Forfatter av prosjektet
På toppen av aktiviteten besto den ondsinnede gruppen av rundt 380 noder. Ved å koble sammen noder basert på kontakt-e-poster spesifisert på servere med ondsinnet aktivitet, klarte forskerne å identifisere minst 9 forskjellige klynger av ondsinnede utgangsnoder som hadde vært aktive i omtrent 7 måneder. Tor-utviklere prøvde å blokkere ondsinnede noder, men angriperne gjenopptok raskt aktiviteten. For øyeblikket har antallet ondsinnede noder gått ned, men mer enn 10 % av trafikken passerer fortsatt gjennom dem.
Selektiv fjerning av omdirigeringer noteres fra aktiviteten registrert på ondsinnede utgangsnoder
til HTTPS-versjoner av nettsteder når de først får tilgang til en ressurs uten kryptering via HTTP, som lar angripere fange opp innholdet i økter uten å erstatte TLS-sertifikater ("ssl stripping"-angrep). Denne tilnærmingen fungerer for brukere som skriver inn nettstedsadressen uten å spesifisere "https://" eksplisitt før domenet og, etter å ha åpnet siden, ikke fokuserer på navnet på protokollen i Tor-nettleserens adresselinje. For å beskytte mot blokkering av omdirigeringer til HTTPS, anbefales nettsteder å bruke
For å gjøre det vanskelig å identifisere ondsinnet aktivitet, utføres substitusjon selektivt på individuelle nettsteder, hovedsakelig relatert til kryptovalutaer. Hvis en bitcoin-adresse oppdages i ubeskyttet trafikk, gjøres endringer i trafikken for å erstatte bitcoin-adressen og omdirigere transaksjonen til lommeboken din. Ondsinnede noder er vert for leverandører som er populære for å være vert for vanlige Tor-noder, som OVH, Frantech, ServerAstra og Trabia Network.
Kilde: opennet.ru