2SDnjd76ePt
Сотни вредоносных узлов Tor используются для деанонимизации пользователей
По меньшей мере с 2017 года загадочный злоумышленник (или группировка), отслеживаемый специалистами по кибербезопасности как KAX17, добавлял вредоносные серверы в сеть Tor, действовавшие как входные, посреднические и выходные узлы. Как полагает исследователь в области безопасности, использующий псевдоним Nusenu, целью кампании являлась деанонимизация пользователей.
Nusenu, который сам является оператором узла Tor, обнаружил вредоносную активность в 2019 году, но, по его словам, KAX17 действует как минимум с 2017 года. По данным Nusenu, вредоносные серверы без контактной информации добавлялись в сеть Tor на постоянной основе, причем их количество исчислялось сотнями. На пике сеть включала более 900 вредоносных серверов.
Как правило, добавляемые в сеть Tor серверы должны содержать контактные данные (например, адрес электронной почты) для того, чтобы администраторы Tor или правоохранительные органы могли связаться с операторами узлов в случае некорректной конфигурации или сообщений о злоупотреблении. Несмотря на это правило, серверы без контактной информации часто добавляются в сеть, в основном для поддержания их количества.
Серверы KAX17 располагаются в дата-центрах по всему миру и в основном сконфигурированы как выходные и посреднические узлы, и только небольшое их количество работают как выходные узлы. Как отмечает Nusenu, это достаточно странно, поскольку большинство злоумышленников, управляющих вредоносными узлами, настраивают их как выходные ноды, что позволяет модифицировать трафик. Например, группировка BTCMITM20 управляла сетью из тысяч вредоносных выходных узлов для атак пользователей, посещающих связанные с криптовалютой сайты.
По мнению исследователя, KAX17 занимается сбором информации о пользователях, подключающихся к сети Tor, с последующим определением их маршрутов. Nusenu сообщил о своих находках команде Tor Project в прошлом году, в октябре 2020 года серверы были удалены из сети. Вскоре после этого в Tor появилась еще одна группа выходных узлов без контактной информации, но была ли она связана с KAX17, неясно.
В октябре и ноябре 2021 года Tor Project также удалил сотни серверов KAX17. Ни Nusenu, ни Tor Project пока не спекулируют о том, кто именно стоит за KAX17.
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
