Tráfico misterioso y bloqueos falsos: ¿por qué los hackers atacan los nodos Tor?
La amenaza a la seguridad está creciendo y su magnitud ya no puede ocultarse.
En los últimos días, los operadores de nodos Tor han comenzado a recibir notificaciones masivas sobre abusos. Las notificaciones se refieren a intentos fallidos de inicio de sesión por SSH, supuestamente causados por ataques desde sus nodos, lo que sugiere ataques de fuerza bruta.
Normalmente, los nodos Tor solo transmiten tráfico entre el nodo de origen y el nodo de destino de la red Tor y no deberían iniciar conexiones SSH a hosts abiertos en Internet, y mucho menos con ataques de fuerza bruta. Sin embargo, un análisis del investigador bajo el seudónimo «delroth» mostró que la mayoría de los nodos Tor no generaban tráfico SSH.
Se descubrió que los atacantes están suplantando las direcciones IP de los nodos Tor, llevando a cabo un ataque masivo de fuerza bruta en honeypots y redes con sistemas de detección de intrusiones que automáticamente envían quejas sobre actividades sospechosas, lo que ocasiona notificaciones falsas de abuso dirigidas a los nodos Tor.
Como resultado, los hosts que reciben numerosos intentos fallidos de inicio de sesión son colocados en listas negras, reciben múltiples notificaciones de infracciones y sus direcciones IP adquieren una «mala reputación». Esto provoca que muchos proveedores desconecten dichos hosts, a veces sin posibilidad de apelación.
Los ataques tienen como objetivo socavar la infraestructura de los nodos Tor, creando una avalancha de quejas sobre abusos. Hasta ahora, la actividad maliciosa es moderada y los atacantes permanecen desconocidos.
Mientras tanto, se insta a los operadores de nodos Tor a presentar apelaciones y desplegar nodos adicionales en lugar de los perdidos, y se pide a los proveedores que verifiquen cuidadosamente las quejas para evitar bloqueos falsos.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!