Über das TOR-Netzwerk (The Onion Router) können Internet-Nutzer im Schutz vermeintlich vollkommener Anonymität Web-Seiten aufrufen, deren Besuch nicht zu ihnen zurück verfolgt werden kann. Was vor allem für Dissidenten in Ländern mit restriktiven Regimen geradezu überlebenswichtig ist, stellt mittlerweile auch für Online-Kriminelle ein wertvolles Werkzeug dar. So haben sich im August 2013 die Nutzerzahlen des TOR-Netzwerks schlagartig verdoppelt, weil einige Bot-Netze ihre Kommando-Struktur ins so genannte “Darknet” verlegt haben. Der Antivirushersteller Kaspersky Lab kennt mittlerweile 900 Online-Ressourcen im TOR-Netz, die dessen Anonymität nutzen, um kriminelle Aktivitäten zu tarnen. Dabei kommen auch so genannte Pseudo-Domains ( *.onion ) zum Einsatz, die sich nicht oder nur mit erhöhten Aufwand zum Betreiber zurück verfolgen lassen. Online-Kriminelle nutzen das TOR-Netz, um etwa ihre Malware-Infrastruktur vor Verfolgung und Aufdeckung zu schützen. TOR-Funktionalität steckt zum Beispiel in einigen Varianten des Banking-Schädlings “Zeus/Zbot”, im Keylogger “Chewbacca” und in einem kürzlich entdeckten Trojanischen Pferd für Android namens “Torec”. So verbergen sich etwa die Mutterschiffe eines Bot-Netzes (C&C-Server, Command & Control) oder deren Browser-basierte Admin-Oberflächen hinter Darknet-Ressourcen. Erst Ende Februar hat Kaspersky Lab das wohl erste auf TOR setzende Trojanische Pferd für Android entdeckt. Der als “Backdoor.AndroidOS.Torec.a” bezeichnete Schädling nutzt eine Onion-Pseudo-Zone als als C&C-Server sowie Funktionen des Tor-Clients ” Orbot “. Er fängt SMS ab, sendet SMS an bestimmte Nummern, kann GSM-Funktionen abfragen und Information über das Mobilgerät an den Kommando-Server schicken. Weitere Aktivitäten der Online-Kriminalität im TOR-Netzwerk schließen etwa Geldwäsche, den Handel mit gestohlenen Bank- und Kreditkartendaten sowie Marktplätze für Drogen- oder Waffenhandel ein. Trotz des notwendigen Zusatzaufwands für die Malware-Entwicklung und den Betrieb von Online-Ressourcen im TOR-Netz erwarten die Kaspersky-Spezialisten eine weitere Zunahme der kriminellen Aktivitäten im Darknet.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.