هرگز از لینکهای یوتیوب، نرمافزاری را دانلود نکنید
اوایل ماه اکتبر سال جاری، متخصصین کسپرسکی گزارشی مفصل در مورد تهدیدی بهنام OnionPoison منتشر کردند. آنها دریافتند که، کدهای مخربی از طریق ویدیوهایی در یوتیوب در حال توزیع میباشند. این ویدیوها (کدهای مخرب) برای وبگردیِ خصوصی خود از مرورگر Tor استفاده میکردند. این مرورگر نسخه اصلاح شده مرورگر Firefox (با حداکثر تنظیمات حریم خصوصی) میباشد. اما از مهمترین قابلیتهای این مروگر می توان به، ریدایرکت کردن تمامی دادههای کاربران از طریق شبکه The Onion Tor اشاره کرد. دادهها به شکلی رمزنگاری شده از طریق چندین لایه سرور (به همین دلیل، نام Onion را انتخاب کردهاند) منتقل گردیده و در جایی دیگر با دادههای سایر کاربران شبکه ترکیب میشوند. این روش حریم خصوصی کاربران را تضمین میکند؛ به گونهای که وبسایتها تنها آدرس آخرین سرور شبکه Tor که به آن اصطلاحا Node Exit میگویند را دیده و نمیتوانند آدرس IP واقعی کاربر را متوجه شوند.
اما این تمامی ماجرا نیست. همچنین از شبکه TOR میتوان برای دور زدن دسترسی محدود برخی وب سایتها، استفاده کرد. به عنوان مثال، به دلیل اینکه در کشور چین بسیاری از منابع اینترنتی مسدود و محدود میباشند، کاربران برای دسترسی به این منابع، به راهکارهایی همچون TOR روی میآورند. به دلیل اینکه یوتیوب بهطور رسمی در کشور چین در دسترس نمیباشد، طبیعتا استفاده از این مرورگر به جهت پیدا کردن راهکارهایی برای دور زدن این محدودیتها، رایج میباشد. احتمال دارد این متد، تنها روش انتشار بدافزار OnionPoison باشد. با وجود اینکه کاربران میتوانند از وبسایت رسمی این مرورگر، TOR را دانلود نمایند، اما این مرورگر در چین مسدود بوده و کماکان کاربران در این کشور به دنبال منابع جایگزین به جهت دانلود این مروگر میباشند.
در یوتیوب ویدئویی آموزشی مبنی بر پنهان نمودن فعالیت آنلاین در TOR منتشر شده و در بخش description ویدئو هم لینک مخصوص به جهت دانلود به کاربران داده میشود. متأسفانه نسخه مرورگر TOR چینی به جاسوسافزار OnionPoison آلوده شده است. از این رو این مرورگر، به جای حفظ حریم خصوصی کاربران، تمامی دادههای آنها را منتشر میکنند!
نسخه آلوده Tor از کاربران خود، چه چیزهایی را میداند؟
موردی که از لحاظ امنیتی باعث نگرانی کاربران شده است این میباشد که، نسخه آلوده مرورگر Tor امضاء دیجیتال نداشته و این نشانگر وجود یک تهدید بزرگ است. سیستمعامل ویندوز با نصب چنین برنامهای در این مورد هشدارهایی را به کاربران نمایش میدهد. به طور طبیعی، نسخه رسمی مرورگر Tor امضاء دیجیتال دارد. تفاوتهایی جزئی بین نسخه اصلی با نسخه آلوده به ویروس آن، وجود دارد که بسیار پراهمیت میباشد:
در مرورگر آلوده، برخی تنظیمات مهم در مقایسه با مرورگر اورجینال Tor تغییر کرده است. برخلاف نسخه اصلی و اورجینال، نسخه آلوده تاریخچه جستجوهای شما را ذخیره میکند و بهطور خودکار اطلاعات محرمانه و همه دادههای وارد شده در فرمها را ذخیره میکند. چنین تنظیماتی باعث از بین رفتن حریم خصوصی کاربران میشود.
یکی از آرشیوهای کلیدی Tor/Firefox با کد مخرب جایگزین شده و این مرورگر، در صورت لزوم آرشیو اورجینال را برای فعال نگه داشتن خود فرا میخواند و در استارت نیز سرور C2 را خطاب قرار میدهد؛ جایی که در آن سایر برنامههای مخرب دانلود و اجرا می شوند. علاوه بر این، در مرحله بعدی حمله به کاربر تنها زمانی رخ میدهد که آدرس IP واقعی به لوکیشن چین اشاره داشته باشد. مرحله دوم از حملات با در اختیار قرار دادن اطلاعات جزئیتر در مورد کاربر، کمک بیشتری به مهاجمین در انجام حملههایشان میکند.
• دادهها و اطلاعاتی در خصوص سیستم قربانیان و برنامههای نصب شده آنها.
• تاریخچه وبگردی کاربران، نهتنها در مرورگر TOR که همچنین در سایر مرورگرهای نصب در سیستم مانند گوگل کروم و مایکروسافت اج نمایش داده میشود.
• آیدیهای شبکههای وایفای که به آن وصل میشوند.
• و در آخر، نمایش اطلاعات اکانت در مسنجرهای محبوب چینی QQ و WeChat
از چنین جزئیاتی برای ربط دادن هر فعالیت آنلاین به کاربران خاص، استفاده میشود. حتی اطلاعات و دیتاهای شبکه وایفای اجازه میدهد لوکیشن کاربران بهطور دقیق مشخص شود.
ریسکهای حریم خصوصی
دلیل نامگذاری OnionPoison این است که حریم خصوصی ارائه شده توسط نرمافزار The Onion Tor از بین رفته است. پیامد آن واضح است: هر تلاشی برای پنهان کردن فعالیت حریم خصوصی خود انجام دهید، در هر صورت دودستی تقدیم مهاجمین میشود. برخلاف بیشتر بدافزارهایی که از این نوع هستند، این بدافزار حتی به خود زحمت سرقت پسوردهای کاربری را هم نمیدهد. چرا که سازماندهندگان اصلا نیازی به آنها ندارند: تنها هدفشان از این حمله نظارت بر روی عملکرد کاربران است، حتی اگر نیازی نباشد که برای حفظ حریم خصوصی خود از مرورگر تور استفاده کنید (در بیشتر موارد یک اپ معمولی ویپیان کفایت میکند). تحقیق در مورد OnionPoison در مورد محافظت در مقابل فعالیت مخرب دو درس مهم به ما میدهد: ابتدا اینکه تنها از سایتهای رسمی نرمافزارها را باید دانلود نمود. بسیاری از توسعهدهندگان نرمافزار برای افزایش حریم خصوصی کاربران خود، آپشنهایی اصطلاحاً به نام چک سام (checksum) منتشر میکنند تا دانلود و نصب برنامه از آیدی دقیق و اورجینال انجام بگیرد. در مورد OnionPoison، چون کاربران باید از منابع غیررسمی مرورگر تور را دانلود میکردند (زیرا سایت رسمی مسدود شده بود)، در چنین وضعیتهایی اعتبارسنجی چک سام بسیار کمک کننده است.
اما همانطور که به آن اشاره نمودیم، این توزیع یک پرچم قرمز دیگر هم دارد: نداشتن امضای دیجیتال. اگر ویندوز چنین هشداری را نمایش داد بهتر است پیش از اجرای برنامه روی تصمیم خود تجدید نظر کنید (حتی قید اجرا کردنش را به کل بزنید). درس دوم اما از درس اولی نشأت میگیرد: هرگز برنامهها را از لینکهای یوتیوب دانلود نکنید! شاید بگویید OnionPoison تنها برای مردم چین تهدید به حساب میآید و کسانی که در کشورهای دیگرند مصون میمانند. اما در حقیقت این تنها حملهای نیست که برای فریب کاربران ساده از شبکههای اجتماعی به عنوان تله استفاده میکند. گزارش دیگر کسپرسکی نشان میدهد مجرمان سایبری حتی سراغ دستگاه گیمرها نیز رفتهاند و دادههایشان را سرقت کردند.
مهاجمین در چنین سناریویی حتی از طریق یوتیوب نیز بدافزار را توزیع کردهاند. علاوه بر این، بدافزار کانال یوتیوب اطلاعات شخص قربانی را نیز دستکاری و ویدیویی را با لینکی آلوده پست کرده بود. حملاتی از این جنس نشان میدهد چقدر منابع به ظاهر امن میتوانند برای مقاصد شرورانه بهسادگی مورد استفاده قرار گیرند. حتی کاربران حرفهای هم نمیتوانند لینک واقعی را از لینک آلوده تشخیص دهند. براحتی میتوان با نصب یک راهکار امنیتی با کیفیت بالا وقوع چنین اتفاقهای ناگوار دیجیتالی را مدیریت نمود. حتی اگر خودتان لحظهای کنترل مدیریت پلتفرمهای دیجیتالیتان را از دست دادید، چنین نرمافزارهای امنیتی میتوانند سر بزنگاه تهدید را شناسایی و بلاک کنند.