神秘组织正在运行数百个恶意 Tor 中继

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

至少从2017年起，威胁行动者就在 Tor 网络的入口、中间和出口位置运行着数千个恶意服务器，试图将 Tor 用户去匿名化。

该威胁组织被研究人员称为 “KAX17”，高峰时它运行着900多个恶意的Tor服务器，相当于每天总计运行着9000到10000个恶意服务器。其中某些服务器是入口点，有些是中继，有些是 Tor 网络的退出点。这些服务器的作用是当用户流量进入并离开 Tor 网络时对其进行加密和匿名化，从而创建大量代理服务器为用户提供隐私。

添加到 Tor 网络的服务器一般必须在设置时包含联系信息如邮件地址，以便 Tor 网络管理员和执法部门在遇到配置错误或滥用情况时联系服务器运营人员。然而，虽然存在这一规定，但一些不具有联系信息的服务器通常也会被添加至 Tor 网络，主要是为了确保有足够多的节点来跳转并隐藏用户流量。

KAX177：非等闲之辈

但一名安全研究员和 Tor 节点运营人员 Nusenu 表示，本周检测到某些Tor 中继模式没有联系信息，他首先在2019年注意到并最终追溯到2017年。

Nusenu 将这些恶意服务器统称为 KAX17。他表示威胁行动者不断将不具备联系信息的服务器大量添加到Tor 网络中，运营着数百台服务器。

这些恶意服务器通常位于全球的数据中心，一般主要配置为入口点和中继点，不过 KAX17 还运行着少量退出点。Nusenu 表示这种情况很奇怪，因为大多威胁行动者运行恶意 Tor 中继的目的是运行退出点，从而修改用户流量。例如，威胁组织 BTCMITM20 运行着数千个恶意 Tor 退出节点，目的是取代 web 流量中的比特币钱包地址并劫持用户款项。

KAX17 组织专注于 Tor 入口节点和中继点使Nusenu 认为该组织“并非业余水平且具有持久性“，试图收集连接至 Tor 网络的用户信息并试图映射其中的路由。

NUsenu 上周发布研究报告指出，16%的用户将通过 KAX17 组织的服务器连接至 Tor 网络， 35%的用户将通过其中继点，最多5%的用户将退出服务器。

Tor网络研究员 Neal Krawetz 博士指出，“中继和防护的较高概率可用于识别隐藏服务，也可用于取消隐藏用户，尤其是如果拥有其它手段追踪通过防护措施的中继如监控常见的公共服务。“

Nusenu 表示，已在去年将 KAX17 组织的服务器报告给 Tor 项目，Tor 安全团队在2020年10月删除了所有的退出中继。

虽然另外一些不含联系信息的 Tor 退出节点在2020年10月后立即出现在网络，但 Nusenu 表示尚无法将这些新的服务器和 KAX17 关联在一起，即使它们之间很可能存在关联。

数百台 KAX17 Tor 服务器被删除

Tor 项目发言人证实了 Nusenu 的最新研究成果并表示今年10月份和11月份已删除一些 KAX17 组织的恶意中继，“获得联系后，我们查看了网络中的所有中继并找到数百个很可能属于同一个组织的中继，并在11月8日删除。”

并非学术研究

置于KAX17组织的幕后黑手，Nusenu 或 Tor项目均未给出猜测。

Tor 项目的发言人表示正在调查，不便提供任何相关信息。然而，Nusenu 表示KAX17 至少在头几年犯了一个运营安全错误，其中一些服务器中含有一个邮件地址。

颇具讽刺意味的是，KAX17 组织复用同样的邮件地址注册了 Tor 项目组的邮件列表，之后参与讨论并反对删除恶意服务器。虽然所有迹象都表明KAX17 组织是一家国家级别的且资源丰富的威胁组织，能够负担起租赁数百台高带宽服务器而无需要求金钱回报，但研究员 Nusenu认为 KAX17 不可能是像 Sybil 攻击那样可以将 Tor 流量用户去匿名化的学术研究，他给出的理由如下：

• 学术研究一般具有时效性。KAX17 组织自2017年起就已活跃。

• 研究员并未参与 Tor 邮件列表的削弱反不良中继的策略讨论。

• 研究员不会反对删除恶意服务器，也不会以新的中继取代。

• 基于研究的中继通常在1到2个而非超过50个自动系统中运行。

• 研究性中继通常运行少于100个的中继，而非大于500个。

• 研究性中继通常不会具有一个中继联系信息。

• Tor Project 和研究社区关系良好。

---

推荐阅读

因多年不受重视，研究员公开2个未修复 Tor 0day且承诺再放3个

你是谁？从哪里来？未加密的 Tor 网络移动流量知道答案而你却束手无策

原文链接

https://therecord.media/a-mysterious-threat-actor-is-running-hundreds-of-malicious-tor-relays/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~