Bot-Netzwerk über Tor ferngesteuert

Wer ein Bot-Netz kontrolliert und damit eine Schar von Zombie-Computern lenkt, verfügt je nach Größe des Netzwerks über erhebliche Macht. Diese wird meist für kriminelle Vorhaben eingesetzte, etwa für Schutzgelderpressung über DDos-Attacken auf kommerzielle Websites. Je länger ein Bot-Netzwerk unbemerkt und damit einsatzfähig bleibt, desto lukrativer ist dessen Betrieb. Um bei einer Entdeckung den Strafverfolgungsbehörden zu entgehen, setzen die Betreiber alles daran, ihre Identität zu verschleiern. Üblicherweise gelingt dies über eine temporäre Kommandozentrale, die wiederum auf einem gehackten oder schlecht administrierten Server untergebracht wird.

Einen anderen Weg, den Ort der Kommandozentrale und die Identitäten der Nutzer geheim zu halten, haben die IT-Sicherheitsdienstleister von Rapid7 aufgedeckt: Das Bot-Netzwerk Skynet wird über den Anonymisierungsdienst Tor (The Onion Router) gesteuert und nutzt dazu dessen Erweiterung „Tor Hidden Services“. Damit ist es Servern im Internet möglich, Dienste anzubieten, die nur über das Tor-Netzwerk sichtbar und zugänglich sind. Sowohl Client als auch Server bleiben dabei anonym.

Skynet - Ein Erbe des Zeus-NetzwerksSkynet dient bisher für DDos-Angriffe und zur Erzeugung von Bitcoins über erschlichene Rechenzeit auf infizierten PCs. Der Botnet-Client selbst ist eine weiterentwickelte Variante des länger bekannten Trojaners Zeus, dessen Bot-Netz Microsoft in Zusammenarbeit mit dem FBI bereits im März 2012 zerschlagen wurde. Da der Quellcode des Trojaners frei verfügbar ist, sind zahlreiche weitere Varianten im Umlauf und auch das vergleichsweise fortgeschrittene Skynet basiert darauf.

Aktuell verbreitet sich Skynet über verhältnismäßig große, ausführbare und leicht zu identifizierende Dateien für Windows in den üblichen Binary-Newsgroups, die hauptsächlich zur Software-Piraterie dienen. Die Verbreitung des Trojaners ist deshalb gering: Rapid7 schätzt, dass aktuell nur 12000 bis 15000 infizierte Computer in Skynet zusammengeschlossen sind.

Für ein Bot-Netz sind dies eher niedrige Zahlen, so hatte Zeus in Zeiten hoher Infektionsraten bis zu mehrere Millionen Zombie-PCs unter seiner Kontrolle. In //community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit:seinem Blog geht Claudio Guarnier von Rapid7 davon aus, dass der Betreiber von Skynet ein einzelner Entwickler aus Deutschland oder den Niederlanden ist, der sich mit seinem Bot-Netz unter dem Pseudonym „throwaway236236“ bereits vor 7 Monaten auf Reddit gebrüstet hat. Auch der deutsche Sicherheitsdienstleister GData hatte im September 2012 die Spur einer Bot-Netz-Infrastruktur im Tor-Netzwerk aufgenommen und die Struktur allgemein beschrieben.

Tor: Anonymität zwischen Meinungsfreiheit und kriminellem TreibenTor (The Onion Router) ist eine Verkettung von Proxy-Servern, die ein hohes Maß an Anonymität bieten. Übertragene Daten gehen innerhalb des Tor-Netzwerks verschlüsselt von Server zu Server, bis sie schließlich über das Exit-Node die angeforderte Website erreichen. Der Datenverkehr geht immer über mindestens drei Proxy-Server, damit sich Ursprung und Ziel einer Anfrage nicht vom Betreiber eines Servers nachverfolgen lassen.

Tor-Server sind über den gesamten Globus verteilt und werden von ehrenamtlichen und meist idealistischen Administratoren betrieben. Prinzipiell kann jeder mit dem technischen Know-How einen Tor-Proxy in Betrieb nehmen, wenn genügend Bandbreite zur Verfügung steht. Aktuell sind weltweit etwa 3000 Server online. Ins Leben gerufen wurde das Projekt vom U.S. Naval Research Laboratory und wurde dann von 2004 ab von der Electronic Frontier Foundation finanziert. Tor ist heute in den USA als gemeinnützige Organisation eingetragen und erhält von verschiedenen Seiten Unterstützung, etwa auch vom U.S. State Department.

Mit Tor erhalten beispielsweise Dissidenten in repressiven Staaten eine Möglichkeit, das Web anonym zu nutzen. Allerdings werden die Ressourcen auch von Kriminellen genutzt, wie in diesem Fall. Da sich die Identität der Betreiber von Tor-Servern und von Hidden Services nie eindeutig feststellen lässt, können damit aber auch Strafverfolgungsbehörden und Nachrichtendienste Honeypots aufsetzen. Etwa, um kriminelle und terroristische Netzwerke zu infiltrieren und um unverschlüsselten Traffic an den Exit-Nodes aufzuzeichnen.

Das Konzept, Tor für die Kommandozentrale eines Bot-Netz zu nutzen, ist nicht neu und wird von Entwicklern schon länger diskutiert. Ein erheblicher Nachteil ist, dass es innerhalb der Proxy-Kette von Tor zu erheblichen Verzögerungen kommen kann, die eine Steuerung von Zombie-PCs schwierig macht. Lange blieb es deshalb bei der Theorie und funktionierende Beispiele ließen mehrere Jahre auf sich warten. Sollte das Konzept von Skynet Schule machen, wird Tor auf diese Gefahr reagieren müssen. Ansonsten könnten Internetprovider dazu übergehen, den Traffic von bekannten Tor-Nodes schlicht zu blockieren und das Netzwerk damit ineffektiv machen.