Menü
Security

Botnet löst Nutzer-Explosion im Tor-Netz aus

Von
vorlesen Drucken Kommentare lesen 54 Beiträge

Dem massiven Anstieg der Tor-Nutzung, der am 19. August weltweit erstmals festgestellt wurde, liegt wohl ein Botnet zugrunde. Die Steigerung der Tor-Nutzerzahlen um fast das Fünffache wird laut den Sicherheitsexperten von Fox IT durch den Trojaner Mevade.A ausgelöst, der seit mindestens 2009 auch unter dem Namen Sefnit bekannt ist. Das Botnet des Trojaners kommunizierte lange über HTTP, die Entwickler schalteten dann aber so gut wie gleichzeitig mit dem plötzlichen Anstieg der Tor-Nutzung auf das Anonymisierungs-Tool als Kommunikationsmethode um. Die außergewöhnliche Größe und internationale Ausbreitung des Botnets legt den Schädling deshalb als Ursache des Anstiegs nahe.

Fox IT diagnostiziert, dass das Mevade-Botnet auch schon vor der Umstellung auf Tor als Kommunikationsweg große Ausmaße gehabt haben muss. Eine Analyse des Schadcodes bringt die Tor-Version 0.2.3.25 zu Tage, welche die Trojaner benutzen, um über .onion-Links zu kommunizieren. Diese werden ihrerseits über HTTP verteilt. Noch ist der Zweck, zu dem das Botnet betrieben wird, nicht endgültig geklärt. Die Tatsache, dass der Code aus dem russischsprachigen Raum zu stammen scheint, fassen die Sicherheitsexperten als Hinweis dafür auf, dass Online-Banking-Daten das Angriffsziel sein könnten.

Der Anstieg der aktiven Tor-Nutzer fand so abrupt statt, dass viele Beobachter von Anfang an eine erhöhte Sensibilisierung der Allgemeinheit und den damit verbundenen Wunsch nach mehr Privatheit durch den aktuellen NSA-Skandal als Ursache ausgeschlossen hatten. Auch eine gezielte Sabotage des Tor-Netzes oder verstärkte Nutzung durch den von The Pirate Bay vorgestellten PirateBrowser mit eingebautem Tor-Client scheint jetzt ausgeschlossen.

Die Daten von Fox IT legen nahe, dass Tor als Verschleierungsmethode für Botnets immer beliebter wird. Vorteile aus Sicht der Kriminellen sind hierbei die Verschlüsselung des Traffics, was ein Beobachten und Aufspüren der Bots erschwert, und die Anonymisierung der C&C Server, was ein gezieltes Ausschalten der Kontrollinfrastruktur des Botnets behindert. Auch wird durch die .onion-Links ein Sinkholing der zur Kontrolle der Bots benutzten Domains verhindert. (fab)