Autor projektu
Na vrchole svojej činnosti tvorilo zákernú skupinu asi 380 uzlov. Prepojením uzlov na základe kontaktných e-mailov špecifikovaných na serveroch so škodlivou aktivitou vedci dokázali identifikovať najmenej 9 rôznych zhlukov škodlivých výstupných uzlov, ktoré boli aktívne približne 7 mesiacov. Vývojári Tor sa pokúsili zablokovať škodlivé uzly, ale útočníci rýchlo obnovili svoju činnosť. V súčasnosti sa počet škodlivých uzlov znížil, no stále cez ne prechádza viac ako 10 % prevádzky.
Selektívne odstránenie presmerovaní je zaznamenané z aktivity zaznamenanej na škodlivých výstupných uzloch
na HTTPS verzie stránok pri prvotnom prístupe k zdroju bez šifrovania cez HTTP, čo útočníkom umožňuje zachytiť obsah relácií bez nahradenia TLS certifikátov (útok „ssl stripping“). Tento prístup funguje pre používateľov, ktorí zadajú adresu lokality bez toho, aby pred doménou výslovne uviedli „https://“ a po otvorení stránky sa nezameriavajú na názov protokolu v paneli s adresou prehliadača Tor. Na ochranu pred blokovaním presmerovaní na HTTPS sa odporúča používať stránky
Na sťaženie identifikácie škodlivej činnosti sa nahrádzanie vykonáva selektívne na jednotlivých stránkach, najmä v súvislosti s kryptomenami. Ak sa v nechránenej prevádzke zistí bitcoinová adresa, vykonajú sa zmeny v prevádzke, aby sa bitcoinová adresa nahradila a transakcia sa presmerovala do vašej peňaženky. Škodlivé uzly sú hosťované poskytovateľmi, ktorí sú populárni pre hosťovanie normálnych uzlov Tor, ako sú OVH, Frantech, ServerAstra a Trabia Network.
Zdroj: opennet.ru