Investigadores de seguridad de G Data SecurityLabs han reportado el hallazgo de una botnet oculta en la red anónima Tor. Se trata de un servicio oculto de un servidor Comando y Control (C&C), que usa el protocolo común de IRC. La botnet descubierta puede hacer ataques DDoS, descargar y ejecutar otro malware, y actuar como proxy SOCKS para mantener anónimo al atacante.
De acuerdo con los investigadores, el descubrimiento revela que los atacantes han evolucionado en la comunicación del C&C, cuyo tráfico antes ocurría ya sea colocando el servidor C&C en algún lugar de Internet o mediante redes P2P.
Diseñada inicialmente por el Laboratorio de Investigación Naval de los Estados Unidos para proteger las comunicaciones gubernamentales, Tor es un servicio web de anonimato -ahora mantenido por el proyecto Tor– que opera enrutando aleatoriamente las solicitudes de la computadora del usuario a través de una serie de nodos operados voluntariamente por otros usuarios Tor. Con Tor los usuarios finales pueden ocultar su localización para proteger su privacidad en la red. Es utilizada actualmente por mucha gente interesada en mantener el anonimato en la red, entre ellos militares, periodistas, activistas, y también los cibercriminales. Entre los servicios que Tor ofrece se encuentra el de servidor de mensajería instantánea, ahora aprovechado por los dueños de la botnet descubierta.
El principal problema al que se enfrentan los dueños de botnet es que las autoridades descubran su identidad y localización. Con Tor, al parecer estos cibercriminales encontraron la forma de mantener el anonimato en sus ataques, ya que el servidor C&C de la botnet está en el anonimato dificultando su localización. Además, los dueños de la botnet pueden aprovechar las facilidades de Tor para el cifrado del tráfico y evitar bloqueos por los sistemas de detección de intrusos.
No obstante, según los investigadores, el malware todavía puede ser bloqueado por software antivirus utilizando mecanismos de detección basado en firma y comportamiento.