Rapid7: Обнаружен ботнет Skynet управляемый через сеть ТОR

Rapid7Специалистами компании Rapid7 был обнаружен один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

Первооткрыватели ботнета (Skynet) предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

Технология TOR была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства.

Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования "выходных TOR-узлов" в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников.

Ботнет Skynet представляет собой настоящий многофункциональный комбайн. Он поддерживает:

  • организацию распределенных атак на отказ в обслуживании (DDoS);
  • генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах;
  • исполнение произвольного кода по команде оператора;
  • похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших.


Главное же отличие Skynet в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тыс. зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, устанавливаемого на машину жертвы, входит:

  • специальный бот с управлением через IRC-чат (этот бот способен запускать несколько типов DDoS-атак и других действий);
  • собственный TOR-клиент для Windows;

  • модуль для "добычи" Bitcoin-валюты (путем сложных расчетов на графическом процессоре);
  • специальная версия известного трояна Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам.


Несмотря на недостатки сети TOR - большие задержки и невысокая пропускная способность - для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

Каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.

По мнению специалистов из антивирусных компаний Bitdefender и "Лаборатории Касперского", ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в "свободных странах", чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.


Обновлено (10.12.2012 18:10)