Autorul proiectului
La vârful activității sale, grupul rău intenționat era format din aproximativ 380 de noduri. Prin conectarea nodurilor pe baza e-mailurilor de contact specificate pe servere cu activitate rău intenționată, cercetătorii au reușit să identifice cel puțin 9 grupuri diferite de noduri de ieșire rău intenționate care au fost active timp de aproximativ 7 luni. Dezvoltatorii Tor au încercat să blocheze nodurile rău intenționate, dar atacatorii și-au reluat rapid activitatea. În prezent, numărul de noduri rău intenționate a scăzut, dar mai mult de 10% din trafic mai trece prin ele.
Eliminarea selectivă a redirecționărilor este notă din activitatea înregistrată pe nodurile de ieșire rău intenționate
la versiunile HTTPS ale site-urilor atunci când accesează inițial o resursă fără criptare prin HTTP, ceea ce permite atacatorilor să intercepteze conținutul sesiunilor fără a înlocui certificatele TLS (atac „ssl stripping”). Această abordare funcționează pentru utilizatorii care introduc adresa site-ului fără a specifica în mod explicit „https://” înainte de domeniu și, după deschiderea paginii, nu se concentrează pe numele protocolului din bara de adrese Tor Browser. Pentru a vă proteja împotriva blocării redirecționărilor către HTTPS, se recomandă utilizarea site-urilor
Pentru a face dificilă identificarea activităților rău intenționate, înlocuirea este efectuată selectiv pe site-uri individuale, în principal legate de criptomonede. Dacă o adresă bitcoin este detectată în trafic neprotejat, atunci se fac modificări în trafic pentru a înlocui adresa bitcoin și a redirecționa tranzacția către portofel. Nodurile rău intenționate sunt găzduite de furnizori populari pentru găzduirea nodurilor Tor normale, cum ar fi OVH, Frantech, ServerAstra și Trabia Network.
Sursa: opennet.ru