真相浮出：法國警方截獲6個涉及WannaCry案件的Tor中繼伺服器

法國警方截獲6個Tor中繼伺服器

上個月，WannaCry勒索軟體在全球範圍內爆發，短短72個小時內就成功感染了150多個國家的30多萬台計算機設備，造成了極大的影響。

世界各地的政府組織、情報機構以及執法機構已經著手開始調查，並與受影響的企業進行密切合作，共同追蹤5月12日星期五對全球網路發起攻擊事件的幕後黑手。

一些研究人員將WannaCry攻擊事件追溯為朝鮮政府支持的黑客團體所為，而另外一些人則認為幕後黑手可能是中國人。如果你一直關注關於WannaCry案件的報道，你應該知道，WannaCry勒索軟體是使用Tor隱藏伺服器來與其命令和控制伺服器（C2）進行通信的。

而就在近日，我們得知法國當局在勒索攻擊爆發後兩天，對WannaCry案件進行調查時已經截獲了至少6個託管在法國託管服務提供商處的Tor入口保護節點伺服器（entry guard node servers）。

5月15日，一名法國黑客化名為「Aeris」通知Tor 社區稱，中央打擊信息通信技術犯罪事務辦公室（OCLCTIC）的官員突擊搜查了http://Online.net託管服務提供商，並於5月14日扣押了他的「kitten1」和「kitten2」（torguard／fallback directory）伺服器。

Aeris對外媒The Hacker News表示，

警方根據法國雷諾公司（WannaCry感染案件的受害者之一）提出的投訴，突擊檢查了OVH、http://Online.net以及FirstHeberg託管服務提供商。目前，法庭拒絕提供任何相關信息，甚至提供商也受到了『禁言令（gag order）』限制，不得對外透漏任何信息。

Aeris還告訴The Hacker News稱，他知道這總共6個Tor中繼伺服器由5名運營商負責運營。

Tor-中繼-wannacry

Relay（中繼，Relay Node）是指基站或用戶不直接將信號發送給彼此，而是通過中繼節點，經過信號放大或再生處理進行轉發。

Aeris還聲稱，法國當局是在一家受害公司（可能是雷諾公司——一家位於法國的跨國汽車製造商）主動聯繫到他們尋求幫助，並為其提供網路流量記錄以協助其進行調查後，採取了這一針對託管服務提供商的突擊檢查行動。

由於Tor節點具備很好的安全性來保護Tor用戶的隱私，且沒有保留任何實際的數據，所以執法當局也很難找到與WannaCry團伙有關的任何證據。

Aeris還警告稱，

雖然私鑰是加密且可能受到保護的，但請立即撤銷kitten1和kitten2 tor節點。因為這些節點也是fallback directory。

WannaCry，這種全球範圍內的流行病毒正在使用自我傳播功能來感染易受攻擊的Windows計算機，特別是使用舊版本操作系統的Windows計算機。雖然目前大多數受影響的組織已經恢復正常，但世界各地的執法機構仍在繼續追捕工作，試圖捕獲幕後黑手。

本文翻譯自：French Police Seize 6 Tor Relay Servers in WannaCry Investigation，如若轉載，請註明來源於嘶吼： 真相浮出：法國警方截獲6個涉及WannaCry案件的Tor中繼伺服器 - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：