Avtor projekta , ki spremlja povezavo novih skupin vozlišč v anonimno omrežje Tor, poročilo, ki identificira glavnega operaterja zlonamernih izhodnih vozlišč Tor, ki poskuša manipulirati z uporabniškim prometom. Po zgornji statistiki je bil 22. maj povezava z omrežjem Tor velike skupine zlonamernih vozlišč, s čimer so napadalci pridobili nadzor nad prometom, ki pokriva 23.95 % vseh zahtev prek izhodnih vozlišč.
Na vrhuncu svoje dejavnosti je zlonamerno skupino sestavljalo približno 380 vozlišč. S povezovanjem vozlišč na podlagi kontaktnih e-poštnih naslovov, določenih na strežnikih z zlonamerno dejavnostjo, so raziskovalci lahko identificirali vsaj 9 različnih skupin zlonamernih izhodnih vozlišč, ki so bila aktivna približno 7 mesecev. Razvijalci Tor so poskušali blokirati zlonamerna vozlišča, vendar so napadalci hitro nadaljevali svojo dejavnost. Trenutno se je število zlonamernih vozlišč zmanjšalo, vendar več kot 10% prometa še vedno poteka skozi njih.
Selektivna odstranitev preusmeritev je opažena iz dejavnosti, zabeležene na zlonamernih izhodnih vozliščih
na HTTPS različice spletnih mest pri začetnem dostopu do vira brez šifriranja prek HTTP, kar napadalcem omogoča prestrezanje vsebine sej brez zamenjave TLS potrdil (napad »ssl stripping«). Ta pristop deluje za uporabnike, ki vnesejo naslov spletnega mesta, ne da bi izrecno navedli »https://« pred domeno in se po odprtju strani ne osredotočijo na ime protokola v naslovni vrstici brskalnika Tor. Za zaščito pred blokiranjem preusmeritev na HTTPS priporočamo uporabo spletnih mest .
Da bi otežili prepoznavanje zlonamerne dejavnosti, se zamenjava izvaja selektivno na posameznih mestih, predvsem povezanih s kriptovalutami. Če je v nezaščitenem prometu zaznan naslov bitcoin, se v prometu izvedejo spremembe, ki nadomestijo naslov bitcoin in preusmerijo transakcijo v vašo denarnico. Zlonamerna vozlišča gostijo ponudniki, ki so priljubljeni za gostovanje običajnih vozlišč Tor, kot so OVH, Frantech, ServerAstra in Trabia Network.
Vir: opennet.ru