Autorul proiectului , care monitorizează conectarea noilor grupuri de noduri la rețeaua Tor anonimă, raport care identifică un operator major de noduri de ieșire Tor rău intenționate care încearcă să manipuleze traficul utilizatorilor. Conform statisticilor de mai sus, 22 mai a fost conectarea la rețeaua Tor a unui grup mare de noduri rău intenționate, în urma cărora atacatorii au câștigat controlul traficului, acoperind 23.95% din toate solicitările prin nodurile de ieșire.
La vârful activității sale, grupul rău intenționat era format din aproximativ 380 de noduri. Prin conectarea nodurilor pe baza e-mailurilor de contact specificate pe servere cu activitate rău intenționată, cercetătorii au reușit să identifice cel puțin 9 grupuri diferite de noduri de ieșire rău intenționate care au fost active timp de aproximativ 7 luni. Dezvoltatorii Tor au încercat să blocheze nodurile rău intenționate, dar atacatorii și-au reluat rapid activitatea. În prezent, numărul de noduri rău intenționate a scăzut, dar mai mult de 10% din trafic mai trece prin ele.
Eliminarea selectivă a redirecționărilor este notă din activitatea înregistrată pe nodurile de ieșire rău intenționate
la versiunile HTTPS ale site-urilor atunci când accesează inițial o resursă fără criptare prin HTTP, ceea ce permite atacatorilor să intercepteze conținutul sesiunilor fără a înlocui certificatele TLS (atac „ssl stripping”). Această abordare funcționează pentru utilizatorii care introduc adresa site-ului fără a specifica în mod explicit „https://” înainte de domeniu și, după deschiderea paginii, nu se concentrează pe numele protocolului din bara de adrese Tor Browser. Pentru a vă proteja împotriva blocării redirecționărilor către HTTPS, se recomandă utilizarea site-urilor .
Pentru a face dificilă identificarea activităților rău intenționate, înlocuirea este efectuată selectiv pe site-uri individuale, în principal legate de criptomonede. Dacă o adresă bitcoin este detectată în trafic neprotejat, atunci se fac modificări în trafic pentru a înlocui adresa bitcoin și a redirecționa tranzacția către portofel. Nodurile rău intenționate sunt găzduite de furnizori populari pentru găzduirea nodurilor Tor normale, cum ar fi OVH, Frantech, ServerAstra și Trabia Network.
Sursa: opennet.ru