Miles de usuarios han encontrado en Tor la protección que buscaban contra los gobiernos. O al menos eso es lo que buscaban y, tal y como ha informado la firma de seguridad Leviathan Security, lo que han recibido es un software malicioso a través de ejecutables de Windows no comprimidos.
Recientemente la Comisión Europea informó de que, en una operación conjunta de varios países con ayuda de los Estados Unidos, páginas web dedicadas al mercado negro ocultadas tras la red Tor habían sido destapadas. Y es que, como ellos señalaban, el anonimato no es viable en Internet cuando los diferentes organismos legisladores tratan de destapar una importante trama relacionada con drogas y otros mercados ilegales.
Lo que conocemos ahora es más grave aún, y ya no tiene que ver con los gobiernos de la Unión Europea, o incluso de los Estados Unidos, sino directamente con “usuarios internos” de la red Tor. Según ha informado Leviathan Security a través de su blog oficial, han descubierto un nodo malicioso en Tor que, durante un año completo, estuvo infectando archivos ejecutables de Windows para instalar puertas traseras en equipos remotos, de forma que se consiguió acceso remoto a cientos de ordenadores, y con control completo sobre los mismos.
Este nodo fue localizado en Rusia, y se cerró hace ya tres semanas. Sin embargo, Leviathan Security ha señalado que este nodo estuvo operativo durante más de un año completo. Además, según F-Secure, el nodo de Rusia está directamente relacionado con un grupo que, hace al menos un año, infectó sistemas de agencias de gobierno y organizaciones de hasta 23 países con una pieza de malware bautizada como MiniDuke.
A través de este software malicioso distribuido a través de la red Tor, sus creadores fueron capaces de monitorizar la actividad de cientos de equipos, de forma remota, desde varios servidores que recibieron información para saber en qué momento instalar nuevas piezas de malware, mientras otros componentes se encargaron de recibir credenciales y otro tipo de información “confidencial” de los equipos infectados con “OnionDuke”. La similitud en el nombre, con respecto a MiniDuke, viene dada por la estrecha relación con el anterior. Y es que OnionDuke y MiniDuke estaban registrados a nombre de la misma persona, en cuanto a los canales utilizados para recibir la información privada.
Este malware de Tor, OnionDuke, ha podido afectar a todo tipo de usuarios bajo la red Tor, salvo a los que se valieron de redes virtuales VPN, o bien usuarios que han descargado archivos ejecutables a través de servidores HTTPS con el cifrado correspondiente. De esta forma, cientos de ordenadores han sido infectados por archivos ejecutables funcionando sobre tráfico no cifrado.
http://www.adslzone.net/2014/11/15/buscabas-proteccion-tor-introdujo-malware-en-tu-ordenador/