Таинственная кибергруппа управляла сотнями узлов в сети Tor с 2017 года

Екатерина Быстрова 06 Декабря 2021 - 08:49

...

Таинственная кибергруппа управляла сотнями узлов в сети Tor с 2017 года

Таинственная киберпреступная группировка с 2017 года запустила тысячи серверов на входном, среднем и выходном уровнях «луковой» сети Tor. Исследователи в области кибербезопасности считают, что это была попытка деанонимизировать пользователей Tor. Группе присвоили имя KAX17.

По данным специалистов, на пике своей активности злоумышленники контролировали более 900 вредоносных серверов, часть которых служили входными точками, ещё часть — узлами среднего уровня и точками выхода.

Как правило, задача таких узлов заключается в шифровании и анонимизации трафика пользователей, когда он входит и покидает сеть Tor. Этого получается добиться за счёт создания гигантской сети прокси-серверов, перебрасывающих друг другу соединение.

Стоит отметить, что добавленные в Tor-сеть серверы должны включать контактную информацию (например, адрес электронной почты). Это условие необходимо для того, чтобы администраторы сети и правоохранительные органы смогли связаться с операторами сервера в случае некорректной конфигурации или жалобы.

Тем не менее этим правилом часто пренебрегают и добавляют в сеть Tor серверы без указанной контактной информации, поскольку для приемлемого уровня конфиденциальности необходимо большое количество узлов.

Специалист по защите информации, известный под онлайн-псевдонимом Nusenu, не так давно обратил внимание на интересный паттерн Tor-узлов без контактной информации. Впервые своими наблюдениями эксперт поделился в 2019 году.

Присвоив операторам этих серверов имя KAX17, Nusenu позже обнаружил, что активность этой группы уходит корнями в 2017 год. Злоумышленники регулярно добавляли в сеть серверы без данных для связи. Большая часть этих серверов выступала в качестве входных точек и узлов среднего уровня, но были также и точки выхода.

Как пояснил Nusenu, это странное поведение, поскольку обычно киберпреступники используют именно выходные узлы, чтобы иметь возможность модифицировать пользовательский трафик. Так делала, например, группировка BTCMITM20.

У KAX17, судя по всему, задача другая — собрать побольше информации о подключающихся к сети пользователях. Согласно результатам исследования, в какой-то момент была 16-процентная вероятность подключиться к Tor через один из серверов злоумышленников, 35% — наткнуться на один из узлов KAX17 среднего уровня и 5% — стать жертвой на выходе из сети.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Михаил Дудченко 25 Февраля 2026 - 20:17

Уязвимости программ GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации Средства поиска уязвимостей SearchInform

43% использующих ИИ компаний ищут с его помощью уязвимости

Автоматизация рутины по-прежнему остаётся самым популярным сценарием использования ИИ в информационной безопасности. Но рынок постепенно идёт дальше. Как показал опрос «АМ Медиа», проведённый среди зрителей и участников эфира «Практика применения машинного обучения и ИИ в ИБ», почти половина компаний, уже использующих ИИ, применяют его для поиска уязвимостей и анализа защищённости.

Эфир стал продолжением предыдущей дискуссии о роли ИИ в кибербезопасности.

Если раньше речь шла в основном о теории и ожиданиях, то теперь эксперты обсуждали реальные кейсы: как выстроить пайплайн ИИ в ИБ, какие задачи он уже закрывает и какие решения действительно работают у заказчиков.

Судя по результатам опроса, 64% компаний используют ИИ для автоматизации повседневных задач. Но на этом применение не ограничивается. 43% респондентов задействуют его для поиска уязвимостей и усиления защиты. 32% — для классификации и описания инцидентов, что особенно актуально при текущем объёме событий.

Около четверти применяют ИИ для первичного триажа в SOC и автоматизированного реагирования по сценариям. А 14% доверяют ему даже поведенческий анализ в антифроде.

CEO SolidSoft Денис Гамаюнов считает такие цифры закономерными: по его словам, поиск уязвимостей — «вполне нативная задача» для больших языковых моделей. Однако он напомнил о рисках: компании должны чётко понимать, где проходит граница между использованием инструмента и возможной утечкой конфиденциальных данных внешнему провайдеру.

Заместитель генерального директора по инновациям «СёрчИнформ» Алексей Парфентьев также отметил, что результаты выглядят реалистично. По его мнению, к вероятностным алгоритмам в блокирующих средствах защиты пока относятся с осторожностью, а большинство кейсов использования ИИ в ИБ всё же связано с управленческими и вспомогательными задачами.

Более оптимистичную позицию озвучил руководитель группы развития платформы SOC Yandex Cloud Дмитрий Руссак. По его словам, команда с самого начала активно тестировала LLM, а отдельные идеи удалось масштабировать на всю инфраструктуру. В итоге ИИ используется не только для автоматизации, но и для разбора алертов, управления доступами и поиска уязвимостей.

В целом эксперты сошлись во мнении: современные модели всё ещё страдают от нехватки контекста и специализированных знаний. Поэтому внедрять ИИ нужно аккуратно — с пониманием, какие данные он получает, какие доступы имеет и где требуется обязательный человеческий контроль.

Тем не менее тренд очевиден: ИИ в ИБ перестаёт быть экспериментом и всё чаще становится рабочим инструментом — не только для автоматизации, но и для реального усиления защиты.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!