Um novo levantamento mostrou que alguém está executando centenas de servidores maliciosos na rede Tor, potencialmente em uma tentativa de tirar usuários do anonimato e desmascarar suas atividades na web.

Conforme relatado pelo site The Record, a atividade parece estar vindo de um usuário persistente, que de alguma forma tem os recursos para rodar muitos servidores por anos a fio.

Também conhecido como “roteador Onion”, o Tor é provavelmente a plataforma de privacidade online mais conhecida do mundo. Seu software e rede costumam proteger a atividade de navegação de quem os aciona, ocultando informações como o endereço IP e criptografando seu tráfego. A rede, lançada inicialmente em 2002, já experimentou ataques e atividades maliciosas anteriormente.

Os servidores maliciosos foram detectados inicialmente por um especialista em segurança que atende pelo pseudônimo “nusenu”, que opera seu próprio nó na rede Tor. Em seu Medium (blog pessoal), nusenu escreveu que ele descobriu evidências do invasor — que apelidou de “KAX17” — em 2019. Após fazer pesquisas adicionais sobre KAX17, ele ainda descobriu que o invasor esta ativo na rede desde 2017.

Na prática, KAX parece estar executando grandes segmentos da rede do Tor, provavelmente na esperança de conseguir rastrear o caminho de usuários específicos da web e desmascará-los.

Para entender isso, é necessário relembrar rapidamente como o Tor funciona. O Tor torna anônima a atividade dos usuários na web criptografando seu tráfego e, em seguida, encaminhando-o através de uma série de “nós” diferentes, antes de chegar ao destino.

Os provedores de nós não deveriam ser capazes de visualizar o seu tráfego, uma vez que o Tor fornece criptografia. Seu trabalho é apenas ajudar em uma das várias partes da jornada do seu tráfego, também chamado de “circuito”.

No entanto, uma vez que os nós da rede Tor são executados por voluntários, o usuário não precisa passar por nenhum tipo de verificação para executar um — ou vários — desses nós. Assim, não é incomum que usuários mal-intencionados configurem nós na esperança de atacar outras pessoas por qualquer motivo.

Porém, no caso do KAX17, o invasor da ameaça parece ter recursos substancialmente melhores do que a média dos hackers que atacam a dark web: eles têm executado literalmente centenas de servidores maliciosos em todo o mundo. Com toda essa atividade, as chances de o circuito de um usuário do Tor ser rastreado por KAX são relativamente altas, diz o pesquisador.

Também há evidências de que o ator da ameaça tenha se envolvido em discussões no fórum do Tor. Nessas discussões, ele parece ter feito lobby contra ações administrativas que teriam removido seus servidores da rede.

Apesar disso, as autoridades do Tor aparentemente tentaram chutar o KAX17 da rede várias vezes. Muitos dos servidores do agente da ameaça foram removidos pelas autoridades do diretório Tor em outubro de 2019. Então, apenas no mês passado, as autoridades removeram novamente um grande número de administradores de nós que pareciam suspeitos e estavam ligados ao agente da ameaça.

Assine a newsletter do Gizmodo

No entanto, em ambos os casos, o invasor parece ter se recuperado imediatamente. Não está claro quem pode estar por trás de tudo isso, mas parece que, sejam eles quem forem, eles têm muitos recursos.

“Não temos evidências de que eles estejam realmente realizando ataques de anonimato, mas estão em posição de fazê-lo”, escreve nusenu. “O fato de alguém operar uma fração tão grande de relés na rede, é o suficiente para fazer soar todos os tipos de alarmes. Suas ações e motivos não são bem compreendidos”, acrescentou.