Tor匿名上网工具的四分之一出口节点曾经被控制

一项针对暗网基础设施的研究显示，一个未知身份的攻击者在2021年2月上旬设法控制了整个Tor网络出口的27%以上。

Tor网络的出口是Tor流量到达目的地址前经过的最后一个Tor网络内的节点。过去曾经发现过入侵了Tor网络的出口节点注入OnionDuke等恶意软件的事例，但这是身份不明的攻击者首次尝试控制如此大比例的Tor出口节点。

2019年12月起，独立安全研究员开始揭露针对Tor网络发起攻击的相关活动。2020年8月，该独立安全研究员首次对外披露从2020年1月开始的攻击。

攻击者在顶峰时（2020年8月）拥有380个Tor的出口节点。随后，Tor网络的维护方进行了多次干预，从网络中剔除了大量相关节点。被发现的几乎所有的、被攻击者操控的Tor出口节点都已经被剔除。

据nusenu称，攻击的主要目的是通过控制流过出口节点的流量来对Tor用户进行“中间人”攻击。具体来说，攻击者使用了名为SSL stripping的攻击技术，将发往比特币等加密货币服务器器的流量从HTTPS降级为HTTP，替换比特币钱包地址并将交易重定向到攻击者控制的钱包，而不是用户提供的比特币钱包地址。

Tor的维护者去年8月份表示，如果用户访问了HTTP版本的站点，攻击者就会阻止站点将用户重定向到HTTPS版本的网站。如果用户没有注意到他们访问的HTTP的网站，就开始发送或接收敏感信息，攻击者就可以对其进行拦截。

为了减轻此类攻击带来的影响，Tor项目组提供了许多建议，包括敦促网站管理员默认启用HTTPS并部署.onion网站以绕过出口节点。与此同时，Tor项目组也在进行全面的修复工作，以禁用Tor浏览器中的纯HTTP流量。

美国网络安全和基础设施安全局（CISA）在2020年7月的一份咨询报告中表示：“通过Tor传播的恶意攻击的风险是每个组织都要面临的，各组织应该评估缓解措施以应对来自APT、中等复杂的攻击者和技能低下的黑客的攻击，这些人过去都曾利用Tor进行了侦察与攻击”。