L’autor del projecte , que supervisa la connexió de nous grups de nodes a la xarxa anònima Tor, un informe sobre la identificació d'un important operador de nodes de sortida Tor maliciosos que intenta manipular el trànsit dels usuaris. Segons les estadístiques anteriors, el 22 de maig va ser connexió a la xarxa Tor d'un gran grup de nodes maliciosos, com a conseqüència de la qual cosa els atacants van aconseguir el control del trànsit, cobrint el 23.95% de tots els accessos a través dels nodes de sortida.
En el punt àlgid de la seva activitat, el grup maliciós constava d'uns 380 nodes. En associar nodes basats en els correus electrònics de contacte que figuren als servidors amb activitat maliciosa, els investigadors van poder identificar almenys 9 grups diferents de nodes de sortida maliciosos actius durant uns 7 mesos. Els desenvolupadors de Tor van intentar bloquejar els nodes maliciosos, però els atacants van recuperar ràpidament la seva activitat. Actualment, el nombre de nodes maliciosos ha disminuït, però més del 10% del trànsit encara hi passa.
S'observa l'eliminació selectiva de les redireccions de l'activitat registrada als nodes de sortida maliciosos
en versions HTTPS dels llocs quan accedeixen inicialment a un recurs sense xifratge mitjançant HTTP, que permet als atacants interceptar el contingut de la sessió sense substituir els certificats TLS (atac "ssl stripping"). Aquest enfocament funciona per als usuaris que escriuen l'adreça del lloc sense especificar explícitament "https://" davant del domini i després d'obrir la pàgina no se centren en el nom del protocol a la barra d'adreces del navegador Tor. Per protegir-se del bloqueig de redireccions a HTTPS, es recomana utilitzar els llocs .
Per dificultar la detecció d'activitats malicioses, la substitució es realitza de manera selectiva en llocs individuals, principalment relacionats amb criptomonedes. Si es detecta una adreça de bitcoin en trànsit no segur, es fan canvis al trànsit per substituir l'adreça de bitcoin i redirigir la transacció a la vostra cartera. Els nodes maliciosos estan allotjats per proveïdors que són populars per allotjar nodes Tor normals, com ara OVH, Frantech, ServerAstra i Trabia Network.
Font: opennet.ru