Zagadka ogromnego wzrostu liczby użytkowników sieci TOR wyjaśniona

dodał 5 września 2013 o 14:59 w kategorii Info  z tagami:
Zagadka ogromnego wzrostu liczby użytkowników sieci TOR wyjaśniona

Od kilkunastu dni trwają poszukiwania przyczyny wzrostu liczby użytkowników sieci TOR z 500 tysięcy do ponad 2,5 mln. Firma FOX IT twierdzi, że zidentyfikowała botnet, odpowiedzialny za pojawienie się ponad 2 milionów nowych użytkowników.

Mimo wielu teorii na temat przyczyn tego ogromnego wzrostu do dzisiaj nikt nie przedstawił nawet umiarkowanie przekonujących dowodów na poparcie którejkolwiek z nich. Biorąc pod uwagę nagły charakter zjawiska oraz jego rozmiar podejrzewaliśmy, że za 2 milionami nowych użytkowników stoi spory botnet. Firma FOX IT uważa, że znalazła winnego i jest nim botnet identyfikowany jako Sefnit lub Mevade.A, przez swoich twórców nazywany SBC.

Panel botnetu SBC (źródło: FOX IT)

Panel botnetu SBC (źródło: FOX IT)

Sam botnet znany jest od roku 2009, jednak do tej pory komunikował się głównie za pomocą protokołu HTTP, korzystając z normalnych połączeń. Niedawno badacze zaobserwowali zmianę na sieć TOR (dalej wykorzystywaną do komunikacji HTTP, tym razem z adresem .onion) i twierdzą, że zmiana ta zbiegła się w czasie z rozpoczęciem wzrostu liczby użytkowników TORa. Wcześniejsze dane o skali działania botnetu były dość ograniczone, ponieważ pochodziły jedynie z niewielkich fragmentów sieci, jednak ich ekstrapolacja na skalę globalną pokrywa się rzekomo ze skalą obserwowanego wzrostu liczby uzytkowników TORa.

Kolejnym istotnym argumentem przemawiającym za tym, że to właśnie Sefnit odpowiada za obserwowane zjawisko, jest wersja klienta TOR, którego używa. Nowi klienci, łączący się z siecią, korzystali z wersji 0.2.3.x (można było to zweryfikować, ponieważ wersja 0.2.4 zmieniła sposób nawiązywania połączenia). Odpowiada to sygnaturom, znalezionym w kodzie klienta botnetu – korzysta on z wersji 0.2.3.5.

Używana wersja TORa (źródło: FOX IT)

Używana wersja TORa (źródło: FOX IT)

Jak do tej pory badaczom nie udało się ustalić, jaki jest cel botnetu. Nie przejawia on żadnych zachowań charakterystycznych dla innych przypadków takich jak kradzież haseł, danych kont bankowych czy ataki DDoS. Jest możliwe, że wykorzystywany jest jedynie do instalowania innego oprogramowania na zlecenie swoich twórców.

Jako że wg statystyk sieci TOR w samej Polsce zaobserwowano ponad 80 tysięcy nowych klientów, czyli możliwych infekcji botnetu, warto sprawdzić swoje komputery. Wirus instaluje się w ścieżce:

Komponenty sieci TOR instaluje w
a hasze MD5 wersji korzystającej z sieci TOR to
Aktualną wersję wirusa możecie znaleźć pod adresem
Plik ma aktualnie wykrywalność na poziomie 23/47, jednak jest regularnie aktualizowany.

Aktualizacja 16:40 Jak radzi sobie z obciążeniem sieć TOR