L'autore del progetto
Al culmine della sua attività, il gruppo dannoso era composto da circa 380 nodi. Collegando i nodi in base alle e-mail di contatto specificate sui server con attività dannose, i ricercatori sono stati in grado di identificare almeno 9 diversi cluster di nodi di uscita dannosi attivi da circa 7 mesi. Gli sviluppatori Tor hanno provato a bloccare i nodi dannosi, ma gli aggressori hanno ripreso rapidamente la loro attività. Attualmente il numero di nodi dannosi è diminuito, ma oltre il 10% del traffico passa ancora attraverso di essi.
La rimozione selettiva dei reindirizzamenti viene rilevata dall'attività registrata sui nodi di uscita dannosi
alle versioni HTTPS dei siti quando si accede inizialmente a una risorsa senza crittografia tramite HTTP, che consente agli aggressori di intercettare il contenuto delle sessioni senza sostituire i certificati TLS (attacco "ssl stripping"). Questo approccio funziona per gli utenti che digitano l'indirizzo del sito senza specificare esplicitamente "https://" prima del dominio e, dopo aver aperto la pagina, non si concentrano sul nome del protocollo nella barra degli indirizzi del browser Tor. Per proteggersi dal blocco dei reindirizzamenti a HTTPS, si consiglia di utilizzare i siti
Per rendere difficile l'identificazione di attività dannose, la sostituzione viene effettuata in modo selettivo sui singoli siti, principalmente legati alle criptovalute. Se viene rilevato un indirizzo bitcoin nel traffico non protetto, vengono apportate modifiche al traffico per sostituire l'indirizzo bitcoin e reindirizzare la transazione al tuo portafoglio. I nodi dannosi sono ospitati da provider famosi per l'hosting di normali nodi Tor, come OVH, Frantech, ServerAstra e Trabia Network.
Fonte: opennet.ru