L'auteur du projet
Au plus fort de son activité, le groupe malveillant comptait environ 380 nœuds. En associant des nœuds basés sur les e-mails de contact répertoriés sur les serveurs à une activité malveillante, les chercheurs ont pu identifier au moins 9 clusters différents de nœuds de sortie malveillants actifs depuis environ 7 mois. Les développeurs de Tor ont tenté de bloquer les nœuds malveillants, mais les attaquants ont rapidement repris leur activité. Actuellement, le nombre de nœuds malveillants a diminué, mais plus de 10 % du trafic passe toujours par eux.
La suppression sélective des redirections est notée à partir de l'activité enregistrée sur les nœuds de sortie malveillants
sur les variantes HTTPS des sites lors de l'accès initial à une ressource sans chiffrement via HTTP, ce qui permet aux attaquants d'intercepter le contenu de la session sans remplacer les certificats TLS (attaque « ssl stripping »). Cette approche fonctionne pour les utilisateurs qui tapent l'adresse du site sans spécifier explicitement "https://" avant le domaine et après avoir ouvert la page ne se concentrent pas sur le nom du protocole dans la barre d'adresse du navigateur Tor. Pour se protéger contre le blocage des redirections vers HTTPS, il est recommandé aux sites d'utiliser
Pour rendre difficile la détection des activités malveillantes, la substitution est effectuée de manière sélective sur des sites individuels, principalement liés aux crypto-monnaies. Si une adresse Bitcoin est détectée dans le trafic non sécurisé, des modifications sont apportées au trafic pour remplacer l'adresse Bitcoin et rediriger la transaction vers votre portefeuille. Les nœuds malveillants sont hébergés par des fournisseurs populaires pour héberger des nœuds Tor normaux, tels que OVH, Frantech, ServerAstra et Trabia Network.
Source: opennet.ru