Авторът на проекта
В пика на своята активност злонамерената група се състоеше от около 380 възела. Чрез асоцииране на възли въз основа на имейлите за контакт, изброени на сървърите със злонамерена дейност, изследователите успяха да идентифицират най-малко 9 различни клъстера от злонамерени изходни възли, активни за около 7 месеца. Разработчиците на Tor се опитаха да блокират злонамерените възли, но нападателите бързо възстановиха активността си. В момента броят на злонамерените възли е намалял, но повече от 10% от трафика все още преминава през тях.
Селективното премахване на пренасочванията се отбелязва от активността, записана на злонамерени изходни възли
на HTTPS версии на сайтове при първоначален достъп до ресурс без криптиране чрез HTTP, което позволява на атакуващите да прихващат съдържанието на сесията, без да заменят TLS сертификати (атака „ssl stripping“). Този подход работи за потребители, които въвеждат адреса на сайта без изрично да посочват "https://" пред домейна и след отваряне на страницата не се фокусират върху името на протокола в адресната лента на Tor Browser. За защита от блокиране на пренасочвания към HTTPS се препоръчва използването на сайтове
За да се затрудни откриването на злонамерена дейност, подмяната се извършва избирателно на отделни сайтове, основно свързани с криптовалути. Ако биткойн адрес бъде открит в незащитен трафик, тогава се правят промени в трафика, за да се замени биткойн адресът и да се пренасочи транзакцията към вашия портфейл. Злонамерените възли се хостват от доставчици, които са популярни за хостване на нормални Tor възли, като OVH, Frantech, ServerAstra и Trabia Network.
Източник: opennet.ru