Autore di u prugettu
À u piccu di a so attività, u gruppu maliziusi era custituitu da circa 380 nodi. Liendu i nodi basati nantu à e-mail di cuntattu specificati nantu à i servitori cù attività maliciosa, i circadori anu pussutu identificà almenu 9 clusters differenti di nodi di uscita maliziusi chì sò stati attivi per circa 7 mesi. I sviluppatori di Tor anu pruvatu à bluccà i nodi maliziusi, ma l'attaccanti ripiglianu rapidamente a so attività. Attualmente, u numeru di nodi maliziusi hè diminuitu, ma più di 10% di u trafficu passa ancu per elli.
A rimozione selettiva di redirezzione hè nutata da l'attività registrata nantu à i nodi di uscita maliziusi
à versioni HTTPS di i siti quandu accede inizialmente à una risorsa senza criptografia via HTTP, chì permette à l'attaccanti d'interceptà u cuntenutu di e sessioni senza rimpiazzà i certificati TLS (attaccu "ssl stripping"). Stu approcciu travaglia per l'utilizatori chì scrivite l'indirizzu di u situ senza specificamente esplicitamente "https://" prima di u duminiu è, dopu avè apertu a pagina, ùn fate micca focu annantu à u nome di u protokollu in a barra di indirizzu Tor Browser. Per pruteggiri contru à bluccà redirects à HTTPS, i siti sò cunsigliatu à aduprà
Per fà difficiuli di identificà l'attività maliciosa, a sustituzione hè realizata selettivamente nantu à i siti individuali, principarmenti ligati à criptu di munita. Se un indirizzu bitcoin hè rilevatu in u trafficu senza prutezzione, i cambiamenti sò fatti à u trafficu per rimpiazzà l'indirizzu bitcoin è redirige a transazzione à a vostra billetera. I nodi maliziusi sò ospitati da i fornituri chì sò populari per l'ospitu di i nodi Tor normali, cum'è OVH, Frantech, ServerAstra è Trabia Network.
Source: opennet.ru