Специалисты отразили попытку нарушения анонимности пользователей.
В конце октября администраторы Tor, операторы ретрансляторов и даже команда Tor Project начали получать жалобы на якобы проводимое их серверами сканирование портов. Как выяснилось позже, злоумышленники использовали поддельные IP-адреса, чтобы отправлять ложные сообщения о подозрительном трафике от имени Tor-узлов.
В результате расследования выяснилось, что причиной жалоб стала скоординированная атака с IP Spoofing. Атакующие подделывали IP-адреса невыходных ретрансляторов и других узлов сети Tor, что приводило к автоматическим жалобам на операторов. Специалистам удалось обнаружить источник ложных пакетов и устранить проблему 7 ноября.
Важно подчеркнуть, что данное происшествие не оказало влияния на пользователей Tor. Атака затронула только небольшое количество ретрансляторов, временно выведя их из строя. Тем не менее, операторам ретрансляторов пришлось столкнуться с волной жалоб и дополнительной нагрузкой из-за необходимости разбираться с провайдерами. Хотя атака была направлена на сообщество Tor, подобные действия с подделкой IP могут затронуть любой онлайн-сервис.
На данный момент перед проектом стоят задачи по поддержке операторов ретрансляторов: необходимо восстановить их аккаунты и помочь провайдерам разблокировать IP-адреса дирекционных узлов Tor. Операторам, чьи ретрансляторы всё ещё заблокированы, рекомендуется использовать инструмент OONI Probe и тест Circumvention для проверки доступности дирекционных узлов. Если они по-прежнему недоступны, следует обратиться к поддержке своего хостинг-провайдера.
Пострадавшие операторы также могут отправить своим провайдерам шаблонное письмо, объясняющее, что ретрансляторы стали жертвой атаки и не являются источником подозрительного трафика.
Критические дирекционные узлы сети Tor играют важнейшую роль в поддержании списка доступных ретрансляторов, и атака на них была направлена на то, чтобы нарушить работу всей сети. Злоумышленники использовали поддельные SYN-пакеты, чтобы создать иллюзию, будто IP-адреса Tor-ретрансляторов являются источниками сканирования. Это привело к блокировке IP-адресов в крупных дата-центрах, таких как OVH и Hetzner, по ложным жалобам.
Атака вызвала широкий отклик среди специалистов по кибербезопасности. Особенно ценной стала информация, предоставленная Пьером Бурдоном, который детально разобрал механизм атаки и поделился своими выводами с сообществом. Благодаря анализу Бурдона удалось глубже понять суть инцидента.
Ладно, не доказали. Но мы работаем над этим