Авторът на проекта OrNetRadar, в рамките на който се извършва мониторинг на включването на нови възли в анонимната мрежа TOR, публикува отчет за появата на крупен оператор, създаващ голям брой вредоносни възли, който се опитва да манипулира трафика на потребителите. Представена е и статистика, която показва, че на 22-ри май тази година в мрежата Tor е фиксирано включването на голяма група вредоносни възли в Tor мрежата, в резултат от което атакуващите са получили контрол върху 23,95% от трафика, благодарение на тези входни възли.
В пика на активността вредоносната група е притежавала 380 TOR възли. След като са съпоставили подадените имейли за контакти със сървърите с вредоносно съдържание, експертите са успели да открият 9 различни клъстъра с вредоносни TOR възли, които са действали от около 7 месеца. Разработчиците на TOR са опитали да блокират вредоносните възли, но атакуващите веднага са възстановили активността си. Към днешен ден броят на вредоносните възли е намален, но през тях в момента преминават около 10% от трафика.
В тези възли по случаен начин се извършва препращане на HTTPS сайтовете към HTTP без криптиране, което дава възможност да се чете информацията при тези сесии, без да се налага да се подменят TLS сертификатите (атака тип ssl stripping). За защита от това препращане на HTTPS сайтовете се препоръчва използването на HSTS preloading.
За да се затрудни откриването на вредоносна активност, подмяната се извършва по случаен принцип за различните сайтове, но винаги при сайтове, които имат нещо общо с криптовалутите. Така например, ако в незащитения трафик се открие bitcoin адрес, то в трафика се правят промени за подмяната на този адрес с адреса на друг криптопортфейл.