USD 102.34 ЕВРО 106.54

Другие новости

170 ледовых шоу представят в рамках проекта «Зима в Москве»

Три цифровых проекта Москвы отметили на международном конкурсе «Город, где хочется жить»

Автомобильные новости Китая: подчеркивая «умное производство в Китае», WEICHAI NECV продемонстрировала свои машины в России 

18 международных соглашений: в Москве завершилась Неделя креативных индустрий

АО «Транснефть — Сибирь» завершило реконструкцию участка вдоль трассовой линии электропередачи в Югре

Более полумиллиона посетителей прокатились по канатной дороге на ВДНХ

Все новости

Крупный ботнет стал причиной недавней перегрузки сети Tor

Общество

Недавно Роджер Динглдайн, создатель автралийского анонимайзера Tor, отмечал резкое увеличение количества пользователей Tor в списке рассылки Tor Talk. Было множество домыслов на тему происходящего. Многие предполагали, что это — результат недавней шпионской истерии, или последствие блокады «Пиратской бухты», и даже гражданской войны в Сирии.

В настоящий момент число пользователей Tor выросло уже в 5 раз, и график из метрики до сих пор не содержит никаких признаков снижения темпов роста.

скачкообразный рост числа пользователей сети Tor

Альтернативное объяснение этого явления — это усилившееся влияние ботнетов, использующих Tor в своих целях. И этому предположению есть доказательства: за увеличением внезапного всплеска пользовательской активности и роста числа новых пользователей стоят специфические и почти неизвестные ботнеты. Недавно обнаруженное имя ботнета, упоминаемого в этой связи – «Mevade.A», но более ранние упоминания называют его «Sefnit» (информация восходит ещё к 2009 году). Есть данные, что внутреннее имя, известное операторам этого вредоносного ПО, – SBC.

Ранее ботнет управлялся преимущественно через протокол HTTP и некоторые альтернативные способы подключения. Теперь же главным коммуникативным каналом ботнета стал Tor. Ботнет представляется очень крупным и широко распространённым. Ещё до перехода на Tor он состоял из десятков тысяч инфицированных машин в пределах ограниченного количества сетей.

ботнетВажно отметить, что ботнет уже существовал и был очень крупным ещё до перехода на Tor и использования .onion в качестве команд и управляющего канала.

Вредоносное ПО использует команды и подключение через .onion-ссылки Tor по протоколу HTTP. Некоторые боты продолжают действовать, используя стандартные подключения HTTP, но новые версии уже переходят на сети peer-to-peer (на базе KAD).

Из этого становится совершенно ясно, что основное предназначение ботнета – атаки на интернет-банкинг, накрутка кликов в рекламных сетях, распространение вирусов-вымогателей (блокираторов системы) и фальшивых антивирусников. Судя по всему, ботнет управляется из некоего русско-язычного региона, и связан с финансовой преступностью, без политической подоплеки.

Специфическая версия malware, использующая функционал Tor, устанавливает себя по следующему адресу:
%SYSTEM%configsystemprofileLocal SettingsApplication DataWindows Internet Name Systemwins.exe
Дополнительно устанавливается компонент Tor:
%PROGRAMFILES%TorTor.exe