自 2017 年以来,一位被称为“KAX17”的神秘个人或组织在 Tor 网络的入口、中间和出口位置运行了数千台恶意服务器,试图对 Tor 用户进行去匿名化。
跟踪为 KAX17 的威胁行为者在其高峰期运行了 Tor 网络的 900 多个恶意服务器部分,通常每日总量可达 9,000-10,000
这些服务器中的一些用作入口点,另一些用作中间中继,而另一些用作 Tor 网络的出口点。
他们的作用是在用户流量进入和离开 Tor 网络时对其进行加密和匿名化,创建一个巨大的代理服务器网状网络,在彼此之间建立连接并提供 Tor 用户急需的隐私。
添加到 Tor 网络的服务器通常必须在其设置中包含联系信息,例如电子邮件地址,以便 Tor 网络管理员和执法部门可以在配置错误或提交滥用报告的情况下联系服务器运营商。
然而,尽管有这条规则,没有联系信息的服务器经常被添加到 Tor 网络中,这并没有严格监管,主要是为了确保总是有足够多的节点来反弹和隐藏用户流量。
KAX17:非业余级别的威胁
但 Nusenu 的一名安全研究人员和 Tor 节点运营商本周透露,它在一些没有联系信息的 Tor 中继中观察到了一种模式,他在 2019 年首次注意到这种模式,并最终追溯到 2017 年。
Nusenu 将这些服务器归为 KAX17 保护伞,他说这个威胁行为者不断地将没有联系方式的服务器以工业数量添加到 Tor 网络,在任何给定点运行数百个服务器。
参与者的服务器通常位于遍布世界各地的数据中心,通常主要配置为入口和中间点,尽管 KAX17 也运行少量出口点。
Nusenu 说这很奇怪,因为大多数操作恶意 Tor 中继的威胁行为者往往专注于运行出口点,这允许他们修改用户的流量。例如,Nusenu 一直在跟踪作为 BTCMITM20 的威胁行为者运行了数千个恶意 Tor 出口节点,以替换网络流量中的比特币钱包地址并劫持用户付款。
KAX17 对 Tor 入口和中间中继的关注使 Nusenu 相信该组织(他将其描述为“非业余级别且坚持不懈”)正试图收集有关连接到 Tor 网络的用户的信息,并试图在其中绘制路线图。
在分享的研究中,Nusenu 表示,在某一时刻,Tor 用户有 16% 的机会通过 KAX17 的服务器连接到 Tor 网络,35% 的机会通过其中一个它的中间继电器,并有高达 5% 的机会通过一个出口。
研究 Tor 网络的独立研究员 Neal Krawetz 博士在一份报告中指出
中继和守卫的高概率绝对可以用于识别隐藏服务。它还可以用来揭开用户的神秘面纱——特别是如果你有其他一些方法来追踪经过守卫的中间中继,比如监控公共服务,
Nusenu 告诉 The Record,他自去年以来一直在向 Tor 项目报告 KAX17 的服务器,Tor 安全团队于 2020 年 10 月移除了 KAX17 的所有出口中继。
另一批没有联系信息的 Tor 出口中继在 2020 年 10 月移除后立即上线,但 Nusenu 表示他目前还无法将这些新服务器链接到 KAX17,即使它们很可能是。
今年删除了数百台 KAX17 Tor 服务器
Tor Project 的发言人在接受采访时证实了 Nusenu 的最新发现,并表示他们还在今年 10 月和 11 月移除了一批 KAX17 恶意中继。
一位发言人说
我们就查看了网络中的所有中继,并确定了很可能属于同一组的数百个中继,并于 11 月 8 日将其删除。
这并非学术研究
至于这群人的幕后黑手是谁,Nusenu 和 Tor Project 都没有去猜测。
Tor 项目发言人昨天早些时候在一封电子邮件
我们仍在调查这个攻击者,到目前为止无法提供任何归因的链接
然而,Nusenu 表示,KAX17 早年至少犯了一个操作安全 (OpSec) 错误,当时它的一些服务器确实具有电子邮件地址。
具有讽刺意味的是,攻击者重复使用同一封电子邮件来注册 Tor 项目邮件列表,然后参与讨论并主张反对删除其恶意服务器。
虽然所有迹象都表明一个国家级且资源充足的威胁行为者有能力在全球范围内租用数百台高带宽服务器而无需任何经济回报,Nusenu 解释了 KAX17 不太可能是在做 Sybil 攻击的学术研究。并提供了以下理由:
- 学术研究通常是有时间限制的。 KAX17 自 2017 年以来一直活跃。
- 研究人员不会参与削弱 Tor 邮件列表上的反恶意中继政策。
- 研究人员不会反对他们的移除,也不会用新的中继替换移除的中继。
- 基于研究的中继通 常在 1-2 个自主系统内运行,而不是 超过 50 个 AS。
- 学术研究中继通常会不到 100 个,而不是超过 500 个。
- 学术研究中继通常有一个中继 ContactInfo
- Tor 项目与学术研究社区会保持紧密联系