Tor-Netzwerk für Botnet missbraucht

Sicherheitsexperten der Firma Rapid7 haben bekanntgegeben, dass sie ein Botnet identifiziert haben, welches via den Tor-Anonymisierungsdienst kommuniziert. Skynet - so wird dieses spezifisches Botnet genannt - kann für DDoS-Attacken und die illegale Produktion der virtuellen Währung Bitcoins eingesetzt werden. Auch nutzt es die Prozessorleistung von Grafikkarten und stiehlt Passwörter. Die Technik sei nicht grundlegend neu, sagt Marco Preuss, Sicherheitsbeauftragter der Firma Kaspersky Lab gegenüber IDG News Service (IDGNS). Schon vor Jahren diskutierten Sicherheitsexperten über die Implementierung von Botnets ins Tor-Netzwerk. Jedoch sei doch beträchtlicher Implementierungsaufwand zu betreiben. Auf Grund der Fehlermeldungen im Tor-Netzwerk können infizierte Computer ausgemacht werden und auch sei die Latenz im Tor-Netzwerk ein Problem. Auch Claudio Guarnieri, ein Sicherheitsexperte von Rapid7 macht auf die Schwierigkeiten einer Botnet-Implementation in einem Tor-Netzwerkt aufmerksam. Zwar garantiert das Netzwerk Anonymität und Verschlüsselung der Datenströme, doch die hohe Latenz und Instabilität seien ein Nachteil. Auch schätzt Guarnieri die infizierten Skynet-Computer auf 12'000 bis 15'000, eine doch eher bescheidene Grösse. Trotzdem muss die Entwicklung wachsam beobachtet werden. Denn der Control & Command-Computer ist natürlich anonymisiert, eine Rückverfolgung der Datenströme sehr schwierig. Trotzdem gibt es Möglichkeiten, solche anonymisierten Botnetze zu isolieren, wie Preuss ausführt. So könnten die einzelnen Tor-Node-Administratoren zusammen mit den ISPs Botnet-Traffic blockieren. Der Skynet-Trojaner, eine Abart des bekannten Zeus, wurde via Usenet verbreitet. Anscheinend verbreitete er sich von selbst, indem er sich in  populäre «Warez»-Dateien auf Usenet paketiert. Auf dem Technologieportal Reddit wurde Skynet zum ersten Mal im Juni erwhnt, vermutlich von seinem Erschaffer selbst. Eine ausführliche Dokumentation zu Skynet von Claudio Guarnieri findet sich hier.