据 Gizmodo 网站 12 月 5 日报道,新的研究表明,有人在 Tor 网络上运行数百个恶意服务器,可能是为了使用户去匿名化并暴露他们的网络活动。 根据最早的记录,该活动似乎来自一位经验丰富且持久的用户,他多年来一直以某种方式运行大量高带宽服务器。
Tor攻击路由软件,也被称为“洋葱路由器”,是世界领先的在线隐私平台,其软件和相关网络旨在通过隐藏 IP 地址和加密流量来保护用户的网页浏览活动免受审查。 该网络最初于 2002 年启动,之前曾经历过攻击和恶意活动,尽管最近的这些活动似乎表现出比典型网络犯罪分子更复杂的特征。
图片来自:谷歌
该恶意服务器最初是由一位化名“Nusenu”的安全研究人员发现的,他在 Tor 网络上运行了自己的节点。 Nusenu 在他们的媒体上写道,他们于 2019 年首次发现了威胁行为者的证据,并将其称为“KAX17”。 经过对 KAX17 的进一步研究,他们发现 KAX17 早在 2017 年就在网络上活跃。从本质上讲,KAX17 似乎正在运行 Tor 网络的大部分内容,可能是希望能够追踪特定网络用户的路径,并揭开他们的面具。
然而,由于 Tor 网络中的节点是自愿运行的,用户无需经过任何类型的背景检查即可运行其中一个或几个节点,而且威胁行为者设置节点以期达到目的的情况也并非闻所未闻。出于某种原因或其他原因攻击用户。 然而,就 KAX17 而言,该威胁行为者似乎拥有比普通暗网恶意内容更多的资源:他们在世界各地运行着数百个恶意服务器。
努塞努写道,这些活动相当于“运行 tor 网络的很大一部分”。 还有证据表明,威胁行为者参与了 Tor 论坛讨论攻击路由软件,期间他们似乎游说反对从网络中删除其服务器的行政行动。
尽管如此,洋葱网络当局显然多次尝试将 KAX17 从网络中踢出。 2019 年 10 月,Tor 目录管理局删除了该威胁参与者的许多服务器。 然而,在这两种情况下,威胁行为者都能够立即恢复并开始重新集结。
(编译:陆宁)