Автор проекту , що займається моніторингом підключення нових груп вузлів до анонімної мережі Tor, звіт про виявлення великого оператора шкідливих вихідних вузлів Tor, який намагається маніпулювати трафіком користувачів. Відповідно до наведеної статистики 22 травня було підключення до мережі Tor великої групи шкідливих вузлів, в результаті якого атакуючі отримали контроль за трафіком, що охоплює 23.95% всіх звернень через вихідні вузли.
У пік своєї активності шкідлива група налічувала близько 380 вузлів. Зв'язавши вузли на основі контактних email, вказаних на серверах із шкідливою активністю, дослідникам вдалося виявити щонайменше 9 різних кластерів шкідливих вихідних вузлів, що діють близько 7 місяців. Розробники Tor спробували заблокувати шкідливі вузли, але атакуючі швидко відновили свою активність. В даний час кількість шкідливих вузлів знизилася, але через них, як і раніше, проходить більше 10% трафіку.
Із зафіксованої на шкідливих вихідних вузлах активності відзначається вибіркове видалення перенаправлень
на HTTPS-варіанти сайтів при початковому зверненні до ресурсу без шифрування HTTP, що дозволяє зловмисникам перехоплювати вміст сеансів без заміни TLS-сертифікатів (атака "ssl stripping"). Подібний підхід спрацьовує у користувачів, які набирають адресу сайту без явної вказівки https:// перед доменом і після відкриття сторінки не акцентують увагу на назву протоколу в адресному рядку Tor Browser. Для захисту від блокування перенаправлення на HTTPS сайтам рекомендується використовувати .
Для утруднення виявлення шкідливої активності підміна здійснюється вибірково на окремих сайтах, переважно пов'язаних з криптовалютами. Якщо в незахищеному трафіку виявляється bitcoin-адреса, то в трафік вносяться зміни для заміни bitcoin-адреси та перенаправлення транзакції на свій гаманець. Шкідливі вузли розміщуються у провайдерів, що користуються популярністю при розміщенні нормальних вузлів Tor, таких як OVH, Frantech, ServerAstra та Trabia Network.
Джерело: opennet.ru