Los cibercriminales utilizan cada vez más la red Tor para controlar sus botnets

El protocolo de servicio oculto de Tor permite a los usuarios configurar los servicios, sobre todo servidores web, a los que sólo se puede acceder desde dentro de la red Tor, y a través de un nombre aleatorio de host con la terminación de pseudodominio .onion.

Este protocolo fue diseñado para ocultar la dirección IP real de “servicios ocultos” de sus clientes, además de esconder sus direcciones IP en el servicio, haciendo casi imposible para terceros determinar la localización e identidad de los mismos.

El tráfico entre un cliente Tor y un servicio oculto Tor es encriptado y dirigido al azar a través de una serie de equipos que participan en la red. Utilizar Tor para albergar redes botnet command-and-control no es nuevo. El potencial y debilidades de esta estrategia se debatieron por primera vez en la conferencia de seguridad DefCon 18, celebrada en 2010.

Su puesta en práctica también se ha podido ver en el pasado. En diciembre, los investigadores de Rapid7 identificaron un red botnet Skynet de entre 12.000 y 15.000 ordenadores infectados que recibían comandos desde un servidor Internet Relay Chat (IRC) que corría como servicio oculto de Tor. Los especialistas advirtieron entonces que otros editores de malware estaban adoptando este sistema también.

Los dos nuevos programas pirata descubiertos recientemente por ESET sugieren que esta predicción era correcta, al igual que otra amenaza identificada el mes pasado, y denominada Agent-PTA, que es parte de una conocida familia de malware desde 2012. Sin embargo, la incorporación de Tor sí supone una novedad.

En todo caso y aunque la localización de las direcciones IP reales de los servidores C&C resulta difícil, cuando sólo se puede acceder desde dentro de la red Tor, el análisis de los protocolos de comunicación del malware y el tráfico C&C todavía es factible, según los investigadores.

Esta es una información de Lucian Constantin. IDG News Service