USD 64.35 ЕВРО 71.05

Крупный ботнет стал причиной недавней перегрузки сети Tor

Общество

Недавно Роджер Динглдайн, создатель автралийского анонимайзера Tor, отмечал резкое увеличение количества пользователей Tor в списке рассылки Tor Talk. Было множество домыслов на тему происходящего. Многие предполагали, что это — результат недавней шпионской истерии, или последствие блокады «Пиратской бухты», и даже гражданской войны в Сирии.

В настоящий момент число пользователей Tor выросло уже в 5 раз, и график из метрики до сих пор не содержит никаких признаков снижения темпов роста.

скачкообразный рост числа пользователей сети Tor

Альтернативное объяснение этого явления — это усилившееся влияние ботнетов, использующих Tor в своих целях. И этому предположению есть доказательства: за увеличением внезапного всплеска пользовательской активности и роста числа новых пользователей стоят специфические и почти неизвестные ботнеты. Недавно обнаруженное имя ботнета, упоминаемого в этой связи – «Mevade.A», но более ранние упоминания называют его «Sefnit» (информация восходит ещё к 2009 году). Есть данные, что внутреннее имя, известное операторам этого вредоносного ПО, – SBC.

Ранее ботнет управлялся преимущественно через протокол HTTP и некоторые альтернативные способы подключения. Теперь же главным коммуникативным каналом ботнета стал Tor. Ботнет представляется очень крупным и широко распространённым. Ещё до перехода на Tor он состоял из десятков тысяч инфицированных машин в пределах ограниченного количества сетей.

ботнетВажно отметить, что ботнет уже существовал и был очень крупным ещё до перехода на Tor и использования .onion в качестве команд и управляющего канала.

Вредоносное ПО использует команды и подключение через .onion-ссылки Tor по протоколу HTTP. Некоторые боты продолжают действовать, используя стандартные подключения HTTP, но новые версии уже переходят на сети peer-to-peer (на базе KAD).

Из этого становится совершенно ясно, что основное предназначение ботнета – атаки на интернет-банкинг, накрутка кликов в рекламных сетях, распространение вирусов-вымогателей (блокираторов системы) и фальшивых антивирусников. Судя по всему, ботнет управляется из некоего русско-язычного региона, и связан с финансовой преступностью, без политической подоплеки.

Специфическая версия malware, использующая функционал Tor, устанавливает себя по следующему адресу:
%SYSTEM%configsystemprofileLocal SettingsApplication DataWindows Internet Name Systemwins.exe
Дополнительно устанавливается компонент Tor:
%PROGRAMFILES%TorTor.exe