Spreparowana wersja przeglądarki TOR śledzi Chińczyków obchodzących cenzurę

Zmodyfikowana wersja przeglądarki TOR, która w Chinach wykorzystywana jest m.in. przez osoby chcące obejść cenzurę Pekinu i zachować prywatność tego, co robią w internecie, funkcjonuje co najmniej od marca, a być może nawet od stycznia tego roku. Używana jest do zbierania wrażliwych danych o użytkownikach.

Rewelacje te ujawniła firma Kaspersky Lab.

Według niej, spreparowana przeglądarka TOR potrafi pobierać dane geolokalizacyjne, historię przeglądanych stron, dane indywidualne urządzenia, z którego jest uruchamiana, a także nazwę użytkownika komputera jak i adresy MAC adapterów sieciowych.

Fałszywa przeglądarka i złudne bezpieczeństwo

Link do pobrania fałszywej wersji przeglądarki TOR zaczął krążyć w na jednym z kanałów w serwisie YouTube, gdzie publikowane są materiały w języku chińskim. Kanał, jak podaje serwis CyberScoop, subskrybuje ponad 180 tys. osób, a samo wideo zawierające złośliwy link zostało obejrzane ponad 64 tys. razy.

Film został opublikowany w styczniu 2022 roku. Pierwsze ofiary złośliwej wersji TOR-a zaczęły jednak ujawniać się w marcu – wówczas to firma Kaspersky zauważyła, że rośnie liczba pobrań przeglądarki wyposażonej w oprogramowanie szpiegujące.

Zatruta cebula

Badacze bezpieczeństwa ochrzcili złośliwą kampanię mianem „OnionPoison". Nazwa ta odnosi się do oryginalnej nazwy TOR, która w pełnej wersji brzmi „The Onion Router" i nawiązuje do ochrony, jaką daje „wielowarstwowe" przekierowywanie przez nią ruchu internetowego, na wzór warstw łusek cebuli.

Złośliwy instalator TOR-a ładuje wersję przeglądarki, w której umieszczono bibliotekę spyware zaprojektowaną tak, aby gromadziła dane osobowe i wysyłała je na serwer kontrolowany przez operatora.

Jednocześnie, spreparowana przeglądarka pozwala atakującym wykonywać polecenia w powłoce systemu na komputerach ofiar.

TOR wydał aktualizację bezpieczeństwa

W rozmowie z serwisem CyberScoop szefowa organizacji TOR Project odpowiedzialnej za przeglądarkę poinformowała, że we wtorek została opublikowana łatka zabezpieczająca przed złośliwym działaniem spreparowanej przeglądarki.

Nie można było jednak pobrać jej w sposób automatyczny – „zatruta" przez hakerów wersja podmienia link, z którego czerpane są automatyczne aktualizacje. Organizacja rozwiązała to poprzez przekierowanie linka na zmodyfikowany adres URL, przez co osoby posiadające skażoną spyware wersję TOR-a mogą normalnie dokonać aktualizacji.

Kto stoi za kampanią? Nie wiadomo

Redakcja CyberScoop odnotowuje, że obecnie nie wiadomo, kto stoi za kampanią wykorzystującą spreparowaną wersję przeglądarki TOR. Jasne jest jednak, że jej celem są Chińczycy, którzy próbują omijać cenzurę Pekinu.

O uszczelnianiu Wielkiego Chińskiego Firewalla pisaliśmy w naszym serwisie m.in. tutaj .

Zdaniem badaczy z firmy Kaspersky Lab, operator złośliwej wersji przeglądarki może wykorzystywać ją m.in. do tego, aby gromadzić dane o opozycyjnej aktywności użytkowników TOR-a i np. zastraszać ich złożeniem donosu do władz. Dowodami w takich sytuacjach mogą być np. pobrane logi historii przeglądanych stron czy aktywności w mediach społecznościowych.

Nie pierwszy raz

Spreparowana wersja TOR-a już wcześniej stawała się narzędziem w rękach cyberprzestępców działających na rzecz jednego z państw.

W 2019 roku firma ESET informowała o cyrkulacji wersji tego programu spreparowanej tak, aby wykradała kryptowaluty od użytkowników posługujących się językiem rosyjskim.

Około 10 lat temu z kolei rosyjscy hakerzy korzystali ze złośliwego oprogramowania wykorzystującego struktury TOR-a – OnionDuke.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].