Эксперты «Лаборатории Касперского» обнаружили модифицированную версию браузера Tor, которая собирает конфиденциальные данные о китайских пользователях — историю посещения сайтов и информацию, которая позволяет их идентифицировать.
Источник изображения: Michael Geiger / pixabay.com
Модифицированный браузер сохраняет историю посещения страниц, а также данные, которые вводятся в поля веб-форм. В комплекте с программой идёт библиотека, которая собирает дополнительную информацию: названия и местоположение компьютера, имя пользователя и MAC-адрес сетевого адаптера. Есть даже возможность удалённо выполнять команды через терминал — в теории это даёт оператору полный контроль над машиной жертвы.
Браузер Tor предназначается для обеспечения анонимности в интернете. Он часто используется преступными элементами, хотя и добросовестные граждане применяют его, в частности, для обхода блокировок. Однако в Китае заблокирован доступ к этому ресурсу, поэтому жители страны порой вынуждены скачивать установочный файл со сторонних ресурсов. Поддельный дистрибутив эксперты «Лаборатории Касперского» обнаружили на китайском облачном файлообменнике: внешне интерфейс программы идентичен официальной версии, однако модифицированная версия не имеет цифровой подписи, а некоторые входящие в пакет файлы явно отличаются от оригинальных. К слову, проект Tor предлагает китайским пользователям отправку установочных файлов по электронной почте.
В «Лаборатории Касперского» эту кампанию условно обозначили «OnionPoison» в честь основного метода маршрутизации сети Tor. Отличительной особенностью кампании является её нацеленность на китайских пользователей: попытки связаться с командным сервером и загрузить шпионскую библиотеку программа-двойник предпринимает только в том случае, когда у пользователя обнаруживается китайский IP-адрес. Подчёркивается, что программа не пытается собирать пароли, файлы cookie или адреса криптокошельков — её интересуют только данные, которые можно использовать для идентификации пользователя: идентификаторы аккаунтов в соцсетях и сетей Wi-Fi.