L'équipe de l'évaluation des vulnérabilités du cabinet Rapid7 a identifié un botnet contrôlé par ses créateurs au travers du réseau d'anonymisation Tor. Il est probable que d'autres opérateurs de botnets adopteront cette approche. Le botnet est appelé Skynet et peut être utilisé pour lancer des attaques de type DDoS (déni distribué de service), générer des Bitcoins - un type de monnaie virtuelle - en utilisant la puissance de traitement des cartes graphiques installées sur les ordinateurs infectés, télécharger et exécuter des fichiers ou voler des identifiants de connexion pour des sites web, y compris les services bancaires en ligne.

Cependant, ce qui fait vraiment que ce botnet se démarque, c'est que sa commande et le contrôle (C & C) des serveurs sont accessibles uniquement depuis le réseau Tor en utilisant le protocole service caché (hidden service protocol). Les services cachés par Tor sont le plus souvent des serveurs web, mais peuvent aussi être du chat ' (Internet Relay Chat ou IRC), le SSH (Secure Shell) et d'autres types de serveurs.

Ces services ne sont accessibles que depuis l'intérieur du réseau Tor grâce à une recherche de nom d'hôte au hasard, qui s'achève au niveau du pseudo nom de domaine .onion. Le protocole de service caché a été conçu pour masquer l'adresse IP des clients du service et celle du service auprès des clients, ce qui rend presque impossible pour les parties concernées de déterminer l'emplacement physique ou la véritable identité de chacune des parties. Comme tout le trafic transitant par le réseau Tor, celui entre un client Tor et un service caché est chiffré et est acheminé au hasard via une série d'autres ordinateurs agissant comme des relais Tor.

Un botnet toujours vivant et puissant

Les services cachés de Tor sont parfaits pour une opération de botnet, estime Claudio Guarnieri, chercheur en sécurité à Rapid7 et créateur du système Cuckoo Sandbox pour l'analyse des programmes malveillants. « Pour autant que je sache, il n'existe aucun moyen technique de tracer et certainement pas pour abattre les services cachés utilisés pour du  C & C » écrit-il.

Claudio Guarnieri a publié un billet de blog sur le botnet Skynet. Il pense que ce dernier est le même que celui décrit par un opérateur de botnet qui s'est confessé dans un fil "IAMA" (I am a) sur Reddit, il y a sept mois. Les discussions Reddit « IAMA » ou « AMA » (ask me anything) permettent aux personnes qui effectuent divers travaux ou différentes occupations de répondre aux questions des autres utilisateurs Reddit.

Malgré la richesse des informations sur ce réseau de zombies Skynet offertes par son créateur sur Reddit il y a sept mois, le botnet est toujours vivant et fort. En fait, les chercheurs de Rapid7 estiment que la taille actuelle du réseau de zombies est de 12 000 à 15 000 ordinateurs infectés, jusqu'à 50% de plus que ce que son opérateur estimait il y a 7 mois. Le malware derrière ce botnet est distribué par Usenet, un système construit à l'origine au début des années 1980 comme une plate-forme de discussion distribuée, mais désormais couramment utilisée pour distribuer des logiciels piratés et leur contenu, communément appelé « warez ».

« Nous l'avons d'ailleurs trouvé par hasard sur Usenet et commencé à creuser et réalisé que l'opérateur reconditionne et télécharge automatiquement le malware pour chaque nouvelle version de warez », déclare Claudio Guarnieri. « Il pourrait être susceptible de se retrouver sur d'autres plates-formes de partage de fichiers, mais nous n'avons aucune preuve à ce stade. » Le contenu de Usenet est souvent téléchargé par les utilisateurs et redistribué par le biais d'autres technologies de partage de fichiers comme BitTorrent.

Le malware Skynet a plusieurs composantes: un bot contrôlé par IRC qui permet de lancer plusieurs types d'attaques par déni de service et d'effectuer plusieurs autres actions, un client Tor pour Windows, une application d'exploration Bitcoin et une version du programme de cheval de Troie Zeus, qui est capable de s'accrocher dans les processus de navigation et de voler des identifiants de connexion pour des sites web.