Botnetz verursachte Zunahme von TOR-Traffic

Sicherheitsforscher glauben, den Grund für die Zunahme anonymisierter Internetzugriffe im August gefunden zu haben. Fox-IT zufolge hat das Botnetz Mevade den Anstieg zu verantworten. Dieses verwende jetzt nicht mehr HTTP, sondern eben das TOR-Netzwerk für die Kommunikation zwischen Bots und Kommandoservern, heißt es in einem Blogbeitrag.

Manche Kommentatoren hatten geglaubt, den Anstieg an TOR-Kommunikation im August auf die beängstigenden Veröffentlichungen von Edward Snowden zurückführen zu können. Andere Theorien waren von Zugriffen von Aktivisten aus Syrien oder dem Launch des Private Browser der Site Pirate Bay ausgegangen.

„Die Mevade-Bots scheinen ebenso zahlreich wie weit verbreitet zu sein“, heißt es in dem Beitrag. „Schon vor der Umstellung auf TOR gab es etliche zehntausend bestätigte Infektionen in einer beschränkten Anzahl von Netzen. Wenn man diese Zahlen auf die Welt hochrechnet, ist man definitiv in einer Liga mit den Zunahmen der TOR-Nutzer.“

Fox-IT liefert noch eine Reihe weiterer Konjekturen: „Es ist möglich, dass dieses Malware-Netz nur dazu dient, weitere Malware nachzuladen, und dass die Clients zum Verkauf stehen. Wir haben dafür aber keine eindeutigen Beweise, sondern können nur kleine Hinweise kombinieren. Fest steht, dass es aus einer Region stammt, in der Russisch gesprochen wird. Für wahrscheinlich halten wir auch einen direkten oder indirekten Zusammenhang mit Finanzbetrug.“

Trend Micro präzisiert, die Kriminellen arbeiteten von der ukrainischen Stadt Charkiw sowie von Israel aus. Sie seien seit mindestens 2010 aktiv. Man habe in den letzten Wochen auch beobachtet, dass die Malware Mevade ein TOR-Modul heruntergeladen habe.

Laut Trend-Micro-Forscher Feike Hacquebord ist es den Kriminellen nicht allzu gut gelungen, ihre Spuren zu verwischen. „Einer der Hauptakteure ist als ‚Scorpion‘ bekannt. Ein anderer verwendet den Spitznamen ‚Dekadent‘. Es handelt sich um eine gut organisierte und offenbar finanziell schlagkräftige Cybercrime-Bande.“ Man habe sie mit Adware und entführten Suchergebnissen in Verbindung bringen können. „Darum mutmaßen wir, dass das Mevade-Botnetz unter anderem durch heimliche Installation von Adware und Toolbars zu Geld gemacht wird.“

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago