Kasutades Tor Browseri troojaga nakatatud ametlikku versiooni on selle rünnaku korraldanud küberkurjategijad olnud väga edukad – seni on nende pastebin.com kontosid vaadatud enam kui 500 000 korda ja neil on õnnestunud varastada bitcoinides 40 000 USA dollarit.
Pahatahtlikud domeenid
See hiljuti avastatud troojaga nakatatud Tor Browser kasutas nakatamiseks kaht veebilehte, mis levitasid väidetavalt ametlikku venekeelset Tow Browseri versiooni. Üks veebilehtedest kuvab kasutajale venekeelset sõnumit, mis väidab, et külastajal on aegunud Tor Browser. Sõnumit kuvatakse ka värskeima Tor Browseri versiooni puhul.
Joonis 1. Võlts, torproect[.]org-is kuvatud aegunud brauseri teade
Tõlgituna inglise keelde:
Your anonymity is in danger!
WARNING: Your Tor Browser is outdated
Click the button “Update”
Klõpsates valikule “Update Tor Browserit” juhitakse kasutaja järgmisele veebilehele, kust on võimalik alla laadida Windowsi installija. Pole ühtegi märki sellest, et sama veebileht oleks levitanud Linuxi, macOS-i või mobiiliversioone.
Joonis 2. Allalaadimise võimalusega võlts Tor Browseri veebileht
Nii tor-browser[.]org kui ka torproect[.]org loodi 2014. aastal. Pahatahtlik domeen torproect[.]org on väga sarnane tõelisele domeenile torproject.org, ent esimese puhul on puudu üks täht. Venekeelt kõnelevatele ohvritele ei pruugi puuduolev täht tekitada kahtlusi, kuna “torproect” näeb välja kui kirillitsa transliteratsioon. Samas ei tundu, et kurjategijad oleksid tuginenud kirjaveale, kuna antud veebilehti promoti erinevates allikates.
Levitamine
2017. ja 2018. aasta alguses levitasid küberkurjategijad troojaga nakatatud Tor Browserit mitmetes Venemaa foorumites, kasutades selleks rämpsposti. Need sõnumid sisaldasid erinevaid teemasid, sealhulgas pimevõrgu turge, krüptovaluutasid, Interneti privaatsust ja tsensuuri ignoreerimist. Teatud sõnumid mainivad konkreetselt Roskomnadzor-i, mis on Venemaa valitsusüksus meedia ja telekommunikatsiooni tsensuuri alal.
Joonis 3. tor-browser[.]org-i promomise rämpsposti näide
Joonis 4. torproect[.]org-i promomise rämpsposti näide
2018. aasta aprillis ja mais hakkasid kurjategijad kasutama pastebin.com-i veebiteenust, et haipida mõlemaid Tor Browseriga seotud võltsitud domeene. Nimelt lõid nad neli kontot ja genereerisid mitmeid otsingumootoritele optimeeritud pastesid, et otsingute esireas oleksid sõnad, mis hõlmaks teemasid nagu narkoootikumid, krüptovaluuta, tsensuuri ignoreerimine ja Venemaa poliitikute nimed.
Selle tegevuse mõte on, et potentsiaalne ohver teeks veebis konkreetsete märksõnadega otsingu ja satuks mingil hetkel genereeritud pastele. Igal sellisel pastel on päis, mis reklaamib võltsitud veebisaiti.
Joonis 5. Võltsitud Tor Browseri veebilehte reklaamiva paste päis
Tõlgituna inglise keelde:
BRO, download Tor Browser so the cops won’t watch you.
Regular browsers show what you are watching, even through proxies and VPN plug-ins.
Tor encrypts all traffic and passes it through random servers from around the world.
It is more reliable than VPN or proxy and bypasses all Roskomnadzor censorship.
Here is official Tor Browser website:
torproect[.]org
Tor Browser with anti-captcha:
tor-browser[.]org
Save the link
Kurjategijad väidavad, et sellel Tor Browseri versioonil on robotilõksu-vastane võimekus, ent tegelikkuses ei vasta see tõele.
Joonis 6. Näidis paste Tor Browseriga seotud märksõnadega
Kõiki pastesid neljalt erinevalt kontolt vaadati enam kui 50 000 korda. Siiski pole meil võimalik öelda, täpset külastajate ja Tor Browseri troojaga nakatatud versiooni allalaadimiste arvu.
Analüüs
Nimetatud troojaga nakatatud Tor Browser on töötav rakendus. See põhineb Tor Browseri versioonile 7.5, mis avaldati 2018. aasta jaanuaris. Seega, ei tee tehnika kauge inimene arvatavasti vahet ka originaalversiooni ja troojaga nakatatud versiooni vahel.
Tor Browseri lähtekoodis ei tehtud muudatusi; kõik Windowsi kahendkoodid on algversiooniga võrreldes samad. Kurjategijad muutsid aga brauseri vaikeseadeid ja teatud laiendeid.
Joonis 7. Troojaga nakatatud Tor Browseri muudetud sätted extension-overrides.js-s
Kurjategijate eesmärk on takistada ohvritel ajakohastada troojaga nakatatud Tor versiooni, kuna sellisel juhul uuendatatakse see mitte-nakatatud versiooniks, “õigeks” versiooniks. Just seetõttu keelasid nad seadetes igasuguseid uuendusi ning nimetasid värskendusprogrammi ümber updater.exe-st updater.exe0-ks
Lisaks muudetud värskendussätetele muutsid kurjategijad vaikimisi User-Agenti unikaalseks kõvakodeeritud väärtuseks:
Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0
Kõik troojaga nakatatud Tor Browseri ohvrid kasutavad seega sama User-Agenti; nõnda saavad kurjategijad kasutada seda sõrmejäljena, et tuvastada serveripoolsel küljel, kas ohver kasutab troojaga nakatatud versiooni.
Kõige olulisem muudatus on tehtud xpinstall.signatures.requiredsätetes, mis keelavad installitud Tor Browseri lisandmoodulite digiallkirja kontrolli. Seega saavad ründajad muuta mistahes lisandmoodulit ja brauser laadib selle alla kontrollimata selle digitaalallkirja.
Lisaks muutsid kurjategijad brauseriga kaasasoleva HTTPS Everywhere lisandmoodulit, eriti selle manifest.json faili. Modifikatsioon lisab sisuskripti (script.js), mis täidetakse iga veebilehe laadimise kontekstis.
Joonis 8. Erinevused algse manifest.json (vasakul) ja muudetud (paremal) versiooni vahel
See nakatatud skript teatab C&C serverile praeguse veebilehele aadressi ja laadib alla JavaScripti nimikoormuse, mis täidetakse praeguse lehe kontekstis. C&C server asub onion-i domeenil, mis tähendab, et sellele pääseb ligi ainult läbi Tori.
Joonis 9. Iga veebilehe kontekstis täidetud sisestatud skript
Kuna selle rünnaku korraldanud kurjategijad teavad, millist veebilehte ohver hetkel külastab, võiksid nad kasutada erinevate veebilehtede jaoks erinevaid JavaScripti nimikoormuseid. Siiski antud juhul seda ei kasutatud: meie uuringu tulemused näitasid, et JavaScript nimikoormus oli alati kõikide külastatud veebilehtede puhul sama.
JavaScripti nimikoormus käitub standartse webinject – ina, mis tähendab, et see võib toimida vastastikku veebilehe sisuga ja teostada konkreetseid toiminguid. Näiteks võib see teha vormi haaramist, scrape’imist, külastatud veebilehe sisu peitmist või sisestamist, kuvada võltsteateid jne
Siiski tuleb märkida, et ohvri avalikuks tegemine on raske ülesanne, kuna JavaScript nimikoormus töötab Tor Browseri kontekstis ja sellel puudub ligipääs tõelisele IP-aadressile või muudele ohvri seadmete füüsilistele omadustele.
Pimevõrgu turud
Ainus JavaScript nimikoormus, mida oleme näinud, ründab kolme suurimat venekeelset pimevõrgu turgu. See nimikoormus üritab muuta nende turgude lehtedel asuvat QIWI-t (populaarne Venemaa rahaülekande teenus) või bitcoini rahakotte.
Joonis 10. JavaScripti nimikoormuse osa, mis on loodud krüptovaluuta rahakottide muutmiseks
Kui ohver külastab bitcoini lisamiseks nende kontot, vahetab troojaga nakatatud Tor Browser automaatselt algse aadressi kurjategijate poolt kontrollitud aadressi vastu.
Joonis 11. Muudetud bitcoini aadressiga pimevõrgu turu profiilileht
Oma uuringute käigus avastasime kolm bitcoini rahakotti, mida kasutati antud rünnakus alates 2017. aastast. Iga selline rahakott sisaldab võrdlemisi palju väikeseid tehinguid; see viitab sellele, et neid rahakotte kasutas tõepoolest troojaga nakatatud Tor Browser.
Joonis 12. Ühe kurjategija rahakoti tehingute arv ja saadud bitcoinid
Selle artikli ilmumise seisuga on kõigi kolme rahakotti laekunud summa kokku 4.8 bitcoini, mis vastab enam kui 40 000 USA dollarile. Tuleb märkida, et varastatud raha tegelik summa on suurem, kuna troojaga nakatatud Tor Browser muudab ka QIWI rahakotte.
Kokkuvõte
See troojaga nakatatud Tor Browser on ebatüüpiline pahavara vorm, mis on loodud varastama pimevõrgu turu kasutajatelt digitaalset valuutat. Kurjategijad ei muutnud Tor Browseri binaarkomponente; selle asemel tegid nad muudatusi seadetes ja HTTPS Ewerywhere laienduses. See on võimaldanud kurjtegijatel tegutseda märkamatult juba aastaid.
Rikkeindikaatorid (IoCs)
ESET-i tuvastusnimed
JS/Agent.OBW
JS/Agent.OBX
SHA-1
33E50586481D2CC9A5C7FB1AC6842E3282A99E08
Domeenid
torproect[.]org
tor-browser[.]org
onion4fh3ko2ncex[.]onion
Pastebini kontod
Bitcoini aadressid
3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
3CEtinamJCciqSEgSLNoPpywWjviihYqrw
1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS
MITRE ATT&CK tehnikad
| Taktika | ID | Nimi | Kirjeldus |
|---|---|---|---|
| Teostamine | T1204 | Kasutaja tegevus | Troojaga nakatatud Tor Browser tugineb ohvripoolsele esialgsele infiltratsioonile |
| Järjekindlus | T1176 | Brauseri laiendused | Troojaga nakatatud Tor Browser sisaldab muudetud HTTPS Everywhere laiendit. |
| Kogumine | T1185 | Man in the Browser | Troojaga nakatatud Tor Browser suudab muuta sisu, varieerida käitumist ja püüda teavet, kasutades man-in-the-browser rünnaku tehnikaid. |
| Juhtimine ja kontroll | T1188 | Multi-hop Proxy | Troojaga nakatatud Tor Browser kasutab Tor onion-i teenust, et laadida alla selle JavaScripti nimikoormust. |
| Juhtimine ja kontroll | T1079 | Mitmekihiline krüpteerimine | Troojaga nakatatud Tor Browser kasutab Tor onion-i teenust, et laadida alla selle JavaScripti nimikoormust. |
| Mõju | T1494 | Andmete manipuleerimise käitusaeg | Troojaga nakatatud Tor Browser muudab pimevõrgu turu veebilehtede bitcoini ja QIWI rahakotte. |
Allikas: Welivesecurity
