為了監(jiān)控犯罪分子的行蹤,執(zhí)法部門和情報機構(gòu)常常會對暗網(wǎng)及其服務(wù)發(fā)起滲透攻擊。最近暗網(wǎng)匿名郵件服務(wù)商SIGAINT向他的用戶發(fā)送了警告郵件,聲稱受到了來自疑似執(zhí)法機構(gòu)的攻擊——大約一周前,暗網(wǎng)郵件服務(wù)SIGAINT遭到攻擊,攻擊者使用了近70個惡意出口節(jié)點。
為什么是SIGAINT?
SIGAINT是一個存在于Tor匿名網(wǎng)絡(luò)中的郵件服務(wù),主要是向暗網(wǎng)用戶提供郵件隱私,郵件服務(wù)的用戶包括注重安全的記者、異見分子和網(wǎng)絡(luò)罪犯。可能正因為如此,SIGAINT郵件服務(wù)被情報部門盯上了。
SIGAINT使用了Tor匿名網(wǎng)絡(luò),這就意味著當郵件從某個用戶發(fā)送至任何地方時,郵件會經(jīng)過多個節(jié)點,這些節(jié)點不知道發(fā)送者的身份,而處理這些郵件的最后一臺機器就是所謂的Tor出口節(jié)點。收到郵件的用戶能夠看到的是出口節(jié)點的IP地址,而非真正發(fā)送者的IP。這就是SIGAINT能讓你在不暴露你真實身份和地址的情況下收發(fā)郵件的原因。
使用惡意節(jié)點實施中間人攻擊
一開始,SIGAINT管理員認為攻擊者使用了58個惡意Tor出口節(jié)點。但是Tor項目成員Philipp Winter又發(fā)現(xiàn)12個出口節(jié)點,也就是一共有70個惡意節(jié)點。
“在過去的幾個月中攻擊者一直在嘗試使用不同的漏洞利用程序(EXP)攻擊我們。”目前所有的惡意節(jié)點都被管理員列入和名單,暫時無法再構(gòu)成威脅。盡管SIGAINT管理員相信還有更多的惡意出口節(jié)點。
當SIGAINT用戶經(jīng)由70個惡意節(jié)點連接sigaint.org網(wǎng)站時,攻擊者就會進行中間人攻擊。
“我們很確定他們沒有完全入侵,但他們修改了sigaint.org上的.onion鏈接成了他們自己的,以實施中間人攻擊。”
SIGAINT管理員認為,雖然服務(wù)的基礎(chǔ)設(shè)施沒有受到影響。但是某些用戶的密碼可能被竊取了。目前尚不清楚多少SIGAINT用戶在這次攻擊中受到影響,但是攻擊者似乎是在收集用戶的密碼。
目前SIGAINT正在考慮啟用加密功能,或者將sigaint.org上的.onion鏈接移除。雖然對于一般網(wǎng)站啟用SSL并不能起到多大的作用,但是這會加大攻擊的難度。同時SIGAINT官方建議所有通過訪問Sigaint.org獲取暗網(wǎng)鏈接的用戶們盡快更改密碼。