Автор проекту
У пік своєї активності шкідлива група налічувала близько 380 вузлів. Зв'язавши вузли на основі контактних email, вказаних на серверах із шкідливою активністю, дослідникам вдалося виявити щонайменше 9 різних кластерів шкідливих вихідних вузлів, що діють близько 7 місяців. Розробники Tor спробували заблокувати шкідливі вузли, але атакуючі швидко відновили свою активність. В даний час кількість шкідливих вузлів знизилася, але через них, як і раніше, проходить більше 10% трафіку.
Із зафіксованої на шкідливих вихідних вузлах активності відзначається вибіркове видалення перенаправлень
на HTTPS-варіанти сайтів при початковому зверненні до ресурсу без шифрування HTTP, що дозволяє зловмисникам перехоплювати вміст сеансів без заміни TLS-сертифікатів (атака "ssl stripping"). Подібний підхід спрацьовує у користувачів, які набирають адресу сайту без явної вказівки https:// перед доменом і після відкриття сторінки не акцентують увагу на назву протоколу в адресному рядку Tor Browser. Для захисту від блокування перенаправлення на HTTPS сайтам рекомендується використовувати
Для утруднення виявлення шкідливої активності підміна здійснюється вибірково на окремих сайтах, переважно пов'язаних з криптовалютами. Якщо в незахищеному трафіку виявляється bitcoin-адреса, то в трафік вносяться зміни для заміни bitcoin-адреси та перенаправлення транзакції на свій гаманець. Шкідливі вузли розміщуються у провайдерів, що користуються популярністю при розміщенні нормальних вузлів Tor, таких як OVH, Frantech, ServerAstra та Trabia Network.
Джерело: opennet.ru