Загадочный трафик и ложные блокировки: зачем неизвестные атакуют узлы Tor?

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,665
Репутация
46
Сделок
Угроза безопасности нарастает, и её масштаб уже не скрыть.

t.jpg

В последние дни операторы узлов Tor начали массово получать уведомления о злоупотреблениях. Уведомления касаются неудачных попыток входа по SSH, вызванных якобы атаками с их узлов, что указывает на брутфорс-атаки.

Обычно узлы Tor только передают трафик между исходным и конечным узлом сети Tor и не должны инициировать SSH-подключения к открытым хостам в интернете, тем более с брутфорс-атаками. Однако анализ от исследователя под псевдонимом «delroth» показал, что большинство узлов Tor не генерировали SSH-трафика.

Выяснилось, что злоумышленники подделывают IP-адреса узлов Tor, проводя масштабную брутфорс-атаку на honeypots и сети с системами обнаружения вторжений, которые автоматически отправляют жалобы на подозрительную активность, что приводит к ложным уведомлениям о злоупотреблениях в адрес узлов Tor.

В результате хосты, на которые поступают многочисленные неудачные попытки входа, попадают в чёрные списки, получают множество уведомлений о нарушениях, а их IP-адреса приобретают «плохую репутацию». Это приводит к тому, что многие провайдеры отключают такие хосты, иногда без возможности апелляции.

Атаки имеют цель подорвать инфраструктуру узлов Tor, создавая завал жалобами на злоупотребления. На данный момент вредоносная деятельность носит умеренный характер, а злоумышленники остаются неизвестными.

Пока операторов узлов Tor призывают подавать апелляции и разворачивать дополнительные узлы взамен потерянных, а самих провайдеров просят тщательнее проверять жалобы, чтобы избежать ложных блокировок.
 
Сверху