Загадочный трафик и ложные блокировки: зачем хакеры атакуют узлы Tor?

В последние дни операторы узлов Tor начали массово получать уведомления о злоупотреблениях. Уведомления касаются неудачных попыток входа по SSH, вызванных якобы атаками с их узлов, что указывает на брутфорс-атаки.

Обычно узлы Tor только передают трафик между исходным и конечным узлом сети Tor и не должны инициировать SSH-подключения к открытым хостам в интернете, тем более с брутфорс-атаками. Однако анализ от исследователя под псевдонимом «delroth» показал, что большинство узлов Tor не генерировали SSH-трафика.

Выяснилось, что злоумышленники подделывают IP-адреса узлов Tor, проводя масштабную брутфорс-атаку на honeypots и сети с системами обнаружения вторжений, которые автоматически отправляют жалобы на подозрительную активность, что приводит к ложным уведомлениям о злоупотреблениях в адрес узлов Tor.

В результате хосты, на которые поступают многочисленные неудачные попытки входа, попадают в чёрные списки, получают множество уведомлений о нарушениях, а их IP-адреса приобретают «плохую репутацию». Это приводит к тому, что многие провайдеры отключают такие хосты, иногда без возможности апелляции.

Атаки имеют цель подорвать инфраструктуру узлов Tor, создавая завал жалобами на злоупотребления. На данный момент вредоносная деятельность носит умеренный характер, а злоумышленники остаются неизвестными.

Пока операторов узлов Tor призывают подавать апелляции и разворачивать дополнительные узлы взамен потерянных, а самих провайдеров просят тщательнее проверять жалобы, чтобы избежать ложных блокировок.