Autor des Projekts
Auf dem Höhepunkt ihrer Aktivität bestand die bösartige Gruppe aus etwa 380 Knoten. Durch die Verknüpfung von Knoten basierend auf Kontakt-E-Mails, die auf Servern mit böswilliger Aktivität angegeben wurden, konnten die Forscher mindestens neun verschiedene Cluster bösartiger Exit-Knoten identifizieren, die seit etwa sieben Monaten aktiv waren. Tor-Entwickler versuchten, bösartige Knoten zu blockieren, doch die Angreifer nahmen ihre Aktivitäten schnell wieder auf. Derzeit ist die Zahl der bösartigen Knoten zurückgegangen, aber mehr als 9 % des Datenverkehrs werden immer noch über sie geleitet.
Die selektive Entfernung von Weiterleitungen wird anhand der auf böswilligen Exit-Knoten aufgezeichneten Aktivitäten festgestellt
zu HTTPS-Versionen von Websites, wenn zunächst ohne Verschlüsselung über HTTP auf eine Ressource zugegriffen wird, was es Angreifern ermöglicht, den Inhalt von Sitzungen abzufangen, ohne TLS-Zertifikate zu ersetzen („SSL-Stripping“-Angriff). Dieser Ansatz funktioniert für Benutzer, die die Site-Adresse eingeben, ohne explizit „https://“ vor der Domain anzugeben, und sich nach dem Öffnen der Seite nicht auf den Namen des Protokolls in der Adressleiste des Tor-Browsers konzentrieren. Zum Schutz vor der Blockierung von Weiterleitungen zu HTTPS wird die Verwendung von Websites empfohlen
Um die Erkennung bösartiger Aktivitäten zu erschweren, wird die Ersetzung selektiv auf einzelnen Websites durchgeführt, hauptsächlich im Zusammenhang mit Kryptowährungen. Wenn im ungeschützten Datenverkehr eine Bitcoin-Adresse erkannt wird, werden Änderungen am Datenverkehr vorgenommen, um die Bitcoin-Adresse zu ersetzen und die Transaktion an Ihr Wallet umzuleiten. Schädliche Knoten werden von Anbietern gehostet, die für das Hosten normaler Tor-Knoten beliebt sind, wie OVH, Frantech, ServerAstra und Trabia Network.
Source: opennet.ru