روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اوایل این ماه، متخصصین کسپرسکی گزارشی مفصل در مورد تهدیدی به نام OnionPoison منتشر کردند. آنها پی بردند کد مخربی دارد از طریق ویدیوی یوتیوب توزیع میشود. این ویدیو برای وبگردیِ خصوصی از مرورگر Tor استفاده میکرد. این مرورگر اصلاحی Firefox است (با ماکسیمم تنظیمات حریم خصوصی). اما مهمترین قابلیت آن این است که می تواند همه داده کاربری را از طریق شبکه The Onion Tor (یا همان Tor) ریدایرکت کند. داده به شکلی رمزنگاری شده از طریق چندین لایه سرور منتقل میشود (برای همین اسم پیاز را رویش گذاشتند) جایی که با دادههای سایر کاربران شبکه ترکیب میگردد. این متود حریم خصوصی را تضمین میکند: وبسایت ها تنها آدرس آخرین سرور شبکه Tor را می بینند- همان نود exit را- و نمی توانند آدرس آی پی واقعی کاربر را ببینند.
اما این همه ماجرا نیست: شبکه TOR را همچنین می توان برای دور زدن دسترسی محدود برخی سایتها نیز استفاده کرد. برای مثال، در چین بسیاری از منابع اینترنتی «غربی» مسدود هستند پس کاربران برای دسترسی به آن ها به راهکارهایی چون TOR روی می آورند. اتفاقاً یوتیوب به طور رسمی در چین در دسترس نیست پس این ویدیو طبیعتاً هدفش پیدا کردن راه هایی است برای دور زدن محدودیت ها. احتمال دارد این روش تنها روش توزیع بدافزار OnionPoison بوده باشد و سایر لینک ها در منابع داخل چین قرار داده شده باشند. به طور نرمال، یک کاربر می تواند از وبسایت رسمی این پروژه مرورگر TOR را دانلود کند. با این حال سایت در چین نیز بلوکه شده پس اینکه مردم به دنبال منابع دانلود جایگزین باشند چیز غیرمعمولی نیست. خود ویدیوی یوتیوب توضیح می دهد چطور می شود با استفاده از Tor فعالیت آنلاین را پنهان کرد و در بخش description هم لینکی داده می شود. این به سرویس میزبانی فایل کلودِ چینی اشاره دارد. متأسفانه نسخه مرورگر تور چینی به جاسوس افزار OnionPoison آلوده شده است. از این رو، به جای حریم خصوصی، کاربر دقیقاً برعکسش را دریافت میکند: برملا و فاش شدن همه داده هایش!
این نسخه آلوده ی Tor از کاربر چه چیزهایی میداند؟
نسخه آلوده مرورگر Tor امضای دیجیتال ندارد؛ چیزی که باید برای کاربری که دغدغه ی امنیت دارد یک نشانه خطر باشد. سیستم عاملویندوز با نصب چنین برنامهای در این مورد هشداری را نمایش میدهد. به طور طبیعی، نسخه رسمی مرورگر تور امضای دیجیتال دارد. محتوای توزیعی اما در پکیج آلوده با نسخه اصلی تفاوت جزئی دارند اما این تفاوت های جزئی است که اهمیت دارد: در مرورگر آلوده، برخی تنظیمات مهم در مقایسه با مرورگر اورجینال تور تغییر کرده است. برخلاف اولی، نسخه آلوده تاریخچه وبگردی را به یاد می سپارد، کپی های موقتی سایت ها را روی کامپیوتر ذخیره می کند و به طور خودکار اطلاعات محرمانه و همه داده های وارد شده در فرم ها را سیو می کند. چنین تنظیماتی همین الانش هم باعث خدشه دار شدن حریم خصوصی شدهاند اما حالا شرایط حتی بدتر نیز شده است!
یکی از آرشیوهای کلیدی تور/فایرفاکس با کد مخرب جایگزین شده بود. این –در صورت لزوم- آرشیو اورجینال را برای فعال نگه داشتن آرشیو فرامی خواند. و در استارت آپ نیز این سرور c2 را خطاب قرار می دهد؛ جایی که در آن سایر برنامه های مخرب دانلود و اجرا می شوند. افزون بر این، مرحله بعدی حمله به کاربر تنها زمانی رخ می دهد که آدرس آی پی واقعی به لوکیشن چین اشاره داشته باشد. این مرحله دوم حمله با اطلاعات جزئی تر در مورد کاربر، مهاجمین را در حمله شان بیشتر کمک میکند:
- داده هایی در مورد کامپیوتر قربانیان و برنامه های نصب شده آن ها
- و نیز تاریخچه وبگردی آن ها –نه تنها در مرورگر tor که همچنین در سایر مرورگرهای نصب در سیستم- مانند گوگل کروم و مایکروسافت اج
- آی دی های شبکه های وای فای که بدان وصل می شوند
- و در آخر، داده اکانت در مسنجرهای محبوب چینی QQ و WeChat
چنین جزئیاتی را می شود برای ربط دادن هر فعالیت آنلاینی به کاربری خاص استفاده کرد. داده های شبکه وای فای حتی اجازه میدهند لوکیشن شان به طور دقیقی مشخص شود.
ریسکهای حریم خصوصی
دلیل نامگذاری OnionPoison (زهر پیاز)این بود که حریم خصوصی ارائه شده توسط نرم افزار The Onion Tor را از بین برد. پیامدها هم واضح است: هر تلاشی برای پنهان کردن فعالیت حریم خصوصی (برعکس) تقدیم مهاجمین میشود. OnionPoison برخلاف بیشتر بدافزارهایی که از این نوع هستند به خود زحمت سرقت پسوردهای کاربری را نمی دهد. سازمان دهندگان واضحاً بدانها نیازی ندارند: تنها هدفشان از این حمله نظارت است. حتی اگر نیازی نباشد برای حفظ حریم خصوصی خود از مرورگر تور استفاده کنید (در بیشتر موارد یک اپ معمولی وی پی ان کفایت میکند)، تحقیق در مورد OnionPoison در مورد محافظت در مقابل فعالیت مخرب دو درس مهم میدهد: ابتدا اینکه تنها از سایت های رسمی نرم افزارها را باید دنبال کرد. برای آن هایی که اعتبار افزوده می خواهند باید بگوییم بسیاری از توسعه دهندگان نرم افزار چیزهایی اصطلاحاً به نام چک سام (checksum) منتشر می کنند؛ نوعی آی دی از نصب گر واقعیِ برنامه. شما می توانید چک سام را برای توزیعی که دانلود کردید محاسبه کنید تا مطمئن شوید با اورجینالش مطابقت دارد. در مورد OnionPoison کاربران باید از منابع غیررسمی مرورگر تور را دانلود می کردند زیرا سایت رسمی مسدود شده بود. در چنین وضعیت هایی اعتبارسنجی چک سام بسیار کمک کننده است.
اما همانطور که در بالا بدان اشاره کردیم این توزیع یک پرچم قرمز دیگر هم دارد: نداشتن امضای دیجیتال. اگر ویندوز چنین هشداری را نمایش داد بهتر است پیش از اجرای برنامه روی تصمیم خود تجدید نظر کنید (حتی قید اجرا کردنش را به کل بزنید). درس دوم اما از درس اولی نشأت میگیرد: هرگز برنامه ها را از لینک های یوتیوب دانلود نکنید! شاید بگویید OnionPoison تنها برای مردم چین تهدید به حساب میآید و کسانی که در کشورهای دیگرند مصون میمانند. اما در حقیقت این تنها حمله ای نیست که برای فریب کاربران ساده از شبکه های اجتماعی به عنوان دام استفاده می کند. گزارش دیگر کسپرسکی نشان میدهد مجرمان سایبری حتی سراغ دستگاه گیمرها نیز رفته اند و داده هایشان را سرقت کردند.
مهاجمین در چنین سناریویی حتی از طریق یوتیوب نیز بدافزار را توزیع کردند. علاوه بر این، بدافزار کانال یوتیوب شخصی قربانی را نیز دستکاری و آنجا همان ویدیو را با لینکی آلوده پست کرده بود. حملاتی از این جنس نشان میدهد چقدر منابع به ظاهر امن میتوانند برای مقاصد شرورانه بسادگی مورد استفاده قرار گیرند. حتی کاربری حرفه ای هم نمی تواند همیشه لینک واقعی را از لینک آلوده تمیز دهد. چنین اتفاق های ناگوار زندگی دیجیتال براحتی میتوانند با نصب یک راهکار امنیتی با کیفیت بالا مدیریت شوند. حتی اگر خودتان لحظه ای کنترل دیجیتال را از دست دادید چنین نرم افزارهای امنیتی میتوانند سر بزنگاه تهدید را شناسایی و بلاک کنند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
