Autor projekta , koji prati spajanje novih grupa čvorova na anonimnu Tor mrežu, izvješće koje identificira glavnog operatera zlonamjernih Tor izlaznih čvorova koji pokušava manipulirati korisničkim prometom. Prema navedenoj statistici 22. svibnja je god povezivanje na Tor mrežu velike skupine malicioznih čvorova, čime su napadači preuzeli kontrolu nad prometom, pokrivajući 23.95% svih zahtjeva kroz izlazne čvorove.
Na vrhuncu svoje aktivnosti zlonamjerna skupina sastojala se od oko 380 čvorova. Povezivanjem čvorova na temelju kontaktnih e-mailova navedenih na poslužiteljima sa zlonamjernim aktivnostima, istraživači su uspjeli identificirati najmanje 9 različitih klastera zlonamjernih izlaznih čvorova koji su bili aktivni oko 7 mjeseci. Programeri Tora pokušali su blokirati zlonamjerne čvorove, ali su napadači brzo nastavili svoju aktivnost. Trenutno se smanjio broj zlonamjernih čvorova, ali više od 10% prometa još uvijek prolazi kroz njih.
Selektivno uklanjanje preusmjeravanja bilježi se iz aktivnosti zabilježene na zlonamjernim izlaznim čvorovima
na HTTPS verzije web stranica prilikom početnog pristupa resursu bez enkripcije putem HTTP-a, što napadačima omogućuje presretanje sadržaja sesija bez zamjene TLS certifikata (napad "ssl stripping"). Ovaj pristup funkcionira za korisnike koji upisuju adresu stranice bez eksplicitnog navođenja “https://” ispred domene i nakon otvaranja stranice ne fokusiraju se na naziv protokola u adresnoj traci preglednika Tor. Za zaštitu od blokiranja preusmjeravanja na HTTPS, preporuča se korištenje web-mjesta .
Kako bi se otežalo prepoznavanje zlonamjernih aktivnosti, zamjena se provodi selektivno na pojedinačnim stranicama, uglavnom vezanim uz kriptovalute. Ako se u nezaštićenom prometu otkrije bitcoin adresa, u promet se unose promjene kako bi se zamijenila bitcoin adresa i preusmjerila transakcija na vaš novčanik. Zlonamjerne čvorove hostiraju davatelji koji su popularni za hosting normalnih Tor čvorova, kao što su OVH, Frantech, ServerAstra i Trabia Network.
Izvor: opennet.ru