L'entreprise de sécurité ESET a découvert que deux autres familles de botnets passaient par le réseau Tor pour garantir l'anonymat du trafic avec les serveurs de commande et de contrôle (C&C). L'utilisation de Tor par les cybercriminels est loin d'être une nouveauté, mais jusqu'à présent, le recours au système d'anonymisation était l'exception plutôt que la règle. Au début du mois, la détection par l'ESET de Win32/Atrax et Win32/Agent.PTA sur le réseau Tor montre que l'intérêt pour ce service a pris de l'ampleur. Les données recueillies par l'entreprise de sécurité semblent indiquer que la présence d'Atrax est très récente. Le recours à Tor demande une mise en oeuvre assez lourde. En effet, les cybercriminels doivent mettre en cache toutes les données des ordinateurs formant le botnet dans un serveur hébergé sur le réseau, preuve de leur forte motivation. Cependant, bien que « masqué », les chercheurs ont pu accéder au sinistre écran de connexion affichant l'araignée mortelle d'Australie, Atrax Robustus.



Page d'accueil du botnet Atrax

Agent.PTA, le second bot utilisant Tor, également découvert par l'ESET, est moins sophistiqué. En fait, il a les caractéristiques d'un ancien bot utilisé depuis peu pour tester Tor et évaluer ses avantages et ses inconvénients. L'usage de Tor peut être considéré comme une évolution naturelle pour les serveurs de C&C. L'autre alternative serait d'utiliser un serveur central conventionnel accessible via un protocole standard ou propriétaire. Mais cette solution est relativement facile à contrer comme l'ont montré de nombreuses opérations « bot roasts » menées par le FBI. D'où une tendance croissante à choisir des alternatives comme le P2P, mais qui a l'inconvénient de voir les hôtes bloqués par des pare-feu.

Un développement sous contrôle

En cela, Tor fait figure de troisième voie, puisqu'il évite les pièges du P2P en permettant aux serveurs classiques d'être visibles à travers Tor sans révéler leurs adresses IP réelles. Le trafic de Tor est également crypté et peut potentiellement échapper aux systèmes de détection des intrusions. Alors, si c'est aussi simple que cela, on se demande pourquoi les cybercriminels ne se sont pas davantage précipités vers Tor ? La réponse est que, tout comme le P2P, Tor a sa part d'incertitude et de latence. Certes, Tor est plus sûr, mais il est aussi beaucoup plus lent. Le fait que les cybercriminels se soient donnés la peine de faire passer le canal de communication C&C par Tor montrent aussi qu'ils subissent une certaine pression des activités anti-bot.

« Pendant l'été, nous avons pu voir que davantage de familles de malware s'étaient mises à utiliser des communications basées sur Tor », a déclaré Alexsander Matrosov de l'ESET. « Les botnets qui passent par Tor sont vraiment beaucoup plus difficiles à repérer et la localisation des serveurs C&C est plus compliquée. Mais la détection du botnet Win32/Atrax.A montre que les procédures d'analyse des protocoles de communication sont les mêmes et que toutes les vieilles méthodes fonctionnent aussi avec les adresses d'un réseau Tor ».

Un détournement de l'usage


En résumé, Tor permet de masquer les serveurs de C&C mais il n'est pas invulnérable à la détection et à l'analyse des chercheurs en sécurité qui peuvent faire de l'ingénierie à rebours après la détection du malware qu'ils dirigent à distance. Le jeu du chat et de la souris entre les entreprises de sécurité et les criminels reste très actif. Le botnet Skynet mis à jour en décembre dernier, utilisait aussi le réseau Tor. A l'époque, l'entreprise de sécurité Rapid7, à l'origine de la découverte, avait prédit une augmentation de l'utilisation du réseau d'anonymisation. En septembre dernier, l'entreprise de sécurité G Data avait révélé l'existence d'un serveur de chat IRC caché à l'intérieur de Tor.

A l'origine, le réseau Tor avait été conçu comme un service d'anonymat au service des lanceurs d'alerte et des militants vivant dans des pays totalitaires. Son usage est régulièrement détourné. Mais malgré sa récente adoption par des cybercriminels, il reste un canal important pour se protéger contre les systèmes de surveillance sur Internet.