Энэ сарын эхээр Касперскийн мэргэжилтнүүд OnionPoison гэж нэрлэсэн аюулын талаар нарийвчилсан тайлан нийтэлжээ. Тэд YouTube-ийн видеогоор дамжуулан хортой кодыг тарааж байгааг илрүүлжээ. Энэ видеог хувийн үзэх зорилгоор Tor Browser ашиглан сурталчилсан.
Энэхүү хөтөч нь Firefox хөтчийн өөрчилсөн хувилбар бөгөөд нууцлалын дээд тохиргоотой. Гэхдээ түүний хамгийн чухал онцлог нь The Onion Router сүлжээгээр дамжуулан хэрэглэгчийн бүх өгөгдлийг дахин чиглүүлэх боломжтой юм. Өгөгдөл нь серверийн хэд хэдэн давхаргаар (энэ нь нэрэнд байгаа сонгино) шифрлэгдсэн хэлбэрээр дамждаг бөгөөд энэ нь сүлжээний бусад хэрэглэгчдийн өгөгдөлтэй холилдсон байдаг. Энэ арга нь нууцлалыг баталгаажуулдаг: вэбсайтууд зөвхөн Tor сүлжээн дэх хамгийн сүүлчийн серверийн хаягийг буюу гарах цэг гэж нэрлэгддэг бөгөөд хэрэглэгчийн жинхэнэ IP хаягийг харж чадахгүй.
Гэхдээ энэ нь бүгд биш. Tor сүлжээг мөн зарим сайт руу нэвтрэх хязгаарлагдмал хандалтыг тойрч гарахад ашиглаж болно. Жишээлбэл, Хятадад "барууны" олон интернет эх үүсвэрүүд хаагдсан тул хэрэглэгчид Tor гэх мэт шийдлүүдэд ханддаг. Дашрамд дурдахад, YouTube нь Хятадад албан ёсоор боломжгүй тул уг видео нь хязгаарлалтыг даван туулах арга хайж буй хүмүүст зориулагдсан болно. Энэ нь OnionPoison хортой програмыг түгээх цорын ганц арга биш байсан бөгөөд бусад холбоосыг Хятад дахь нөөц дээр байрлуулсан байх магадлалтай.
Ер нь хэрэглэгч Tor Browser-ийг төслийн албан ёсны вэбсайтаас татаж авах боломжтой. Гэсэн хэдий ч энэ сайтыг Хятадад хаасан тул өөр татаж авах эх сурвалж хайж байгаа хүмүүст ер бусын зүйл байхгүй. YouTube-ийн видео нь Tor ашиглан онлайн үйл ажиллагааг хэрхэн нуухыг тайлбарласан бөгөөд тайлбар дээр холбоосыг өгсөн болно. Энэ нь Хятадын үүлэн файл байршуулах үйлчилгээг харуулж байна. Харамсалтай нь тэнд байрлах Tor Browser-ийн хувилбар нь OnionPoison тагнуулын програмаар халдварласан байна. Тиймээс, нууцлалын оронд хэрэглэгч яг эсрэгээр нь авдаг: тэдний бүх өгөгдөл илчлэгддэг.
Халдвар авсан Tor Browser хэрэглэгчийн талаар юу мэддэг
Tor Browser-ийн халдвар авсан хувилбарт дижитал гарын үсэг байхгүй бөгөөд энэ нь аюулгүй байдлыг эрхэмлэдэг хэрэглэгчийн хувьд том улаан туг байх ёстой. Ийм програмыг суулгах үед Windows үйлдлийн систем нь энэ талаар анхааруулга харуулдаг. Мэдээжийн хэрэг, Tor Browser-ийн албан ёсны хувилбар нь дижитал гарын үсэгтэй байдаг. Гэсэн хэдий ч халдвар авсан багц дахь түгээлтийн агуулга нь анхныхаас маш бага ялгаатай байна. Гэхдээ бага зэргийн ялгаа нь чухал юм.
Эхлэхийн тулд халдвар авсан хөтөч дээр анхны Tor Browser-тай харьцуулахад зарим чухал тохиргоог өөрчилсөн байна. Бодит хувилбараас ялгаатай нь хортой хувилбар нь хөтчийн түүхийг санаж, сайтуудын түр хуулбарыг компьютер дээр хадгалж, нэвтрэх үнэмлэх болон маягтанд оруулсан бүх өгөгдлийг автоматаар хадгалдаг. Ийм тохиргоо нь хувийн нууцад хангалттай хохирол учруулдаг ч энэ нь улам дорддог ...
Tor/Firefox-ын гол сангуудын нэг нь хортой кодоор солигдсон. Энэ нь хөтчийг ажиллуулахын тулд шаардлагатай бол анхны номын санг дууддаг. Мөн эхлүүлэх үед энэ нь C2 серверт ханддаг бөгөөд тэндээс өөр хортой програмыг татаж аваад ажиллуулдаг. Нэмж дурдахад, хэрэглэгч рүү чиглэсэн халдлагын дараагийн үе шат нь зөвхөн тэдний жинхэнэ IP хаяг нь Хятад дахь байршил руу чиглэсэн тохиолдолд л тохиолддог.
Энэхүү халдлагын "хоёр дахь үе шат" нь халдлага зохион байгуулагчдад хэрэглэгчийн талаар аль болох дэлгэрэнгүй мэдээллийг өгдөг, тухайлбал:
- Тэдний компьютер болон суулгасан програмуудын тухай мэдээлэл.
- Тэдний хайлтын түүх нь зөвхөн Tor Browser дээр төдийгүй Google Chrome, Microsoft Edge зэрэг системд суулгасан бусад хөтчүүдэд байдаг.
- Тэдний холбогдсон Wi-Fi сүлжээний ID-ууд.
- Эцэст нь, Хятадын алдартай QQ болон WeChat мессенжер дэх дансны мэдээлэл.
Ийм дэлгэрэнгүй мэдээллийг ямар нэгэн онлайн үйл ажиллагааг тодорхой хэрэглэгчтэй холбоход ашиглаж болно. Wi-Fi сүлжээний өгөгдөл нь тэдний байршлыг үнэн зөв тогтоох боломжийг олгодог.
Нууцлалын эрсдэл
OnionPoison нь The Onion Router программ хангамжийн нууцлалыг үндсэндээ устгадаг учраас ингэж нэрлэсэн. Үр дагавар нь ойлгомжтой: таны онлайн үйл ажиллагааг нуух гэсэн бүх оролдлого нь эсрэгээрээ халдагчдад илчлэх болно. Сонирхолтой нь, ийм төрлийн ихэнх хортой програмаас ялгаатай нь OnionPoison нь хэрэглэгчийн нууц үгийг хулгайлдаггүй. Зохион байгуулагчид тэдэнд ямар ч шаардлага байхгүй нь тодорхой: халдлагын цорын ганц зорилго бол тандалт юм.
Хэдийгээр та хувийн нууцаа хамгаалахын тулд Tor хөтчийг ашиглах шаардлагагүй байсан ч (ихэнх тохиолдолд ердийн VPN програм хангалттай байдаг) OnionPoison судалгаа нь хортой үйлдлээс хамгаалах хоёр чухал хичээлийг санал болгодог. Нэгдүгээрт, зөвхөн албан ёсны сайтаас програм хангамжийг татаж аваарай. Нэмэлт баталгаажуулалт хийхийг хүсч буй хүмүүсийн хувьд олон програм хангамж хөгжүүлэгчид хяналтын нийлбэр гэж нэрлэгддэг зүйлийг нийтэлдэг. Энэ бол "жинхэнэ" програм суулгагчийн нэг төрлийн ID юм. Та татаж авсан түгээлтийн хяналтын нийлбэрийг эх хувьтай таарч байгаа эсэхийг тооцоолж болно.
OnionPoison-ын хувьд албан ёсны сайт хаагдсан тул хэрэглэгчид ямар ч байсан Tor Browser-ийг албан бус эх сурвалжаас татаж авах шаардлагатай болсон. Ийм нөхцөлд шалгах нийлбэрийг шалгах нь маш ашигтай байдаг. Гэхдээ дээр дурдсанчлан түгээлт нь өөр нэг улаан тугтай байсан: хууль ёсны тоон гарын үсэг байхгүй байсан. Хэрэв Windows ийм сэрэмжлүүлгийг харуулж байвал програмыг ажиллуулахаасаа өмнө бүгдийг дахин шалгах нь дээр. Эсвэл огт ажиллуулж болохгүй.
Одоо эхний хичээлээс үүдэлтэй хоёр дахь хичээлийн тухай. Хэзээ ч YouTube-ийн холбоосоос програм татаж болохгүй! OnionPoison нь зөвхөн Хятадад байгаа хүмүүст аюул занал учруулдаг бөгөөд бусад орны хүмүүст энэ нь нөлөөлөөгүй гэж та маргаж магадгүй юм. Гэвч үнэн хэрэгтээ энэ нь итгэл үнэмшилтэй хэрэглэгчдийг татахын тулд нийгмийн сүлжээг өгөөш болгон ашигладаг цорын ганц халдлага биш юм. Саяхан гарсан Касперскийн тайланд кибер гэмт хэрэгтнүүд тоглоомчдын төхөөрөмжид хэрхэн халдаж, мэдээллийг нь хулгайлдаг болохыг харуулсан. Энэ хэргийн халдагчид мөн YouTube-ээр дамжуулан хортой програм тараасан байна. Нэмж дурдахад, тус хортой програм нь хохирогчийн өөрийн YouTube сувгийг эвдэж, хортой холбоос бүхий ижил видеог нийтэлсэн байна.
YouTube-д суурилсан халдлагууд нь хайлтын үр дүнд Google-ийн видеонуудыг эрэмбэлэх нь тодорхой хэмжээгээр тусалдаг. Ийм төрлийн халдлага нь аюулгүй мэт санагдах энгийн нөөцийг хэрхэн буруугаар ашиглаж болдгийн бас нэг жишээ юм. Туршлагатай хэрэглэгч ч гэсэн жинхэнэ холбоосыг хортой холбоосоос үргэлж ялгаж чаддаггүй. Дижитал амьдралын ийм "таагүй байдал" нь өндөр чанартай аюулгүй байдлын шийдлийг суулгах хамгийн сайн аргумент юм. Таны байгалийн онлайн болгоомжлол танд бүтэлгүйтсэн ч хамгаалалтын программ хангамж нь аюулыг цаг тухайд нь илрүүлж, блоклох болно.
source: https://www.kaspersky.com/blog/