O autor do proxecto
No pico da súa actividade, o grupo malicioso constaba duns 380 nodos. Ao ligar nodos baseados en correos electrónicos de contacto especificados en servidores con actividade maliciosa, os investigadores puideron identificar polo menos 9 grupos diferentes de nodos de saída maliciosos que estiveran activos durante uns 7 meses. Os desenvolvedores de Tor tentaron bloquear nodos maliciosos, pero os atacantes retomaron rapidamente a súa actividade. Actualmente, o número de nodos maliciosos diminuíu, pero máis do 10% do tráfico aínda pasa por eles.
Nótase a eliminación selectiva das redireccións da actividade rexistrada nos nós de saída maliciosos
ás versións HTTPS dos sitios ao acceder inicialmente a un recurso sen cifrado a través de HTTP, o que permite aos atacantes interceptar o contido das sesións sen substituír os certificados TLS (ataque "ssl stripping"). Este enfoque funciona para os usuarios que escriben o enderezo do sitio sen especificar explícitamente "https://" antes do dominio e, despois de abrir a páxina, non se centran no nome do protocolo na barra de enderezos do navegador Tor. Para protexerse contra o bloqueo de redireccións a HTTPS, recoméndase usar sitios
Para dificultar a identificación da actividade maliciosa, a substitución realízase selectivamente en sitios individuais, principalmente relacionados con criptomoedas. Se se detecta un enderezo bitcoin no tráfico sen protección, realízanse cambios no tráfico para substituír o enderezo bitcoin e redirixir a transacción á súa carteira. Os nodos maliciosos están aloxados por provedores que son populares para aloxar nodos Tor normais, como OVH, Frantech, ServerAstra e Trabia Network.
Fonte: opennet.ru