Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Крупный ботнет стал причиной недавней перегрузки сети Tor
Общество
Недавно Роджер Динглдайн, создатель автралийского анонимайзера Tor, отмечал резкое увеличение количества пользователей Tor в списке рассылки Tor Talk. Было множество домыслов на тему происходящего. Многие предполагали, что это — результат недавней шпионской истерии, или последствие блокады «Пиратской бухты», и даже гражданской войны в Сирии.
Альтернативное объяснение этого явления — это усилившееся влияние ботнетов, использующих Tor в своих целях. И этому предположению есть доказательства: за увеличением внезапного всплеска пользовательской активности и роста числа новых пользователей стоят специфические и почти неизвестные ботнеты. Недавно обнаруженное имя ботнета, упоминаемого в этой связи – «Mevade.A», но более ранние упоминания называют его «Sefnit» (информация восходит ещё к 2009 году). Есть данные, что внутреннее имя, известное операторам этого вредоносного ПО, – SBC.
Ранее ботнет управлялся преимущественно через протокол HTTP и некоторые альтернативные способы подключения. Теперь же главным коммуникативным каналом ботнета стал Tor. Ботнет представляется очень крупным и широко распространённым. Ещё до перехода на Tor он состоял из десятков тысяч инфицированных машин в пределах ограниченного количества сетей.
Важно отметить, что ботнет уже существовал и был очень крупным ещё до перехода на Tor и использования .onion в качестве команд и управляющего канала.
Вредоносное ПО использует команды и подключение через .onion-ссылки Tor по протоколу HTTP. Некоторые боты продолжают действовать, используя стандартные подключения HTTP, но новые версии уже переходят на сети peer-to-peer (на базе KAD).
Из этого становится совершенно ясно, что основное предназначение ботнета – атаки на интернет-банкинг, накрутка кликов в рекламных сетях, распространение вирусов-вымогателей (блокираторов системы) и фальшивых антивирусников. Судя по всему, ботнет управляется из некоего русско-язычного региона, и связан с финансовой преступностью, без политической подоплеки.
Специфическая версия malware, использующая функционал Tor, устанавливает себя по следующему адресу:
%SYSTEM%configsystemprofileLocal SettingsApplication DataWindows Internet Name Systemwins.exe
Дополнительно устанавливается компонент Tor:
%PROGRAMFILES%TorTor.exe