05/11/24
В последние дни операторы узлов Tor начали массово получать уведомления о злоупотреблениях. Уведомления касаются неудачных попыток входа по SSH, вызванных якобы атаками с их узлов, что указывает на брутфорс-атаки, пишет Securitylab.
Обычно узлы Tor только передают трафик между исходным и конечным узлом сети Tor и не должны инициировать SSH-подключения к открытым хостам в интернете, тем более с брутфорс-атаками. Однако анализ от исследователя под псевдонимом «delroth» показал, что большинство узлов Tor не генерировали SSH-трафика.
Выяснилось, что злоумышленники подделывают IP-адреса узлов Tor, проводя масштабную брутфорс-атаку на honeypots и сети с системами обнаружения вторжений, которые автоматически отправляют жалобы на подозрительную активность, что приводит к ложным уведомлениям о злоупотреблениях в адрес узлов Tor.
В результате хосты, на которые поступают многочисленные неудачные попытки входа, попадают в чёрные списки, получают множество уведомлений о нарушениях, а их IP-адреса приобретают «плохую репутацию». Это приводит к тому, что многие провайдеры отключают такие хосты, иногда без возможности апелляции.
Атаки имеют цель подорвать инфраструктуру узлов Tor, создавая завал жалобами на злоупотребления. На данный момент вредоносная деятельность носит умеренный характер, а злоумышленники остаются неизвестными.
Пока операторов узлов Tor призывают подавать заявления и разворачивать дополнительные узлы взамен потерянных, а самих провайдеров просят тщательнее проверять жалобы, чтобы избежать ложных блокировок.
