Як виводять біткоіни у Даркнеті: шахраї використовували модифікований браузер Tor, вкравши десятки тисяч доларів

Ця повчальна історія насправді навіть не про темний бік Інтернету, відомий під назвою Даркнет - притулок нелегальної торгівлі в мережі (тут продають наркотики, крадені номери кредиток та шкідливе програмне забезпечення), а про те, як відсутність елементарної інформаційної гігієни та навичок роботи з першоджерелами інформації призводить до втрат грошей, в результаті не надто хитрих дій з боку шахраїв. 

Прелюдія: як пов'язані Даркнет та браузер Tor

Браузер Tor (до речі, це скорочення від The Onion Router - роутер-цибулина, що відображено в його логотипі) - це цілком легальний і жодним чином не шкідливий додаток, створений для цибулинної маршрутизації, що використовує мережу роутерів, завдяки якій (а також - шифруванню даних) забезпечується анонімність користувача в інтернеті. Формально він може бути використаний для доступу в інтернет у країнах з тоталітарним підходом до інтернету, де заборонені якісь соціальні мережі або якісь сайти. Всі знають про блокування соцмереж у Китаї, Росії та Україні, але взагалі у світі більше десятка країн, де під забороною в тому чи іншому вигляді знаходяться якісь із соціальних мереж: окрім очевидної Північної Кореї, до них відносяться ще, наприклад, Іран та Туркменістан. У ряді країн соціальні мережі можуть блокуватися тимчасово, в період соціальних потрясінь та надзвичайних подій (в цьому відзначилися Єгипет та Туреччина). До розробки браузера Tor доклали руку (як не дивно) Міністерство оборони та Державний департамент США. Розробка почалася ще у 1995 році, свого часу в проекті брала участь DARPA, але вихідний код браузера був опублікований під відкритою ліцензією, що обеззброює аргументи любителів теорій змови, адже будь-хто може перевірити код на наявність закладок спецслужб США (і будь-яких інших країн теж). 

Браузер Tor дозволяє обходити блокування і (що не менш важливо) шифрувати всі дані користувача, завдяки чому його діяльність не може стати доступною спецслужбам. Звичайно ж, саме за цю можливість Tor та його мережу люблять злочинці, які продають на форумах та сайтах Даркнета (найчастіше) наркотики, зброю і шкідливе ПЗ або вкрадені бази даних всіляких компаній. Це можуть бути користувацькі дані або/і номери кредитних карт. Не те, щоб звичайній «чесній людині» на таких сайтах робити нічого (наприклад, туди можуть ходити фахівці з інформаційної безпеки через свою професійну діяльність, або співробітники спецслужб з тієї ж причини), але найчастіше покупці Даркнета купують щось протизаконне. І справді ви ж не станете створювати інтернет-магазин одягу та ховати його від пошукачів? Особливістю сайтів Даркнета є їх довга, складна і важка для запам'ятовування адреса, що включає випадковий набір символів. Чим, власне, і користуються зловмисники, з легкістю підміняючи одне на інше без будь-яких підозр з боку користувача.

Експозиція: мийте руки перед їжею та користуйтеся першоджерелами в мережі

На першому етапі зловмисники створюють фейковий сайт браузера Tor російською мовою. Парадокс ситуації в тому, що він навіть не копіює оригінальний сайт, розміщений за адресою torproject.org/ru/. Але дозволяє переконливо розповідати про переваги анонімності в інтернеті завдяки своїм можливостям. Офіційний сайт проекту виглядає так:

Сайт зловмисників виглядає зовсім інакше, але розрахований на аудиторію, яка якщо і чула про сам браузер, то ніколи на ньому не була, а користуватися першоджерелами інформації (і це в епоху існування численних фейків) не привчені.

Нічому не вчить користувачів і найпростіший індикатор безпеки, поряд з адресою сайту, який є у всіх сучасних браузерів (і усі розробники цих браузерів витрачають зусилля на навчання та інформування користувачів, але, очевидно, даремно). Ось так виглядає значок безпеки в оригінального сайту:

А ось так у фейковому:

Зрозуміло, що якщо мама в дитинстві і розповідала про те, що перед їжею треба мити руки, то щодо установки додатків з сайтів, які мають напис російською мовою «ненадійний» (що, в принципі, відповідає немитим фруктам), вона не згадувала. Тому люди щиро вважають, що можна встановити браузер з такого сайту, а потім ще й витрачати за його допомогою свої гроші, не замислюючись про наслідки.

Зав'язка: троянський кінь (вічна класика) 

Чим же відрізняється браузер, який користувач завантажує на свій страх і ризик з нібито офіційного сайту Tor? Завдяки відкритому коду це справжнісінький браузер Tor, який має лише дві важливі відмінності: по-перше, в ньому відключені всі оновлення (оскільки тоді б завантажилася чиста версія з офіційного сайту) і в його розширеннях прописаний шкідливий код, що дозволяє красти гроші користувачів. Скріншоти нижче будуть цікаві лише розробникам програмного забезпечення, для інших вони наведені скоріш для загального розуміння ситуації.

У налаштуваннях інфікованого браузера з'явилися такі зміни (виділене), вони стосуються блокування оновлень.

Відмінності між кодом розширень оригінального та модифікованого (троянізованого) браузера Tor:

Приклад запиту шкідливого коду при відкритті конкретного магазину Даркнета:

Спойлер: є така професія - знаходити загрози та захищати користувачів

Антон Черепанов, Senior Malware Researcher компанії ESET

Справжнім героєм цієї історії, який виявив всю цю схему та розслідував пов'язані з нею загрози, є Антон Черепанов, головний дослідник компанії ESET шкідливого програмного забезпечення. Саме він виявив у процесі своєї роботи і фейковий сайт, і заражений браузер, а також розслідував весь ланцюжок подій - від схем поширення троянізованої версії браузера Tor до збитку, заподіяного шахраями, які отримували транзакції біткоїнів на свій гаманець. За словами Антона, він внаслідок професійної необхідності відвідує форуми Даркнета, де продається шкідливе програмне забезпечення, щоб завжди бути в курсі останніх трендів у їхньому розвитку. Компанія ESET реєструє за добу близько 300 000 програмних загроз, вивчає їх і аналізує появу нових шкідливих програм та їхній зв'язок з активностями на таких форумах. Усі загрози, що потрапляють у систему, перевіряються автоматичними системами, якщо система не може визначити шкідливі програми, тоді в процес включаються люди, які вивчають загрозу в «ручному» режимі.

Так виглядає центр моніторингу загроз у штаб-квартирі ESET у Братиславі (щось подібне, тільки в ще більших масштабах можна побачити в центрі управління мережею Turkcell у Туреччині):

Перипетія: шлях до зараження (сир у мишоловці)

Для просування троянізованої версії браузера Tor зловмисники використовували популярні пошукові запити, пов'язані з пошуком наркотиків, обходом блокувань та російськими опозиційними політиками:

На сторінках, створених з урахуванням пошукової оптимізації залишалися посилання на сайт, де можна було завантажити троянізовану версію браузера Tor:

Антон Черепанов нарахував близько півмільйона переглядів таких сторінок, а у шкідливому коді браузера використовувалися три найбільших російських маркета в Даркнеті, три біткоїн-гаманця та кілька гаманців KIWI (ця платіжна система хоч і вимагає авторизації, але насправді гаманці відстежити неможливо - вони ведуть до людей, які нічого не підозрюють, наприклад, таких, що втратили документи).

Кульмінація: момент істини

На сторінці транзакції у маркеті Даркнета користувачеві замість гаманця покупця шкідливий скрипт підставляв код з гаманцем зловмисників. Таким чином, нічого не підозрюючи користувачі здійснювали платіж на користь шахраїв, програмним продуктом яких користувалися.

Розв'язка: 40 000 доларів у біткоїнах та, ймовірно, в рази більше на гаманцях KIWI

Оскільки всі транзакції біткоїнів можна відстежити завдяки блокчейну, співробітники ESET змогли оцінити розмір шахрайства. Тільки на три гаманця було переведено 4.8 біткоїни (близько 40 000 доларів на момент дослідження). Оцінити збиток від шахрайських транзакцій на гаманці KIWI без доступу до біллінгу платіжної системи неможливо. Хоча очевидно, що там суми мають бути ще більшими, оскільки процедура створення гаманця на порядок простіша і доступніша, ніж робота з біткоїнами. Антон Черепанов говорить, що він з колегами знайшов у коді троянізованого браузера три біткоїн-гаманця, а рахунків KIWI там можуть бути сотні.

Епілог: на дурня не потрібен ніж

Звичайно, користувачі Даркнета, які купують наркотики, зброю або «бойові віруси» самі знаходяться в зоні ризику, не зважаючи на всю анонімність Даркнета. Але всі, хто у цій історії втратив свої гроші, міг би уникнути цього, якщо б дотримувався найпростіших правил інформаційної гігієни в інтернеті. Користувався першоджерелами інформації - це золоте правило, яке може полегшити сучасне життя в Мережі, стосується не лише установки програмного забезпечення, але й новин з їх кричущими заголовками.

«Перевірене джерело» стає сьогодні такою ж необхідністю, як мити руки після туалету або чистити зуби. І доки ми не навчимося самі стежити за значками браузера, що свідчать про безпеку сайту, з яким плануємо зробити якусь дію (і не навчимо цього ж своїх дітей), ми завжди будемо потрапляти у неприємні ситуації.