真相浮出:法国警方截获6个涉及WannaCry案件的Tor中继服务器,
法国警方截获6个Tor中继服务器
上个月,WannaCry勒索软件在全球范围内爆发,短短72个小时内就成功感染了150多个国家的30多万台计算机设备,造成了极大的影响。
世界各地的政府组织、情报机构以及执法机构已经着手开始调查,并与受影响的企业进行密切合作,共同追踪5月12日星期五对全球网络发起攻击事件的幕后黑手。
一些研究人员将WannaCry攻击事件追溯为朝鲜政府支持的黑客团体所为,而另外一些人则认为幕后黑手可能是中国人。如果你一直关注关于WannaCry案件的报道,你应该知道,WannaCry勒索软件是使用Tor隐藏服务器来与其命令和控制服务器(C2)进行通信的。
而就在近日,我们得知法国当局在勒索攻击爆发后两天,对WannaCry案件进行调查时已经截获了至少6个托管在法国托管服务提供商处的Tor入口保护节点服务器(entry guard node servers)。
5月15日,一名法国黑客化名为“Aeris”通知Tor 社区称,中央打击信息通信技术犯罪事务办公室(OCLCTIC)的官员突击搜查了Online.net托管服务提供商,并于5月14日扣押了他的“kitten1”和“kitten2”(torguard/fallback directory)服务器。
Aeris对外媒The Hacker News表示,
警方根据法国雷诺公司(WannaCry感染案件的受害者之一)提出的投诉,突击检查了OVH、Online.net以及FirstHeberg托管服务提供商。目前,法庭拒绝提供任何相关信息,甚至提供商也受到了‘禁言令(gag order)’限制,不得对外透漏任何信息。
Aeris还告诉The Hacker News称,他知道这总共6个Tor中继服务器由5名运营商负责运营。
Tor-中继-wannacry
Relay(中继,Relay Node)是指基站或用户不直接将信号发送给彼此,而是通过中继节点,经过信号放大或再生处理进行转发。
Aeris还声称,法国当局是在一家受害公司(可能是雷诺公司——一家位于法国的跨国汽车制造商)主动联系到他们寻求帮助,并为其提供网络流量记录以协助其进行调查后,采取了这一针对托管服务提供商的突击检查行动。
由于Tor节点具备很好的安全性来保护Tor用户的隐私,且没有保留任何实际的数据,所以执法当局也很难找到与WannaCry团伙有关的任何证据。
Aeris还警告称,
虽然私钥是加密且可能受到保护的,但请立即撤销kitten1和kitten2 tor节点。因为这些节点也是fallback directory。
WannaCry,这种全球范围内的流行病毒正在使用自我传播功能来感染易受攻击的Windows计算机,特别是使用旧版本操作系统的Windows计算机。虽然目前大多数受影响的组织已经恢复正常,但世界各地的执法机构仍在继续追捕工作,试图捕获幕后黑手。