Penulis proyek , yang memantau koneksi grup node baru ke jaringan Tor anonim, laporan yang mengidentifikasi operator utama node keluar Tor berbahaya yang mencoba memanipulasi lalu lintas pengguna. Menurut statistik di atas, tanggal 22 Mei adalah koneksi ke jaringan Tor dari sekelompok besar node berbahaya, sebagai akibatnya penyerang memperoleh kendali lalu lintas, mencakup 23.95% dari semua permintaan melalui node keluar.
Pada puncak aktivitasnya, kelompok jahat terdiri dari sekitar 380 node. Dengan menghubungkan node berdasarkan email kontak yang ditentukan pada server dengan aktivitas jahat, para peneliti dapat mengidentifikasi setidaknya 9 cluster berbeda dari node keluar berbahaya yang telah aktif selama sekitar 7 bulan. Pengembang Tor mencoba memblokir node jahat, tetapi penyerang dengan cepat melanjutkan aktivitas mereka. Saat ini, jumlah node jahat telah berkurang, namun lebih dari 10% lalu lintas masih melewatinya.
Penghapusan pengalihan selektif dicatat dari aktivitas yang direkam pada node keluar berbahaya
ke versi situs HTTPS ketika pertama kali mengakses sumber daya tanpa enkripsi melalui HTTP, yang memungkinkan penyerang mencegat konten sesi tanpa mengganti sertifikat TLS (serangan "ssl stripping"). Pendekatan ini berfungsi untuk pengguna yang mengetik alamat situs tanpa secara eksplisit menentukan “https://” sebelum domain dan, setelah membuka halaman, tidak fokus pada nama protokol di bilah alamat Tor Browser. Untuk melindungi dari pemblokiran pengalihan ke HTTPS, disarankan untuk menggunakan situs .
Untuk mempersulit identifikasi aktivitas jahat, substitusi dilakukan secara selektif di masing-masing situs, terutama yang terkait dengan mata uang kripto. Jika alamat bitcoin terdeteksi di lalu lintas yang tidak terlindungi, maka perubahan dilakukan pada lalu lintas tersebut untuk menggantikan alamat bitcoin dan mengalihkan transaksi ke dompet Anda. Node berbahaya dihosting oleh penyedia yang populer untuk menghosting node Tor normal, seperti OVH, Frantech, ServerAstra, dan Trabia Network.
Sumber: opennet.ru