image

Groot botnet achter mysterieuze groei Tor-gebruikers

donderdag 5 september 2013, 14:21 door Redactie, 7 reacties
Laatst bijgewerkt: 05-09-2013, 21:40

De mysterieuze groei van het aantal Tor-gebruikers die de laatste weken werd gemeten is het werk van een botnet, zo laat een Nederlands beveiligingsbedrijf weten. Tor is een netwerk waarmee internetgebruikers hun IP-adres kunnen verbergen en gecensureerde websites kunnen bezoeken.

Eind augustus was er opeens een gigantische groei zichtbaar waarbij het aantal gebruikers verviervoudigde en zelfs de 2,5 miljoen passeerde, terwijl het er eerst zo'n 500.000 waren. Als mogelijke oorzaak werd een botnet genoemd, waarvan de Command & Control servers het Tor-netwerk gebruikten om met besmette computers te communiceren.

Botnet

Volgens het Delftse Fox-IT is een groot botnet inderdaad de reden dat het aantal gebruikers de afgelopen weken sterk is gegroeid. "We hebben inderdaad bewijs gevonden dat suggereert dat een specifiek en vrij onbekend botnet verantwoordelijk is voor het grootste deel van de plotselinge toename van Tor-gebruikers", zegt analist Yonathan Klijnsma.

Het zou om de Mevade-bot gaan, ook bekend als Sefnit, waarvan de eerste variant al in 2009 verscheen. De malware zou onder andere over Tor-functionaliteit beschikken. Voorheen communiceerde de Command & Control servers van het botnet over HTTP met besmette computers en werden ook alternatieve communicatiemethodes gebruikt.

Belasting

Recentelijk begon het botnet via Tor te communiceren, wat samenvalt met de plotselinge toename van het aantal Tor-gebruikers. "Het botnet is gigantisch en zeer wijdverbreid", aldus Klijnsma. Al voor de overstap naar Tor bestond het botnet al uit tienduizenden computers. Het is echter nog altijd onbekend waarvoor de bots worden gebruikt.

Gisteren lieten de ontwikkelaars van Tor nog weten dat de nieuwe aanwas van gebruikers een zeer grote belasting voor het netwerk vormt, waarbij de maximale capaciteit van het netwerk zelfs in zicht komt.

Image

Reacties (7)
05-09-2013, 14:39 door Anoniem
Als overheden je willen bespioneren, maar het lukt ze niet, omdat er dit soort "anoniem"-infrastructuur bestaat (helaas alleen nog niet perfect) is het wellicht een idee om deze infra uit te schakelen door het te overbelasten. De eerlijke tor-gebruikers :-) kunnen dan helaas niet meer op een normale manier van de tor-diensten gebruik maken en worden verleid om maar weer onveilig te gaan webben.
05-09-2013, 15:29 door Anoniem
handig om te bruteforcen. IPadressen hard dicht zetten is pointless.
JE website kun je nog wel aardige beschermen met captcha's, maar niet je SIPservers.
05-09-2013, 15:51 door 0101
@Anoniem 14:39 de belangrijkste inkomstenbron van het Tor project is de overheid van de V.S. Bovendien gaat het hier om C&C (Command & Control) communicaties en niet om een DDoS-aanval.
05-09-2013, 16:53 door Anoniem
Gezien het feit dat diensten als de NSA zoveel exit nodes bezitten dat ze veel tor verkeer alsnog kunnen traceren, is dit extra verkeer misschien helemaal niet verkeerd. Er ontstaat zo immers veel meer "noise"...
05-09-2013, 18:49 door wica128
*lol* Dit had ik net 2 maanden geleden bedacht :) zoiets als een POC.

Grappig om te zien, dat iemand dit nu doet. Overigens wel stout :p
05-09-2013, 20:01 door mvh69 - Bijgewerkt: 06-09-2013, 09:23
Voorheen communiceerde het botnet over HTTP met besmette computers
Nou kan ik het mis hebben , maar een botnet , dat ZIJN toch besmette computers ? hoe kan dat botnet dan met zichzelf over TOR communiceren ? Het lijkt mij dat het zou moeten gaan om de communicatie tussen de besmette computers en de C & C SERVERS , en dat dat nu over TOR loopt.

Maar ook dan snap ik het verhaal niet helemaal , hoe kan een "groot" botnet van tien duizenden computers voor een toename van 1,5 MILJOEN gebruikers op TOR leiden ?
Is dat een reken foutje ? of hebben zij zomaar aangenomen dat het wel waarschijnlijk is dat het botnet van minder dan 100.000 binnen 2 weken naar 1.500.000 gegroeid ? Ik vind dat namelijk alles behalve geloofwaardig.
Ach ja , misschien was prinsmans weer terug van vakantie en vond die het weer tijd om de nodige media aandacht te genereren.

<moderator>verwijderd, in strijd met huisregels</moderator>

aanvulling 21:37
op tweakers staat het wel juist :
"Aanvankelijk zou de malware http gebruikt hebben om te communiceren met de command-and-control-servers van het botnet"
https://tweakers.net/nieuws/91135/stijging-tor-verkeer-komt-door-botnet.htm

Bovendien spreken ze op tweakers over een stijging van 1,2 miljoen naar 2,5 miljoen gebruikers binnen 1 WEEK !
05-09-2013, 23:48 door Anoniem
Door mvh69:

Maar ook dan snap ik het verhaal niet helemaal , hoe kan een "groot" botnet van tien duizenden computers voor een toename van 1,5 MILJOEN gebruikers op TOR leiden ?
Is dat een reken foutje ? of hebben zij zomaar aangenomen dat het wel waarschijnlijk is dat het botnet van minder dan 100.000 binnen 2 weken naar 1.500.000 gegroeid ? Ik vind dat namelijk alles behalve geloofwaardig.

In het bronartikel staat het wel juist.
Gaat om tienduizenden infecties die ze hebben waargenomen binnen bepaalde netwerken.
Als ze die netwerken extrapoleren ten opzichte van het aantal computers binnen het land van dat netwerk of zelfs wereldwijd, kun je dus aannemen dat het om honderdduizenden infecties gaat. Waarschijnlijk is het lastig om exacte nummers te geven, (wellicht kan alleen de NSA dat :P), maar in ieder geval hebben ze de malware aangeleverd, kunnen antivirus bedrijven het waarschijnlijk bevestigen of ontkrachten op basis van hun inzicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.