Autor projektu
Na vrcholu své aktivity se zlomyslná skupina skládala z asi 380 uzlů. Přidružením uzlů na základě kontaktních e-mailů uvedených na serverech se škodlivou aktivitou byli výzkumníci schopni identifikovat nejméně 9 různých shluků škodlivých výstupních uzlů aktivních po dobu asi 7 měsíců. Vývojáři Tor se pokusili zablokovat škodlivé uzly, ale útočníci rychle obnovili svou aktivitu. V současné době se počet škodlivých uzlů snížil, ale stále přes ně prochází více než 10 % provozu.
Selektivní odstranění přesměrování je zaznamenáno z aktivity zaznamenané na škodlivých výstupních uzlech
na HTTPS verzích webů při počátečním přístupu ke zdroji bez šifrování přes HTTP, což útočníkům umožňuje zachytit obsah relace bez nahrazování TLS certifikátů (útok „ssl stripping“). Tento přístup funguje pro uživatele, kteří zadávají adresu webu, aniž by před doménou výslovně uvedli „https://“ a po otevření stránky se nezaměřují na název protokolu v adresním řádku prohlížeče Tor. Pro ochranu před blokováním přesměrování na HTTPS se doporučuje používat weby
Aby bylo ztíženo odhalování škodlivé činnosti, substituce se provádí selektivně na jednotlivých stránkách, které se týkají především kryptoměn. Pokud je v nezabezpečeném provozu detekována bitcoinová adresa, jsou v provozu provedeny změny, které nahradí bitcoinovou adresu a přesměrují transakci do vaší peněženky. Škodlivé uzly jsou hostovány poskytovateli, kteří jsou populární pro hostování normálních uzlů Tor, jako jsou OVH, Frantech, ServerAstra a Trabia Network.
Zdroj: opennet.ru