Tor через один из серверов KAX17. Шанс попасть на промежуточный узел злоумышленников составлял 35%, и на выходной узел — 5%.
Nusenu говорит, что уведомляет разработчиков Tor Project о происходящем с прошлого года, и осенью 2020 года те удалили все серверы KAX17. Однако следующая партия вредоносных узлов заработала почти сразу после этого, и идентифицировать ее быстро не удалось. В итоге несколько сотен вредоносных серверов были удалены только в октябре и ноябре текущего года.
Что именно представляет собой KAX17, и кто стоит за этой активностью, Nusenu и разработчики Tor Project могут только гадать. Пока все признаки указывают на неких «правительственных хакеров», которые хорошо обеспечены ресурсами и могут арендовать сотни серверов по всему миру, не получая от своей операции прямой финансовой выгоды.