USD 81.36 ЕВРО 94.38

Другие новости

Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года

Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран

Более пяти тысяч участников объединил Moscow Startup Summit

Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»

Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы

Павильон ВДНХ и Саввинское подворье: какие памятники архитектуры заявлены на конкурс «Московская реставрация»

Все новости

Крупный ботнет стал причиной недавней перегрузки сети Tor

Общество

Недавно Роджер Динглдайн, создатель автралийского анонимайзера Tor, отмечал резкое увеличение количества пользователей Tor в списке рассылки Tor Talk. Было множество домыслов на тему происходящего. Многие предполагали, что это — результат недавней шпионской истерии, или последствие блокады «Пиратской бухты», и даже гражданской войны в Сирии.

В настоящий момент число пользователей Tor выросло уже в 5 раз, и график из метрики до сих пор не содержит никаких признаков снижения темпов роста.

скачкообразный рост числа пользователей сети Tor

Альтернативное объяснение этого явления — это усилившееся влияние ботнетов, использующих Tor в своих целях. И этому предположению есть доказательства: за увеличением внезапного всплеска пользовательской активности и роста числа новых пользователей стоят специфические и почти неизвестные ботнеты. Недавно обнаруженное имя ботнета, упоминаемого в этой связи – «Mevade.A», но более ранние упоминания называют его «Sefnit» (информация восходит ещё к 2009 году). Есть данные, что внутреннее имя, известное операторам этого вредоносного ПО, – SBC.

Ранее ботнет управлялся преимущественно через протокол HTTP и некоторые альтернативные способы подключения. Теперь же главным коммуникативным каналом ботнета стал Tor. Ботнет представляется очень крупным и широко распространённым. Ещё до перехода на Tor он состоял из десятков тысяч инфицированных машин в пределах ограниченного количества сетей.

ботнетВажно отметить, что ботнет уже существовал и был очень крупным ещё до перехода на Tor и использования .onion в качестве команд и управляющего канала.

Вредоносное ПО использует команды и подключение через .onion-ссылки Tor по протоколу HTTP. Некоторые боты продолжают действовать, используя стандартные подключения HTTP, но новые версии уже переходят на сети peer-to-peer (на базе KAD).

Из этого становится совершенно ясно, что основное предназначение ботнета – атаки на интернет-банкинг, накрутка кликов в рекламных сетях, распространение вирусов-вымогателей (блокираторов системы) и фальшивых антивирусников. Судя по всему, ботнет управляется из некоего русско-язычного региона, и связан с финансовой преступностью, без политической подоплеки.

Специфическая версия malware, использующая функционал Tor, устанавливает себя по следующему адресу:
%SYSTEM%configsystemprofileLocal SettingsApplication DataWindows Internet Name Systemwins.exe
Дополнительно устанавливается компонент Tor:
%PROGRAMFILES%TorTor.exe