Аўтар праекта
У пік сваёй актыўнасці шкоднасная група налічвала каля 380 вузлоў. Звязаўшы вузлы на аснове кантактных email, указаных на серверах са шкоднаснай актыўнасцю, даследнікам атрымалася выявіць прынамсі 9 розных кластараў шкоднасных выходных вузлоў, дзейсных каля 7 месяцаў. Распрацоўнікі Tor паспрабавалі заблакаваць шкоднасныя вузлы, але атакавалыя хутка аднавілі сваю актыўнасць. У цяперашні час колькасць шкоднасных вузлоў знізілася, але праз іх па-ранейшаму праходзіць больш за 10% трафіку.
З зафіксаванай на шкоднасных выходных вузлах актыўнасці адзначаецца выбарачнае выдаленне перанакіраванняў
на HTTPS-варыянты сайтаў пры першапачатковым звароце да рэсурсу без шыфравання па HTTP, што дазваляе зламыснікам перахапляць змесціва сеансаў без падмены TLS-сертыфікатаў (атака "ssl stripping"). Падобны падыход спрацоўвае ў карыстальнікаў, якія набіраюць адрас сайта без яўнага ўказання "https://" перад даменам і пасля адкрыцця старонкі не акцэнтуюць увагу на назву пратакола ў адрасным радку Tor Browser. Для абароны ад блакавання перанакіравання на HTTPS сайтам рэкамендуецца выкарыстоўваць
Для цяжкасці выяўлення шкоднаснай актыўнасці падмена ажыццяўляецца выбарачна на асобных сайтах, у асноўным звязаных з крыптавалютамі. Калі ў неабароненым трафіку выяўляецца bitcoin-адрас, то ў трафік уносяцца змены для замены bitcoin-адрасу і перанакіраванні транзакцыі на свой кашалёк. Шкоднасныя вузлы размяшчаюцца ў правайдэраў, якія карыстаюцца папулярнасцю пры размяшчэнні нармальных вузлоў Tor, такіх як OVH, Frantech, ServerAstra і Trabia Network.
Крыніца: opennet.ru