De flinke groei, ook in Nederland, aan Tor-gebruik van de laatste tijd is toch niet veroorzaakt door surveillanceschandalen als PRISM van de NSA. Of niet geheel veroorzaakt door angst daarvoor en ontwijking ervan. De Nederlandse securityspecialist Fox-IT weet een alternatieve theorie over de groei te bevestigen.

Niet door PRISM, PirateBrowser of Syrië

"Een groot aantal artikelen lijkt te suggereren dat dit het gevolg is van recente wereldwijde spionage-gebeurtenissen, de ontwijking van de Pirate Bay-blokkades door gebruik van de PirateBrowser, of de Syrische burgeroorlog", blogt Yonathan Klijnsma van Fox-IT. Het aantal actieve Tor-clients is al meer dan vervijfvoudigd op het moment van zijn schrijven.

De toename van Tor-clients zit in de lift:

Via: Fox-IT.

Fox-IT heeft in de afgelopen dagen bewijs gevonden voor de alternatieve verklaring dat malware de Tor-groei veroorzaakt. Klijnsma spreekt in zijn blogpost van een specifiek en nogal onbekend botnet dat verantwoordelijk is voor het leeuwendeel van de Tor-toename. Het gaat hier om gewone computergebruikers die dankzij een malwarebesmetting op hun systemen nu ook Tor-gebruikers zijn.

Al jaren actief, nu massaal via Tor

Deze verklaring voor de plotse en flinke groei van anonimiseringsdienst Tor (The Onion Router) wordt al ondersteund door het feit dat de nieuwe gebruikers niet veel activiteit vertonen. Dit zou blijken uit de beperkte impact op de exit-performance van Tor. De laatste paar dagen is wel het prestatieniveau afgenomen wat betreft de datadoorvoer via Tor. Dit blijkt uit metingen door het Tor Project zelf.

Via: het Tor Metrics Portal.

Het door Fox-IT ontdekte grote botnet dat via Tor communiceert is mogelijk al jaren actief. "Een recente detectienaam die is gebruikt in verband met dit botnet is 'Mevade.A', maar oudere referenties suggereren de naam 'Sefnit', die teruggaat naar tenminste 2009", schrijft Klijnsma. De Sefnit-malware was al voorzien van aansluitmogelijkheden op Tor. Fox-IT heeft diverse aanwijzingen gevonden dat het malware door de botnetherders zelf SBC wordt genoemd.

Omschakelmoment

"Voorheen communiceerde het botnet voornamelijk via HTTP, naast alternatieve communicatiemethodes." De afgelopen tijd is het botnet overgeschakeld op Tor als communicatiemiddel voor de aansturing; het contact met de c&c-servers (command and control). Klijnsma meldt dat deze overschakeling gelijkvalt met de plotse groei in het Tor-gebruik.

Het botnet lijkt een enorme omvang te hebben en ook wijdverbreid te zijn, aldus de security-expert van Fox-IT. "Zelfs voor de omschakeling naar Tor bestond het uit tienduizenden bevestigde infecties binnen een beperkt aantal netwerken. Als die aantallen worden geëxtrapoleerd op een schaal per land en wereldwijd, dan zitten ze zeker in de buurt van de Tor-gebruikerstoename."