По мнению экспертов, на волне разоблачений, касающихся информационной разведки АНБ, вполне естественен рост использования инструментов обеспечения приватности, таких как Tor, PGP, и других криптографических сервисов. В случае Tor этот рост оказался более чем пятикратным всего за две недели. Но похоже, что пользователи, прячущиеся от АНБ, тут ни при чем, на самом деле это работа ботнета.

Последние несколько месяцев количество активных клиентов Tor оставалось более-менее стабильным, около 500 тыс. Но две недели назад числа внезапно начали расти, и очень быстро. В течение недели число онлайн-клиентов Tor утроилось, а на начало сентября составило 2,5 млн. Члены Tor Project начали выяснять причину такого внезапного наплыва новых пользователей. Они связались с разработчиками операционных систем, чтобы узнать, не начал ли кто-либо из них встраивать Tor в свои дистрибутивы, но ничего такого не нашли. Также они рассмотрели возможность того, что причиной роста послужила популяризация Tor среди журналистов, политических активистов и других типичных пользователей Tor после разоблачений деятельности АНБ, но по всем признакам это не могло вызвать такой сильный эффект.

В ходе дальнейшего расследования они пришли к выводу, что миллионы новых клиентов Tor были элементами ботнета, чьи владельцы недавно решили по какой-то причине использовать сеть Tor.

«Дело в том, что при такой крутой кривой роста за новыми клиентами просто не могут стоять люди. Эти клиенты Tor были включены в некое программное обеспечение, которое массово было установлено на миллионы компьютеров. Так как ни один из крупных производителей ПО и операционных систем не признался нам, что включил Tor в свои дистрибутивы, это оставило лишь одну возможность: некто заразил миллионы компьютеров и установил на них клиенты Tor», — написали представители Tor в своем блоге.

«Не похоже, чтобы новые клиенты использовали сеть Tor для отправки трафика на внешние направления (такие как веб-сайты). По предварительным данным, они связываются со скрытыми сервисами — промежуточные узлы видят многократные сообщения «Received an ESTABLISH_RENDEZVOUS request», но выходные узлы не сообщают о значительном росте выходного трафика. Одно из возможных объяснений (допуская, что это действительно ботнет) состоит в том, что скрытым сервисом является точка управления и контроля (C&C-сервер ботнета)», — сообщили представители Tor.

Исследователи из Fox-IT, консалтинговой компании в сфере информационной безопасности, также изучили всплеск количества клиентов Tor и выяснили, что этот ботнет не особо новый, просто не слишком известный. У него есть несколько имен, среди них Mevade и Sifnit.

«Ранее ботнет общался, используя HTTP-соединение и некоторые альтернативные методы связи. Недавно он переключился на  Tor для своего канала управления и контроля. Ботнет, похоже, крайне велик и широко распределен. Даже до переключения на Tor он состоял из десятков тысяч подтвержденных заражений в ограниченном количестве сетей. Если эти цифры экстраполировать на все страны в глобальном масштабе, мы получим те же порядки, что и при росте пользователей Tor», — написали исследователи Fox-IT.

«Зловред организует свое подключение для управления и контроля через ссылки Tor .onion по HTTP. При этом некоторые боты продолжают использовать стандартное HTTP-подключение, а другие версии зловреда используют для связи P2P-сеть (на базе KAD)», — говорится в исследовании.

Размер ботнета значителен, но пока не ясно, для чего он используется.

«Возможно, задача этой бот-сети состоит в загрузке дополнительных зловредов на компьютеры и продаже зараженных систем. У нас нет доказательств этого, и мы можем лишь выдвигать версии, основываясь на незначительных признаках. Мы полагаем, что ботнет появился из русскоязычного региона и, скорее всего, прямо или косвенно связан с финансовым криминалом», — сказано в отчете Fox-IT.

Представители Tor предприняли некоторые шаги для ограничения влияния активности ботнета на сеть, призывая пользователей обновляться до последней версии Tor, в которой был изменен протокол хэндшейка, и новый протокол имеет приоритет над старым. Это позволит новым легальным клиентам использовать ресурсы сети с преимуществом над той версией, что использует ботнет. Также члены Tor Project призвали исследователей в области информационной безопасности взглянуть на ботнет и разобраться, есть ли способ его отключить.

«Было бы замечательно, если бы исследователи ботнета смогли определить конкретные характеристики ботента и нашли бы способ отключить его (или хотя бы избавить от него Tor). Обратите внимание, что отключение C&C-узла может и не помочь, так как сеть напрягают попытки ботов связаться с ним», — сказал представитель Tor.

 

Изображение предоставлено Саймоном Кокелом.

Категории: Вредоносные программы