في وقت سابق من هذا الشهر، نشر خبراء كاسبرسكي تقريرًا مفصلًا عن تهديد أطلقوا عليه اسم OnionPoison، حيث اكتشفوا شفرة ضارة يتم توزيعها من خلال مقاطع فيديو على تطبيق YouTube، وقد تم الإعلان عن مقطع الفيديو باستخدام متصفح تور للتصفح الخاص.
هذا المتصفح هو إصدار معدل من متصفح Firefox — مع إعدادات الخصوصية القصوى، ولكن أهم ميزاتها هي أنها يمكن أن تعيد توجيه جميع بيانات المستخدم من خلال شبكة Onion Router (ومن هنا جاءت تسميته بتور). يتم إرسال البيانات في شكل مشفر من خلال عدة طبقات من الخادم (ولكن يوجد كلمة Onion في الاسم) ، حيث يتم خلطها مع بيانات المستخدمين الآخرين للشبكة، وتضمن هذه الطريقة الخصوصية: حيث لا ترى مواقع الويب سوى عنوان آخر خادم في شبكة تور— ما يسمى بعقدة الخروج — ولا يمكنها رؤية عنوان IP الحقيقي للمستخدم.
ولكن ذلك ليس كل شيء، يمكن أيضًا استخدام شبكة تور لتجاوز الوصول المقيد إلى مواقع معينة، على سبيل المثال يتم حظر العديد من موارد الإنترنت “الغربية ” في الصين، لذلك يلجأ المستخدمون إلى حلول مثل متصفح تور للوصول إليها، وبالمناسبة، فإن موقع يوتيوب غير متاح رسميًا في الصين، لذلك ، حسب التعريف ، يستهدف الفيديو أولئك الذين يبحثون عن طرق للتغلب على القيود. من المحتمل أن هذه لم تكن الطريقة الوحيدة لنشر برنامج OnionPoison الخبيث ، وأنه تم وضع روابط أخرى على الموارد داخل الصين.
عادة ، يمكن للمستخدم تنزيل متصفح تور من الموقع الرسمي للمشروع. ومع ذلك ، تم حظر هذا الموقع أيضًا في الصين ، لذلك من الطبيعي أن يبحث الأشخاص عن مصادر بديلة للبحث، وقد شرح مقطع فيديو على تطبيق YouTube نفسه كيفية إخفاء النشاط عبر الإنترنت باستخدام متصفح تور، وتم وضع رابط للوصول في الوصف. ويشير الفيديو إلى خدمة استضافة الملفات السحابية الصينية، ولكن لسوء الحظ ، فإن إصدار متصفح تور الموجود هناك مصاب ببرنامج التجسس OnionPoison. لذلك ، بدلاً من الحصول على الخصوصية ،فإن ما يحصل للمستخدم هو العكس تمامًا حيث يتم الكشف عن جميع بياناته.
ما يعرفه متصفح تور المصاب عن المستخدم
تفتقر النسخة المصابة من متصفح تور إلى توقيع رقمي وهو عبارة عن علامة حمراء كبيرة يلتفت إليه المستخدم ذي التفكير الأمني، وعند تثبيت مثل هذا البرنامج، يعرض نظام التشغيل Windows تحذيرًا بخصوص ذلك، وبطبيعة الحال، فإن النسخة الرسمية من متصفح تور لها توقيع رقمي. ولكن محتويات النشر في النسخة المصابة تختلف قليلاً عن الأصل ولكن الاختلافات الطفيفة مهمة.
بالنسبة للمبتدئين في المتصفح المصاب ، تم تغيير بعض الإعدادات المهمة عند مقارنتها بمتصفح تور الأصلي؛ على عكس الإصدار الحقيقي، يتذكر الإصدار الضار سجل المتصفح ويخزن نسخًا مؤقتة من المواقع على الكمبيوتر، ويحفظ تلقائيًا بيانات اعتماد تسجيل الدخول وجميع البيانات التي تم إدخالها في النماذج مثل هذه الإعدادات تسبب ضرر كبير للخصوصية وتزداد سوءا أيضاً…
تم استبدال إحدى مكتبات تور/فايرفوكس الرئيسية برمز ضار، مما استدعي المكتبة الأصلية ، كما هو مطلوب ، للحفاظ على عمل المتصفح. وعند بدء التشغيل يتعامل أيضًا مع خادم C 2، حيث يقوم بتنزيل وتشغيل برنامج ضار آخر. علاوة على ذلك ، لا تحدث المرحلة التالية من الهجوم على المستخدم إلا إذا كان عنوان IP الحقيقي يشير إلى موقع في الصين.
تزود “المرحلة الثانية” من الهجوم منظميه بأكبر قدر ممكن من المعلومات التفصيلية عن المستخدم ، ولا سيما:
- بيانات حول جهاز الكمبيوتر والبرامج المثبتة.
- سجل التصفح الخاص بهم — ليس فقط في متصفح Tor، ولكن أيضًا في المتصفحات الأخرى المثبتة في النظام ، مثل Google Chrome وMicrosoft Edge.
- معرفات شبكات Wi – Fi التي يتصلون بها.
- وأخيرًا، بيانات حساب تطبيقي المراسلة الصينيين الشهيرين QQ وWeChat.
يمكن استخدام هذه التفاصيل لربط أي نشاط عبر الإنترنت بمستخدم محدد، كما يمكن أن تسمح بيانات شبكة Wi – Fi بتحديد موقعها بدقة إلى حد ما.
تهديدات الخصوصية
تم تسمية OnionPoison على هذا النحو لأنه يدمر بشكل أساسي الخصوصية التي يوفرها برنامج Onion Router؛ إن العواقب واضحة: حيث سيتم الكشف عن جميع محاولات إخفاء نشاطك عبر الإنترنت للمهاجمين. والغريب في الأمر أن OnionPoison لا يكلف نفسه عناء سرقة كلمات مرور المستخدم، على عكس معظم البرامج الضارة من هذا النوع، فمن الواضح أن المنظمين ليسوا بحاجة إليهم: لأن الغرض الوحيد من الهجوم هو المراقبة.
حتى إذا لم تكن مضطرًا لاستخدام متصفح تور لحماية خصوصيتك (في معظم الحالات، سيكفيك تطبيق VPN منتظم)، وتقدم دراسة OnionPoison أمرين مفيدين للحماية من النشاط الضار. أولاً، قم بتنزيل البرامج فقط من المواقع الرسمية. وبالنسبة لأولئك الذين يرغبون في التحقق الإضافي، يقوم العديد من مطوري البرامج بنشر ما يسمى بالمجموع الاختباري الذي يعد نوع من المعرفات لمثبت البرنامج “الحقيقي “، حيث يمكنك حساب المجموع الاختباري للنسخة التي قمت بتنزيلها للتأكد من مطابقتها للأصل.
في حالةوجود OnionPoison، كان على المستخدمين تنزيل متصفح تور من مصادر غير رسمية على أي حال بعد أن تم حظر الموقع الرسمي، وفي مثل هذه الحالات، يكون التحقق من المجموع الاختباري مفيدًا للغاية. ولكن، كما ذكرنا أعلاه، من المفترض أن يحتوي البرنامج على علم أحمر آخر: ويشير إلى افتقاره إلى توقيع رقمي مشروع. لذا إذا قام Windows بعرض مثل هذا التحذير، فمن الأفضل التحقق مرة أخرى من كل شيء قبل تشغيل البرنامج. أو لا تقم بتشغيله على الإطلاق.
والآن إلى الأمر الثاني وهو مستنبط من الأول؛ لا تقم بتنزيل البرامج من روابط YouTube مطلقًا! قد تجادل بأن OnionPoison يشكل تهديدًا فقط لقاطني الصين وأولئك الذين يقطنون البلدان الأخرى لم يتأثروا به غالباً. ولكن في الواقع، هذا ليس الهجوم الوحيد الذي يستخدم الشبكات الاجتماعية كطعم للوصول إلى المستخدمين السهل خداعهم. وقد أظهر تقرير أخر لكاسبرسكي كيف يصل مجرمو الإنترنت إلى أجهزة اللاعبين ويسرقون بياناتهم، وقد استخدم المهاجمون YouTube في هذه الحالة لنشر برامج ضارة. علاوة على ذلك، اخترقت البرامج الضارة قناة YouTube الخاصة بالضحية ونشرت نفس الفيديو برابط ضار.
يتم دعم الهجمات المعتمدة على تطبيق YouTube جزئيًا من خلال تحديد أولويات Google لمقاطع الفيديو في نتائج البحث؛ وتوضح هذه الهجمات من هذا النوع مثال آخر على الكيفية التي يمكن بها إساءة استخدام موارد عادية تبدو مأمونة، حتى أن المستخدم المتمرس لا يمكنه دائمًا تمييز الرابط الحقيقي عن الرابط الخبيث. هذه “المضايقات” التي تقع في الحياة الرقمية هي أفضل حجة ممكنة لتثبيت حل للحصول على الأمان عالي الجودة. حتى إذا أخفق حدسك الأمني الطبيعي عبر الإنترنت، فإن برنامج الأمان Kaspersky Premium سيحدد التهديد ويحظره في الوقت المناسب.