Таинственная кибергруппа управляла сотнями узлов в сети Tor с 2017 года

Екатерина Быстрова 06 Декабря 2021 - 08:49

...

Таинственная кибергруппа управляла сотнями узлов в сети Tor с 2017 года

Таинственная киберпреступная группировка с 2017 года запустила тысячи серверов на входном, среднем и выходном уровнях «луковой» сети Tor. Исследователи в области кибербезопасности считают, что это была попытка деанонимизировать пользователей Tor. Группе присвоили имя KAX17.

По данным специалистов, на пике своей активности злоумышленники контролировали более 900 вредоносных серверов, часть которых служили входными точками, ещё часть — узлами среднего уровня и точками выхода.

Как правило, задача таких узлов заключается в шифровании и анонимизации трафика пользователей, когда он входит и покидает сеть Tor. Этого получается добиться за счёт создания гигантской сети прокси-серверов, перебрасывающих друг другу соединение.

Стоит отметить, что добавленные в Tor-сеть серверы должны включать контактную информацию (например, адрес электронной почты). Это условие необходимо для того, чтобы администраторы сети и правоохранительные органы смогли связаться с операторами сервера в случае некорректной конфигурации или жалобы.

Тем не менее этим правилом часто пренебрегают и добавляют в сеть Tor серверы без указанной контактной информации, поскольку для приемлемого уровня конфиденциальности необходимо большое количество узлов.

Специалист по защите информации, известный под онлайн-псевдонимом Nusenu, не так давно обратил внимание на интересный паттерн Tor-узлов без контактной информации. Впервые своими наблюдениями эксперт поделился в 2019 году.

Присвоив операторам этих серверов имя KAX17, Nusenu позже обнаружил, что активность этой группы уходит корнями в 2017 год. Злоумышленники регулярно добавляли в сеть серверы без данных для связи. Большая часть этих серверов выступала в качестве входных точек и узлов среднего уровня, но были также и точки выхода.

Как пояснил Nusenu, это странное поведение, поскольку обычно киберпреступники используют именно выходные узлы, чтобы иметь возможность модифицировать пользовательский трафик. Так делала, например, группировка BTCMITM20.

У KAX17, судя по всему, задача другая — собрать побольше информации о подключающихся к сети пользователях. Согласно результатам исследования, в какой-то момент была 16-процентная вероятность подключиться к Tor через один из серверов злоумышленников, 35% — наткнуться на один из узлов KAX17 среднего уровня и 5% — стать жертвой на выходе из сети.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Июля 2025 - 11:04

Мошенничество Домашние пользователи Корпорации

Мошенники крадут товары, выдавая себя за ПСК и Ozon

Злоумышленники под видом известных компаний совершили серию крупных краж, оформив закупки с помощью поддельных документов и используя подмену номеров телефонов. Аферисты выдавали себя за представителей легитимных организаций, предъявляли доверенности и добивались отгрузки товара. Используемые ими документы были высокого качества и не вызывали подозрений даже у опытных сотрудников.

Как сообщила «Фонтанка», мошенники оформили несколько крупных заказов от имени Петербургской сбытовой компании (ПСК). В частности, под видом сотрудников ПСК были приобретены 130 комплектов автомобильных шин и 20 тонн сливочного масла.

В обоих случаях за товаром приезжал якобы представитель ПСК и предъявлял доверенности на получение груза. Однако позже выяснилось, что ни почта, ни телефон, ни фамилия человека, забиравшего продукцию, не имели отношения к компании.

Номер телефона, с которого связывались аферисты, в приложении Getcontact отображался как принадлежащий ПСК. Поддельные документы были выполнены на высоком уровне: в случае с «покупкой» масла мошенники даже приложили протокол разногласий к договору, где указали неустойки за нарушение условий хранения продукции.

Между тем ещё в апреле на официальном сайте ПСК появилось предупреждение: «Информируем о новой мошеннической схеме. В адрес юридических лиц поступают письма об организации закупок от имени Петербургской сбытовой компании. Письма направляются с подложного почтового адреса: zakaz.pesc-opt.ru с указанием номеров телефонов, не принадлежащих Петербургской сбытовой компании».

ПСК — не единственная пострадавшая организация. Подобные случаи неоднократно фиксировались в отношении Ozon: от его имени злоумышленники вывозили компьютеры, промышленные пылесосы и стройматериалы в разных регионах страны. При этом также использовались поддельные документы и подменённые номера телефонов.

«Мы знаем о ситуации, при которой некие сторонние лица, представляясь компанией Ozon, обращаются к поставщикам с просьбой предоставить самые разные товары, в том числе с постоплатой, — сообщили изданию в пресс-службе маркетплейса. — Часто мошенники используют схожие по написанию домены и формируют письма-запросы на бланках с логотипом Ozon».

По данным «Фонтанки», на момент публикации ни одной из пострадавших компаний не удалось вернуть ни деньги, ни украденный товар.