Tor开发者在官方博客上证实,Tor匿名网络遭到了中继去匿名攻击。Tor是在7月4日发现了一组被怀疑去匿名用户的中继节点,攻击者使用了修改过的Tor协议头发动流量确认攻击,攻击目标是访问或运行Tor隐蔽服务的用户。这组节点立即被移除出Tor网络,但它们是在1月30日加入到网络中的,所以在此期间访问隐蔽服务的用户都可能受到影响。Tor已经发布了新版本修复了攻击者使用的协议漏洞。Tor官方在声明中称,攻击者组合使用两种攻击方法:流量确认攻击和女巫攻击。攻击者通过在协议头中植入了可被中继节点读取的信号,如果访问隐蔽服务的用户连上攻击者控制的节点,他们发出的隐蔽服务请求消息会被泄露给连接回路上的所有节点。
在识别Tor用户以后,NSA利用其秘密服务器重定向用户的访问至FoxAcid。FoxAcid是NSA开发的一款中间人系统。
为了吸引目标访问FoxAcid服务器,NSA依靠与美国电信公司的秘密合作关系。在Turmoil系统中,NSA在因特网骨干网中部署了秘密服务器(代号Quantum)。这个部署能够保证Quantum响应速度高于其他网站。凭借访问速度的优势,可以使得其响应速度高于原始服务器,Quantum服务器在用户的http包中注入攻击payload或阻止用户访问。