Plötzlicher Anstieg der Tor-Nutzerzahlen geklärt

Am 19. August fiel den Machern des Tor-Netzwerks ein rasanter Anstieg der Nutzerzahlen auf zunächst das Doppelte auf. Zuerst dachten die Entwickler an ein gestiegenes Sicherheitsbewusstsein infolge des Prism-Skandals. Als die Zahlen aber weiter auf fast das Fünffache stiegen, wurden Nachforschungen angestellt.

Wie sich jetzt herausstellte, war es nicht der das Tor-Protokoll nutzende PirateBrowser der Crew von The Pirate Bay, der die Nutzerzahlen explodieren ließ, sondern ein Botnetz, das seinen Verkehr von HTTP auf Tor umstellte. Laut den Experten des niederländischen Sicherheitsteams der Firma Fox IT handelt es sich um den Trojaner Mevade.A, dessen Botnetz zeitgleich mit dem Anstieg der Nutzerzahlen des Anonymisierungs-Netzwerks von HTTP auf Tor als Kommunikationsprotokoll umstellte.

Mit der Analyse von Fox IT haben die Spekulationen der letzten Wochen, die von der Umgehung von Pirate-Bay-Sperrungen bis zu Geheimdienstaktivitäten und der Syrien-Krise reichten, ein vorläufiges Ende gefunden. Das relativ unbekannte Botnet, dass seit 2009 auch unter dem Namen Sefnit geführt wird, ist für einen Großteil des zusätzlichen Traffics verantwortlich. Die Macher des aus dem russischsprachigen Raum stammenden Botnets stellten die Kommunikation ihrer Command-and-Control-Server fast komplett auf das Tor-Protokoll und .onion-Links um.

Wie Fox IT feststellte, muss das Botnetz sehr groß und gut verteilt sein, um einen solchen Anstieg zu erzeugen. Noch ist unklar, welchem Zweck das Botnetz genau dient. Die Experten vermuten anhand von Details, dass das Netz dazu dient, andere Botnetze, die zum Verkauf stehen, mit Malware zu versorgen, die dem Zweck des Kreditkartenbetrugs dient.