Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников, сообщает soft.mail.ru.

Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.

По мнению специалистов из антивирусных компаний Bitdefender и «Лаборатория Касперского», ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в «свободных странах», чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.

Android без лишнего контроля: LineageOS отказалась идти на поводу у Google

Пока Google готовится закрутить гайки для установки приложений на Android, команда LineageOS решила успокоить своих пользователей: на устройства с этой кастомной прошивкой новая система проверки разработчиков не повлияет.

Речь идёт об Android Developer Verification — механизме, который Google начнёт вводить с 30 сентября 2026 года.

Сначала правила заработают в Бразилии, Индонезии, Сингапуре и Таиланде, а в 2027 году распространятся глобально. Суть в следующем: приложения должны быть зарегистрированы на верифицированного разработчика; неважно, скачаны они из Google Play, стороннего магазина или установлены APK-файлом.

Для обычных сертифицированных Android-устройств с Google Mobile Services всё станет сложнее. Приложения от непроверенных разработчиков не заблокируют намертво, но пользователям придётся устанавливать их через новый продвинутый сценарий сторонней загрузки или через ADB.

LineageOS в эту схему не попадает. Проект не поставляется с Google Mobile Services, не проходит сертификацию Google и не включает компонент, через который будет работать новая проверка.

Даже если пользователь сам установит Google-приложения через GApps, команда LineageOS не ожидает, что такие пакеты начнут включать спорную функцию: кому вообще нужен GApps, который добровольно делает установку APK больнее?

Разработчики допускают, что Google однажды может перенести проверку в Play Services. Но и тут позиция LineageOS непоколебима: если такое случится, функцию просто отключат, как уже делают с некоторыми механизмами обновлений на базе Play Services.

При этом LineageOS не спорит с тем, что борьба с вредоносными приложениями нужна. Но проект разделяет опасения F-Droid, EFF и кампании Keep Android Open: под видом безопасности Google может получить ещё больше контроля над распространением приложений на Android. Поэтому LineageOS подписала петицию Keep Android Open вместе с другими опенсорс-организациями.

RSS: Новости на портале Anti-Malware.ru