Еще в прошлом месяце операторы ретрансляторов Tor и системные администраторы проекта начали получать от провайдеров жалобы на массовое сканирование портов. Как выяснилось, эти жалобы были связаны со скоординированной атакой и спуфингом IP-адресов: злоумышленники подменяли другие IP-адреса, связанные с Tor, чтобы создать впечатление, что от сети Tor исходят массовые сканирования портов.
Начиная с 20-х чисел октября специалисты Tor Project проводили расследование происходящего совместно с экспертами InterSecLab и GreyNoise. В итоге, 7 ноября 2024 года источник атаки был обнаружен, и в настоящее время проблему удалось разрешить.
В блоге проекта сообщается, что атака была направлена на «нарушение работы проекта Tor и сети Tor». Злоумышленники использовали спуфинговые SYN-пакеты, чтобы создать впечатление, что IP-адреса ретрансляторов Tor являются источниками массовых сканирований портов.
Такая активность не могла остаться незамеченной и привела к появлению многочисленных автоматических жалоб на злоупотребления. Предполагается, что целью злоумышленников было нарушение работы сети Tor и Tor Project, так как IP-адреса в итоге попадали в списки блокировок.
Оператор ретранслятора Tor Пьер Бурдон (Pierre Bourdon) в подробностях рассказал о том, как именно осуществлялась эта атака.
Теперь разработчики уверяют, что инцидент никак не повлиял на пользователей Tor и их безопасность.
«Атака оказала ограниченное влияние на сеть Tor, привела к временному отключению нескольких ретрансляторов, стала причиной лишнего стресса и неудобств для многих операторов ретрансляторов, которые были вынуждены реагировать на поступающие жалобы. Хотя эта атака была направлена на наше сообщество, атаки со спуфингом IP-адресов могут произойти с любым онлайн-сервисом, — пишет команда Tor Project. — Впереди еще много работы: нам нужно поддержать операторов ретрансляторов в восстановлении их учетных записей и помочь провайдерам разблокировать IP-адреса узлов Tor directory authority».
Представители Tor Project пишут, что в ходе расследования и устранения последствий этой атаки им пришлось столкнуться «со случаями непрофессионального поведения, когда отказ от расследования и беспечность только усиливали последствия атаки». Но также разработчики благодарят за помощь и поддержку многие организации и частных лиц, которые не остались в стороне.
Также отмечается, что большая часть сообщений о фиктивных атаках исходила от watchdogcyberdefense[.]com, и Tor Project призывает ИБ-сообщество относиться к этим предупреждениям с осторожностью.