法國(guó)警方截獲6個(gè)Tor中繼服務(wù)器
上個(gè)月,WannaCry勒索軟件在全球范圍內(nèi)爆發(fā),短短72個(gè)小時(shí)內(nèi)就成功感染了150多個(gè)國(guó)家的30多萬(wàn)臺(tái)計(jì)算機(jī)設(shè)備,造成了極大的影響。
世界各地的政府組織、情報(bào)機(jī)構(gòu)以及執(zhí)法機(jī)構(gòu)已經(jīng)著手開(kāi)始調(diào)查,并與受影響的企業(yè)進(jìn)行密切合作,共同追蹤5月12日星期五對(duì)全球網(wǎng)絡(luò)發(fā)起攻擊事件的幕后黑手。
一些研究人員將WannaCry攻擊事件追溯為朝鮮政府支持的黑客團(tuán)體所為,而另外一些人則認(rèn)為幕后黑手可能是中國(guó)人。如果你一直關(guān)注關(guān)于WannaCry案件的報(bào)道,你應(yīng)該知道,WannaCry勒索軟件是使用Tor隱藏服務(wù)器來(lái)與其命令和控制服務(wù)器(C2)進(jìn)行通信的。
而就在近日,我們得知法國(guó)當(dāng)局在勒索攻擊爆發(fā)后兩天,對(duì)WannaCry案件進(jìn)行調(diào)查時(shí)已經(jīng)截獲了至少6個(gè)托管在法國(guó)托管服務(wù)提供商處的Tor入口保護(hù)節(jié)點(diǎn)服務(wù)器(entry guard node servers)。
5月15日,一名法國(guó)黑客化名為“Aeris”通知Tor 社區(qū)稱(chēng),中央打擊信息通信技術(shù)犯罪事務(wù)辦公室(OCLCTIC)的官員突擊搜查了Online.net托管服務(wù)提供商,并于5月14日扣押了他的“kitten1”和“kitten2”(torguard/fallback directory)服務(wù)器。
Aeris對(duì)外媒The Hacker News表示,警方根據(jù)法國(guó)雷諾公司(WannaCry感染案件的受害者之一)提出的投訴,突擊檢查了OVH、Online.net以及FirstHeberg托管服務(wù)提供商。目前,法庭拒絕提供任何相關(guān)信息,甚至提供商也受到了‘禁言令(gag order)’限制,不得對(duì)外透漏任何信息。
Aeris還告訴The Hacker News稱(chēng),他知道這總共6個(gè)Tor中繼服務(wù)器由5名運(yùn)營(yíng)商負(fù)責(zé)運(yùn)營(yíng)。
Tor-中繼-wannacry
Relay(中繼,Relay Node)是指基站或用戶(hù)不直接將信號(hào)發(fā)送給彼此,而是通過(guò)中繼節(jié)點(diǎn),經(jīng)過(guò)信號(hào)放大或再生處理進(jìn)行轉(zhuǎn)發(fā)。
Aeris還聲稱(chēng),法國(guó)當(dāng)局是在一家受害公司(可能是雷諾公司——一家位于法國(guó)的跨國(guó)汽車(chē)制造商)主動(dòng)聯(lián)系到他們尋求幫助,并為其提供網(wǎng)絡(luò)流量記錄以協(xié)助其進(jìn)行調(diào)查后,采取了這一針對(duì)托管服務(wù)提供商的突擊檢查行動(dòng)。
由于Tor節(jié)點(diǎn)具備很好的安全性來(lái)保護(hù)Tor用戶(hù)的隱私,且沒(méi)有保留任何實(shí)際的數(shù)據(jù),所以執(zhí)法當(dāng)局也很難找到與WannaCry團(tuán)伙有關(guān)的任何證據(jù)。
Aeris還警告稱(chēng),
雖然私鑰是加密且可能受到保護(hù)的,但請(qǐng)立即撤銷(xiāo)kitten1和kitten2 tor節(jié)點(diǎn)。因?yàn)檫@些節(jié)點(diǎn)也是fallback directory。
WannaCry,這種全球范圍內(nèi)的流行病毒正在使用自我傳播功能來(lái)感染易受攻擊的Windows計(jì)算機(jī),特別是使用舊版本操作系統(tǒng)的Windows計(jì)算機(jī)。雖然目前大多數(shù)受影響的組織已經(jīng)恢復(fù)正常,但世界各地的執(zhí)法機(jī)構(gòu)仍在繼續(xù)追捕工作,試圖捕獲幕后黑手。
| 
