Negli ultimi mesi gli esperti di Kaspersky Lab hanno monitorato le cosiddette risorse Darknet, soprattutto la rete TOR. La prima cosa che è risultata evidente è che la criminalità è in crescita. Anche se l’infrastruttura di TOR e le risorse dei criminali informatici non crescono alla stessa velocità dell’Internet convenzionale, gli esperti sono riusciti al momento a rilevare circa 900 servizi online nascosti
TOR è prima di tutto senza limitazioni, software libero che opera via Internet. Ha utenti che visitano siti, scambiano messaggi sul forum, comunicano nelle IMS, ecc – proprio come accade per l’Internet “ordinario”. Ma c’è una differenza cruciale. TOR è unico in quanto permette agli utenti di rimanere anonimi durante la loro attività in rete. Il traffico di rete è completamente anonimo: è impossibile identificare l’IP dell’utente in TOR, rendendo impossibile stabilire chi sia l’utente nella vita reale. Inoltre, questa risorsa Darknet utilizza i cosiddetti pseudo-domini che vanificano gli sforzi per raccogliere informazioni personali del proprietario del dispositivo.
I criminali informatici hanno iniziato a utilizzare attivamente TOR per ospitare infrastrutture nocive. Gli esperti di Kaspersky Lab hanno rilevato Zeus con funzionalità di TOR, hanno individuato ChewBacca e infine hanno analizzato il primo Tor Trojan per Android. Un rapido sguardo alle risorse di rete TOR rivela una gran quantità di risorse dedicate al malware – server C & C, pannelli di amministrazione, ecc.
“Ospitare server C&C in TOR rende più difficili l’identificazione, l’inserimento in blacklist e l’eliminazione. Anche se creare un modulo di comunicazione TOR all’interno di un campione di malware implica un lavoro supplementare da parte degli sviluppatori di malware, ci aspettiamo che ci sarà un aumento di malware nuovi basati TOR, oltre che un supporto TOR per i malware esistenti”, ha dichiarato Sergey Lozhkin, Senior Security Researcher, Global Research e Analysis Team di Kaspersky Lab.
