O autor do projeto
No auge de sua atividade, o grupo malicioso consistia em cerca de 380 nós. Ao vincular nós com base em e-mails de contato especificados em servidores com atividades maliciosas, os pesquisadores conseguiram identificar pelo menos 9 clusters diferentes de nós de saída maliciosos que estavam ativos há cerca de 7 meses. Os desenvolvedores do Tor tentaram bloquear nós maliciosos, mas os invasores rapidamente retomaram suas atividades. Atualmente, o número de nós maliciosos diminuiu, mas mais de 10% do tráfego ainda passa por eles.
A remoção seletiva de redirecionamentos é observada na atividade registrada em nós de saída maliciosos
para versões HTTPS de sites ao acessar inicialmente um recurso sem criptografia via HTTP, o que permite que invasores interceptem o conteúdo das sessões sem substituir certificados TLS (ataque "ssl stripping"). Essa abordagem funciona para usuários que digitam o endereço do site sem especificar explicitamente “https://” antes do domínio e, após abrir a página, não se concentram no nome do protocolo na barra de endereços do navegador Tor. Para se proteger contra o bloqueio de redirecionamentos para HTTPS, recomenda-se que os sites usem
Para dificultar a identificação de atividades maliciosas, a substituição é realizada seletivamente em sites individuais, principalmente relacionados a criptomoedas. Se um endereço bitcoin for detectado no tráfego desprotegido, serão feitas alterações no tráfego para substituir o endereço bitcoin e redirecionar a transação para sua carteira. Os nós maliciosos são hospedados por provedores populares para hospedar nós Tor normais, como OVH, Frantech, ServerAstra e Trabia Network.
Fonte: opennet.ru