Projektin kirjoittaja
Toimintansa huipulla haitallinen ryhmä koostui noin 380 solmusta. Linkittämällä solmuja haitallista toimintaa sisältävillä palvelimilla määritettyjen yhteyssähköpostien perusteella, tutkijat pystyivät tunnistamaan vähintään 9 erilaista haitallisten poistumissolmujen ryhmää, jotka olivat olleet aktiivisia noin 7 kuukautta. Tor-kehittäjät yrittivät estää haitalliset solmut, mutta hyökkääjät jatkoivat toimintaansa nopeasti. Tällä hetkellä haitallisten solmujen määrä on vähentynyt, mutta niiden kautta kulkee edelleen yli 10 % liikenteestä.
Haitallisiin poistosolmuihin tallennetusta toiminnasta havaitaan uudelleenohjausten valikoiva poisto
sivustojen HTTPS-versioihin käytettäessä resurssia ilman salausta HTTP:n kautta, jolloin hyökkääjät voivat siepata istuntojen sisällön vaihtamatta TLS-varmenteita ("ssl stripping" -hyökkäys). Tämä lähestymistapa toimii käyttäjille, jotka kirjoittavat sivuston osoitteen määrittämättä nimenomaisesti "https://" ennen verkkotunnusta eivätkä sivun avaamisen jälkeen keskity Tor-selaimen osoiterivillä olevan protokollan nimeen. Sivustojen käyttöä suositellaan HTTPS-uudelleenohjauksilta suojautumiseksi
Haitallisen toiminnan tunnistamisen vaikeuttamiseksi vaihtaminen suoritetaan valikoivasti yksittäisillä sivustoilla, jotka liittyvät pääasiassa kryptovaluuttoihin. Jos bitcoin-osoite havaitaan suojaamattomassa liikenteessä, liikenteeseen tehdään muutoksia, jotka korvaavat bitcoin-osoitteen ja ohjaavat tapahtuman lompakkoosi. Haitallisia solmuja isännöivät palveluntarjoajat, jotka ovat suosittuja tavallisten Tor-solmujen isännöinnissä, kuten OVH, Frantech, ServerAstra ja Trabia Network.
Lähde: opennet.ru