مؤلف المشروع
في ذروة نشاطها ، كانت المجموعة الخبيثة تتكون من حوالي 380 عقدة. من خلال ربط العقد بناءً على رسائل البريد الإلكتروني لجهات الاتصال المدرجة على الخوادم بأنشطة ضارة ، تمكن الباحثون من تحديد ما لا يقل عن 9 مجموعات مختلفة من عقد الخروج الضارة النشطة لمدة 7 أشهر تقريبًا. حاول مطورو Tor منع العقد الضارة ، لكن المهاجمين استعادوا نشاطهم بسرعة. في الوقت الحالي ، انخفض عدد العقد الضارة ، ولكن لا يزال أكثر من 10٪ من حركة المرور تمر عبرها.
تمت ملاحظة الإزالة الانتقائية لعمليات إعادة التوجيه من النشاط المسجل في عقد الخروج الضارة
على متغيرات HTTPS من المواقع عند الوصول في البداية إلى مورد بدون تشفير عبر HTTP ، مما يسمح للمهاجمين باعتراض محتوى الجلسة دون استبدال شهادات TLS (هجوم "تعرية SSL"). يعمل هذا الأسلوب للمستخدمين الذين يكتبون عنوان الموقع دون تحديد "https: //" بوضوح قبل المجال وبعد فتح الصفحة لا تركز على اسم البروتوكول في شريط عنوان متصفح Tor. للحماية من حظر عمليات إعادة التوجيه إلى HTTPS ، يوصى باستخدام المواقع
لجعل اكتشاف النشاط الضار أمرًا صعبًا ، يتم إجراء الاستبدال بشكل انتقائي على المواقع الفردية ، والتي تتعلق بشكل أساسي بالعملات المشفرة. إذا تم اكتشاف عنوان Bitcoin في حركة مرور غير آمنة ، فسيتم إجراء تغييرات على حركة المرور لاستبدال عنوان Bitcoin وإعادة توجيه المعاملة إلى محفظتك. تتم استضافة العقد الضارة بواسطة موفري الخدمة المشهورين لاستضافة عقد Tor العادية ، مثل OVH و Frantech و ServerAstra و Trabia Network.
المصدر: opennet.ru