Autor projektu
W szczytowym okresie swojej aktywności szkodliwa grupa składała się z około 380 węzłów. Łącząc węzły na podstawie kontaktowych adresów e-mail określonych na serwerach ze złośliwą aktywnością, badacze byli w stanie zidentyfikować co najmniej 9 różnych klastrów złośliwych węzłów wyjściowych, które były aktywne przez około 7 miesięcy. Twórcy Tora próbowali blokować złośliwe węzły, ale napastnicy szybko wznowili swoją aktywność. Obecnie liczba złośliwych węzłów spadła, ale nadal przechodzi przez nie ponad 10% ruchu.
Odnotowuje się selektywne usuwanie przekierowań z aktywności zarejestrowanej w złośliwych węzłach wyjściowych
do wersji witryn HTTPS podczas początkowego uzyskiwania dostępu do zasobu bez szyfrowania za pośrednictwem protokołu HTTP, co umożliwia atakującym przechwycenie zawartości sesji bez wymiany certyfikatów TLS (atak „ssl stripping”). To podejście działa w przypadku użytkowników, którzy wpisują adres witryny bez wyraźnego określenia „https://” przed domeną, a po otwarciu strony nie skupiają się na nazwie protokołu w pasku adresu przeglądarki Tor. Aby zabezpieczyć się przed blokowaniem przekierowań na HTTPS, zaleca się korzystanie z witryn
Aby utrudnić identyfikację szkodliwej aktywności, podstawianie odbywa się selektywnie na poszczególnych stronach, głównie związanych z kryptowalutami. Jeśli w niezabezpieczonym ruchu zostanie wykryty adres bitcoin, w ruchu zostaną wprowadzone zmiany w celu zastąpienia adresu bitcoin i przekierowania transakcji do Twojego portfela. Złośliwe węzły są hostowane przez dostawców popularnych w zakresie hostowania zwykłych węzłów Tora, takich jak OVH, Frantech, ServerAstra i Trabia Network.
Źródło: opennet.ru