Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Обнаружен ботнет Skynet с управлением через анонимную сеть TOR

Специалисты по сетевой безопасности из компании Rapid7 обнаружили, возможно, один из первых ботнетов, в котором связь зараженных машин с управляющим сервером выполнялась с помощью технологии TOR, обеспечивающей анонимный доступ к Интернету.

Первооткрыватели ботнета, получившего название Skynet, как искусственный интеллект в фильмах про Терминатора, предупредили, что в ближайшее время эту практику могут взять на вооружение и другие ботнеты, что сильно затруднит обнаружение и нейтрализацию их управляющих серверов.

Технология TOR, о которой мы не раз писали, была создана военными специалистами США в расчете на то, что с ее помощью подвергаемые гонениям активисты в странах с тоталитарными режимами смогут беспрепятственно общаться со своими единомышленниками и соратниками по подрывной работе против государства. Многоуровневая анонимизация в сети TOR почти исключает возможность перехвата и прослушки сообщений. Кроме того, через сеть TOR-ретрансляторов в странах с фильтрацией Интернета можно получать доступ к любым закрытым ресурсам за счет использования «выходных TOR-узлов» в странах с менее жестким режимом доступа. По прошествии времени выяснилось, что технология TOR открыла настоящий ящик Пандоры не только для правозащитников, но и для настоящих киберпреступников, сообщает soft.mail.ru.

Обнаруженный ботнет Skynet, по данным исследователей, представляет собой настоящий многофункциональный комбайн. В частности, Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin с использованием вычислительных ресурсов графического процессора на зараженных машинах, исполнение произвольного кода по команде оператора, а также похищение реквизитов для доступа к веб-сайтам и банковским счетам пострадавших. Главное же отличие Skynet заключается в том, что доступ к его серверам управления возможен только через сеть TOR по протоколу Tor Hidden Service.

Традиционно протокол Tor Hidden Service используется для анонимного доступа к обычным веб-сайтам, а также к чат-серверам IRC и некоторым другим сервисам, включая удаленное управление по протоколу SSH (Secure Shell). Адрес такого сервиса выглядит как случайная последовательность символов с расширением .onion в качестве псевдо-домена верхнего уровня. По мнению представителей компании Rapid7, на данный момент не существует способов отследить и нейтрализовать управляющие серверы ботнета, скрытые с помощью протокола TOR Hidden Service.

По оценкам компании Rapid7 сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. За семь месяцев, прошедших после обнаружения первых признаков этого ботнета, число пораженных машин увеличилось почти на 50 %. В состав ботнет-клиента, который устанавливается на машину жертвы, входит специальный бот с управлением через IRC-чат (этот бот умеет запускать несколько типов DDoS-атак и других действий), собственный TOR-клиент для Windows, модуль для «добычи» Bitcoin-валюты (путем сложных расчетов на графическом процессоре), а также специальная версия известного троянца Zeus с возможностью внедрения в браузер и кражи пользовательских данных для доступа к веб-сайтам и банковским счетам. Несмотря на то, что сеть TOR имеет ряд недостатков, включая большие задержки и невысокую пропускную способность, для передачи команд узлам ботнета этого вполне достаточно, как при запуске DDoS-атаки.

Еще один примечательный факт – каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам, а вместе с ней более устойчивым становится и работающий через нее ботнет.

По мнению специалистов из антивирусных компаний Bitdefender и «Лаборатория Касперского», ботнеты с управлением через TOR не являются такими уж неуязвимыми. Есть средства для борьбы с таким угрозами и на уровне интернет-провайдеров в виде блокирования трафика от всех известных выходных TOR-узлов. С другой стороны, это в итоге может разрушить сам исходный замысел системы TOR, где выходные узлы, теоретически, должны поддерживаться добровольцами в «свободных странах», чтобы оказывать услуги анонимности своим менее удачливыми коллегам, ищущим защиты от преследований.

Solar SIEM получил правила Solar JSOC, TI Feeds и расширенного ИИ-агента

ГК «Солар» выпустила Solar SIEM 2026.2. Главное изменение — в продукт добавили полную библиотеку правил детектирования Solar JSOC, сформированную за 14 лет мониторинга и расследования инцидентов в инфраструктурах примерно 300 заказчиков.

Идея проста: компаниям больше не нужно месяцами собирать собственную базу правил под конкретную инфраструктуру. Готовые сценарии должны помочь обнаруживать сложные атаки уже на первых этапах внедрения системы.

По данным Solar JSOC, в 2025 году центр зафиксировал 1,16 млн событий информационной безопасности после фильтрации ложных срабатываний. Заказчики подтвердили более 33 тыс. инцидентов. Чаще всего встречались вредоносное ПО — 36% случаев — и попытки несанкционированного доступа — 23%.

В обновлении также появилась поддержка TI Feeds. Solar SIEM может загружать индикаторы компрометации из базы Solar 4RAYS и сторонних источников клиента, а затем автоматически сопоставлять их с событиями в инфраструктуре.

Расширили и возможности ИИ-агента. Раньше он анализировал только информацию из карточки инцидента, теперь может самостоятельно обращаться к исходным данным, изучать их и предлагать дальнейшие действия. Это должно ускорить первичный разбор и снять часть рутины с аналитиков.

Ещё одно нововведение — мультитенантность. Несколько организаций можно подключить к одной инсталляции SIEM, разделив их потоки событий. Такой вариант рассчитан прежде всего на холдинги, MSSP-провайдеров и структуры с большим количеством подразделений.

В пилотировании новой версии приняли участие более 40 компаний разного масштаба. По сути, Solar SIEM пытается сместить акцент с бесконечной ручной настройки на готовую базу знаний, которую можно использовать без собственного огромного SOC и армии аналитиков.

RSS: Новости на портале Anti-Malware.ru