Autor del proyecto
En el pico de su actividad, el grupo malicioso constaba de unos 380 nodos. Al vincular nodos basados en correos electrónicos de contacto especificados en servidores con actividad maliciosa, los investigadores pudieron identificar al menos 9 grupos diferentes de nodos de salida maliciosos que habían estado activos durante aproximadamente 7 meses. Los desarrolladores de Tor intentaron bloquear los nodos maliciosos, pero los atacantes rápidamente reanudaron su actividad. Actualmente, el número de nodos maliciosos ha disminuido, pero más del 10% del tráfico todavía pasa por ellos.
La eliminación selectiva de redirecciones se observa en la actividad registrada en los nodos de salida maliciosos.
a versiones HTTPS de sitios cuando se accede inicialmente a un recurso sin cifrado a través de HTTP, lo que permite a los atacantes interceptar el contenido de las sesiones sin reemplazar los certificados TLS (ataque de "eliminación de SSL"). Este enfoque funciona para usuarios que escriben la dirección del sitio sin especificar explícitamente "https://" antes del dominio y, después de abrir la página, no se centran en el nombre del protocolo en la barra de direcciones del navegador Tor. Para protegerse contra el bloqueo de redireccionamientos a HTTPS, se recomienda el uso de sitios
Para dificultar la identificación de actividades maliciosas, la sustitución se lleva a cabo de forma selectiva en sitios individuales, principalmente relacionados con criptomonedas. Si se detecta una dirección de bitcoin en el tráfico desprotegido, se realizan cambios en el tráfico para reemplazar la dirección de bitcoin y redirigir la transacción a su billetera. Los nodos maliciosos están alojados en proveedores populares para alojar nodos Tor normales, como OVH, Frantech, ServerAstra y Trabia Network.
Fuente: opennet.ru