Kaspersky Lab: Cyberkriminelle nutzen 900 aktive Online-Ressourcen in Tor

05.03.2014

Moskau/lngolstadt, 5. März 2014 – Kaspersky Lab beobachtet derzeit im so genannten „Darknet“ verstärkte Aktivitäten der Cyberkriminellen über das Tor-Netzwerk ⁽¹⁾. Obwohl die Infrastruktur und die cyberkriminellen Ressourcen des alternativen Netzwerks nicht dieselben Standards wie das klassische Internet bieten, kennt Kaspersky Lab aktuell etwa 900 versteckte Online-Services im Tor-Netzwerk.

Nutzer des Tor-Netzwerks können wie im „normalen“ Internet Seiten besuchen, sich über Foren austauschen oder über Instant-Messaging-Dienste kommunizieren. Der große Unterschied besteht darin, dass Nutzer bei Tor während ihrer Netzaktivität anonym bleiben ⁽²⁾. Es ist unmöglich, IP-Adressen zu identifizieren und Rückschlüsse auf den Anwender zu ziehen. Darüber hinaus nutzen bestimmte Darknet-Ressourcen so genannte Pseudo-Domains. Diese machen es unmöglich, persönliche Informationen des Betreibers zu erhalten.

Tor als anonyme Infrastruktur für Malware beliebt  
Cyberkriminelle nutzen Tor, um ihre Infrastruktur zu hosten. Kaspersky Lab hat Tor-Funktionalitäten beim Banking-Trojaner „Zeus“ ⁽³⁾, beim Keylogger-Trojaner „ChewBacca“ ⁽⁴⁾ sowie bei einem kürzlich aufgetauchten Tor-Trojaner für Android entdeckt. Netzwerkressourcen innerhalb von Tor werden beispielsweise für C&C (Command-and-Control)-Server oder Admin-Panels in Kombination mit Malware eingesetzt.

„Im Tor-Netzwerk gehostete C&C-Server erschweren deren Identifikation, Blacklisting oder Eliminierung“, sagt Sergey Lozhkin, Senior Security Researcher bei Kaspersky Lab. „Obwohl die Entwicklung eines Kommunikationsmoduls für Tor innerhalb eines Malware-Samples mit zusätzlichem Aufwand verbunden ist, erwarten wir einen Anstieg von neuer, auf Tor basierender Malware – ebenso wie den zunehmenden Tor-Support von bereits bestehenden Schädlingen.“

Erster Tor-Trojaner für Android
Kaspersky Lab hat Ende Februar 2014 einen Android-Trojaner entdeckt ⁽⁵⁾, der eine Domain in der so genannten Onion-Pseudo-Zone – also im anonymen Tor-Netzwerk – als C&C-Server nutzt. Der mobile Schädling namens „Backdoor.AndroidOS.Torec.a“ nutzt Funktionalitäten des Tor-Clients „Orbot“. Durch die Nutzung von Tor verschleiert der Trojaner seine Kommandozentrale, also seinen C&C-Server. Auf Android-Geräten ist der Trojaner in der Lage, eingehende SMS-Nachrichten abzufangen und ausgehende zu stehlen, SMS-Nachrichten an bestimmte Nummern zu senden, USSD-Anfragen durchzuführen sowie Telefondaten und Informationen zu installierten Apps an den C&C-Server zu senden.

⁽¹⁾ http://www.securelist.com/en/blog/8187/Tor_hidden_services_a_safe_haven_for_cybercriminals

⁽²⁾ http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29

⁽³⁾ http://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_enhanced_with_Tor

⁽⁴⁾ http://newsroom.kaspersky.eu/de/texte/detail/article/chewbacca-trojaner-nutzt-tor-als-infrastruktur/

⁽⁵⁾ http://www.securelist.com/en/blog/8184/The_first_Tor_Trojan_for_Android