مؤلف المشروع ، التي تراقب اتصال مجموعات جديدة من العقد بشبكة Tor المجهولة ، تقرير عن تحديد المشغل الرئيسي لعقد خروج Tor الخبيثة التي تحاول التلاعب بحركة مرور المستخدم. وفقا للإحصاءات أعلاه ، كان 22 مايو الاتصال بشبكة Tor لمجموعة كبيرة من العقد الخبيثة ، ونتيجة لذلك تمكن المهاجمون من السيطرة على حركة المرور ، والتي تغطي 23.95٪ من جميع عمليات الوصول من خلال عقد الخروج.
في ذروة نشاطها ، كانت المجموعة الخبيثة تتكون من حوالي 380 عقدة. من خلال ربط العقد بناءً على رسائل البريد الإلكتروني لجهات الاتصال المدرجة على الخوادم بأنشطة ضارة ، تمكن الباحثون من تحديد ما لا يقل عن 9 مجموعات مختلفة من عقد الخروج الضارة النشطة لمدة 7 أشهر تقريبًا. حاول مطورو Tor منع العقد الضارة ، لكن المهاجمين استعادوا نشاطهم بسرعة. في الوقت الحالي ، انخفض عدد العقد الضارة ، ولكن لا يزال أكثر من 10٪ من حركة المرور تمر عبرها.
تمت ملاحظة الإزالة الانتقائية لعمليات إعادة التوجيه من النشاط المسجل في عقد الخروج الضارة
على متغيرات HTTPS من المواقع عند الوصول في البداية إلى مورد بدون تشفير عبر HTTP ، مما يسمح للمهاجمين باعتراض محتوى الجلسة دون استبدال شهادات TLS (هجوم "تعرية SSL"). يعمل هذا الأسلوب للمستخدمين الذين يكتبون عنوان الموقع دون تحديد "https: //" بوضوح قبل المجال وبعد فتح الصفحة لا تركز على اسم البروتوكول في شريط عنوان متصفح Tor. للحماية من حظر عمليات إعادة التوجيه إلى HTTPS ، يوصى باستخدام المواقع .
لجعل اكتشاف النشاط الضار أمرًا صعبًا ، يتم إجراء الاستبدال بشكل انتقائي على المواقع الفردية ، والتي تتعلق بشكل أساسي بالعملات المشفرة. إذا تم اكتشاف عنوان Bitcoin في حركة مرور غير آمنة ، فسيتم إجراء تغييرات على حركة المرور لاستبدال عنوان Bitcoin وإعادة توجيه المعاملة إلى محفظتك. تتم استضافة العقد الضارة بواسطة موفري الخدمة المشهورين لاستضافة عقد Tor العادية ، مثل OVH و Frantech و ServerAstra و Trabia Network.
المصدر: opennet.ru