Dal commercio di malware alle botnet, dalla vendita di dati rubati al riciclaggio di denaro sporco: nel “cono d’ombra” del Web, la cosiddetta Darknet, c’è di tutto. In particolare, è in crescita il ricorso a Tor, la rete il cui acronimo sta per The Onion Router: negli ultimi mesi i monitoraggi di Kaspersky Lab hanno portato a individuare oltre 900 servizi online illegali costruiti su questa rete. Una sorta di Web nel Web, che vive di vita propria e che consente l’anonimato a chi vi opera per vendere, comprare, riciclare guadagni illeciti.
Il funzionamento di Tor
Il lavoro di Kaspersky Lab testimonia la
deriva criminale di Tor, nato come software libero che opera via Internet e che permette agli utenti di svolgere le classiche attività che si svolgono in rete – navigare visitando siti, scambiarsi messaggi su forum e sistemi di instant messaging, eccetera – con la differenza di poter rimanere anonimi. All’interno di Tor, infatti, risulta impossibile identificare l’IP dell’utente, e dunque eventualmente risalire alla sua identità anagrafica in caso di investigazioni. Il sistema crittografico “a strati” (da cui il riferimento alla cipolla) prevede che i dati di traffico non passino direttamente dal cliente al server, ma si muovano attraverso i server Tor, gestiti da volontari, che si comportano da router. Inoltre, questa risorsa Darknet utilizza i cosiddetti pseudo-domini che vanificano gli sforzi per raccogliere informazioni personali del proprietario del dispositivo.
Sebbene nato per fini ammirevoli – consentire la libera espressione ad attivisti, scavalcare la censura di Stato che limita alcuni utenti, come quelli cinesi, e ancora permettere ai governi di monitorare attività terroristiche – Tor è diventata una colonia del cybercrimine, utilizzata anche per ospitare infrastrutture nocive. Gli esperti di Kaspersky Lab hanno rilevato
trojan Zeus con funzionalità di Tor, hanno individuato
ChewBacca e, recentemente, hanno analizzato il
primo Tor trojan per Android. In generale, un rapido sguardo alle risorse di rete Tor rivela una gran quantità di risorse dedicate al malware, fra cui server C & C, e pannelli di amministrazione.
“Ospitare server C&C in TOR rende più difficili l’identificazione, l’inserimento in blacklist e l’eliminazione”, ha sottolineato
Sergey Lozhkin, senior security researcher, Global research e Analysis team di Kaspersky Lab.
”Anche se creare un modulo di comunicazione Tor all’interno di un campione di malware implica un lavoro supplementare da parte degli sviluppatori di programmi nocivi, ci aspettiamo che ci sarà un aumento di malware nuovi basati Tor, oltre che un supporto Tor per i quelli esistenti”. Oltre alla compravendita di malware, ha evidenziato Lozhkin, “le frodi finanziarie e il riciclaggio di denaro sporco sono aspetti importati della rete di Tor”.