Profilierung des Linken Sphere Anti-Detection Browsers

Profilierung des Linken Sphere Anti-Detection Browsers

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Dieser Bericht enthält eine detaillierte Analyse des Anti-Erkennungsbrowsers Linken Sphere und basiert auf der Recorded Future ® Plattform, Untergrundforen, der offiziellen Website und dem Forum von Linken Sphere sowie OSINT. Dieses Profil dürfte vor allem für Finanz-, E-Commerce- und Social-Media-Unternehmen von Interesse sein, die im Visier von Cyberkriminellen stehen, für Organisationen, die illegale Aktivitäten innerhalb der Untergrund-Community aufspüren möchten, sowie für alle, die beliebte Tools verstehen möchten, mit denen Cyberkriminelle Betrugserkennungssysteme umgehen. Dieser Bericht ist der erste Teil der Untersuchung der Insikt Group, die den Teamtools von Tenebris gewidmet ist. In einer Folgeuntersuchung wird eine eingehende technische Analyse bereitgestellt.

Executive Summary

Zahlreiche E-Commerce- und Finanzorganisationen auf der ganzen Welt sind das Ziel von Cyberkriminellen, die versuchen, ihre Sicherheitsmechanismen zu umgehen oder zu deaktivieren. In einigen Fällen verwenden sie dazu Tools, die die Aktivitäten legitimer Benutzer imitieren. Linken Sphere, ein Anti-Erkennungsbrowser, ist derzeit eines der beliebtesten Tools dieser Art.

Jeder Webbrowser verfügt über einen einzigartigen „Fingerabdruck“, anhand dessen andere Websites seine Legitimität überprüfen. E-Commerce-Unternehmen und Banken nutzen diese Art des Fingerprintings häufig, um Transaktionen von Browsern zu blockieren, die zuvor als unsicher oder an betrügerischen Aktivitäten beteiligt erkannt wurden. Die Vorgehensweise von Cyberkriminellen, verschiedene virtuelle Maschinen, Proxys und VPN-Server zu verwenden, ist nicht besonders effektiv, da die Betrugsschutzsysteme über die Fähigkeit verfügen, verdächtige IP-Adressen und virtuelle Maschinen zu identifizieren. Aus diesem Grund haben Cyberkriminelle Anti-Erkennungssoftware wie Linken Sphere entwickelt, die es ihnen ermöglicht, sämtliche Webbrowser-Konfigurationen dynamisch zu ändern und eine unbegrenzte Zahl neuer Konfigurationen zu generieren und dabei die Aktivitäten legitimer Benutzer zu imitieren.

Linken Sphere wurde erstmals am 4. Juli 2017 vom Bedrohungsakteur „dennoch“ in mehreren russischsprachigen Untergrundforen vorgestellt. Mit Linken Sphere können Benutzer mehrere virtuelle Konten erstellen, die die Aktivitäten echter Benutzer imitieren und einzigartige Gerätefingerabdrücke bereitstellen. Aus diesem Grund erfreut sich Linken Sphere bei Cyberkriminellen großer Beliebtheit, die versuchen, Betrugsschutzsysteme zu umgehen.

Wichtige Urteile

Offizielles Logo von Linken Sphere.

Hintergrund

Linken Sphere (auf Russisch „Сфера“) ist ein multifunktionaler und vielseitig einsetzbarer Anti-Erkennungsbrowser und eine Anti-Erkennungssoftware, die von Cyberkriminellen häufig verwendet wird, um die Betrugsschutzsysteme von Finanzinstituten zu umgehen. Die Malware wurde erstmals am 4. Juli 2017 vom russischsprachigen Bedrohungsakteur „noch immer“ im Darknet eingeführt. Der Bedrohungsakteur ist auch einer der Administratoren des Tenebris Team-Forums, dem offiziellen Forum von Linken Sphere.

Weitere Mitarbeiter des Linken Sphere-Teams sind „dev.tenebris“, ein weiterer Administrator des Tenebris Team-Forums, der für die technische Entwicklung und den Support des Produkts verantwortlich ist, sowie die Bedrohungsakteure „S1neka“, „KirillGochan“ und „Zimbabve“, die alle Moderatoren sind.

Obwohl Linken Sphere unter Cyberkriminellen beliebt ist, behaupten die Entwickler, dass es offiziell für legitime Zwecke durch Gruppen wie die folgenden erstellt wurde:

Die Autoren des Projekts halten offen Konferenzen in Russland und der Ukraine ab und erstellen YouTube-Werbevideos für russisch- und englischsprachigesPublikum.

Laut dem Tenebris Team-Forum gibt es drei Arten von Lizenzen für die neueste Linken Sphere-Version 7.996, die am 13. September 2019 eingeführt wurde:

Gemäß den Regeln ist es möglich, die Lizenzen an Dritte zu übertragen, aber Käufer und Verkäufer müssen sich an den Support wenden, um diese Transaktion zu bestätigen.

Linken Sphere bietet drei Arten von Lizenzen: Light, PRO und Premium.

Die technische Dokumentation für Linken Sphere ist auf Englisch, Russisch, Spanisch, Deutsch und Chinesisch verfügbar. Die Entwickler empfehlen neuen Benutzern, sich über Tor zu verbinden, um neue Linken Sphere-Konten zu erstellen und zu konfigurieren.

Nach der Autorisierung eines persönlichen Kontos erhalten Benutzer Zugriff auf die Funktionen des Benutzerpanels. Die primären Optionen des Benutzerpanels sind:

Laut den Entwicklern ist die Software mit verschiedenen Betriebssystemen kompatibel, darunter Windows (x64) Versionen 7, 8 und 10; macOS ab Yosemite; und Linux-Betriebssysteme: Ubuntu, Linux, Mint, Kali Linux, Gentoo (Calculate Linux), Fedora, Debian, OpenSUSE, Slackware, Mageia, PCLinux und Kubuntu. Linken Sphere Version 7.99 und neuer können zum Zeitpunkt des Schreibens dieses Artikels nicht auf Linux OS installiert werden. Linken Sphere kann auf einem lokalen oder Remotecomputer sowie auf virtuellen Maschinen wie VMWare oder VirtualBox installiert werden. Die Mindestanforderungen an das PC-System lauten wie folgt: 2xCore 1,7 GHz, 2 GB RAM. Linken Sphere kann auf mehreren Geräten heruntergeladen und installiert werden. Es ist jedoch immer nur ein Konto gleichzeitig zulässig. Benutzerdaten werden im Cloud-Speicher der Sitzungen gespeichert und bleiben auch nach der Deinstallation oder Neuinstallation von Linken Sphere erhalten.

Linken Sphere hat zwischen 2017 und 2019 im Dark Web Werbung gemacht. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Nachfolgend sind die allgemeinen technischen Spezifikationen von Linken Sphere aufgeführt, wie sie vom Bedrohungsakteur „dennoch“ im Tenebris Team-Forum und auf der offiziellen Website ls.tenebris[.]cc beschrieben wurden:

Web-Emulator-Modul zum automatischen Sammeln von Cookie-Dateien.

Linken Sphere ermöglicht es Benutzern, absichtlich eine gefälschte IP über WebRTC preiszugeben. Die Funktion ist während der gesamten Sitzung aktiviert und führt die Zielorganisationen in die Irre, indem sie falsche IP-Adressen preisgibt und sich als legitime Benutzer ausgibt. Es ermöglicht auch Verbindungen über Proxifier, Bitvise und Plink.

WebEmulator bietet Emulationen für Touchscreens, Mobilgeräte sowie manuelle und automatische Eingaben beim Kopieren von Text beim Besuch von Websites im Hintergrundmodus. Dadurch wird das Verhalten echter Benutzer imitiert und das Vertrauen in solche Konten gestärkt.

Am 1. Juni 2019 kündigten die Entwickler des Tenebris Team-Forums Linken Sphere v. 7.99 an. Mit der neuen Version soll vermutlich den vermehrten Beschwerden von Nutzern Rechnung getragen werden, wonach die vorherigen Versionen unter anderem keine ausreichende Anonymität gewährleistet hätten. Die Entwickler gaben an, dass die vorherige Version um neue Funktionen erweitert wurde, darunter:

„Einfach“ – eine neue Benutzeroberfläche, die die Geschwindigkeit des Linken Sphere-Betriebs bei der Verwendung von Remote-Geräten erhöht

Automator-Modul zum Umgehen von Website-CAPTCHAs.

Netzwerkverbindung

Linken Sphere kann mehrere Benutzer gleichzeitig in sogenannten „Sitzungen“ mit dem Internet verbinden. Jede Sitzung kann individuell benannt werden. Linken Sphere ermöglicht das Arbeiten auf mehreren Geräten und ist nicht an bestimmte Hardware gebunden. Nutzer können den Browser auf verschiedenen Geräten mit unterschiedlichen Betriebssystemen nutzen, aber jeweils nur mit einem Benutzernamen und Passwort arbeiten. Die Entwickler gaben an, dass Benutzer Linken Sphere über den Cloud-Zugriff von jedem Gerät aus starten können.

Jede Sitzungsverbindung kann auf folgende Arten individuell konfiguriert werden:

Über die Schnittstelle zur Sitzungseinrichtung können Benutzer über verschiedene Protokolle eine geeignete Verbindung auswählen.

Fingerabdrücke

Laut den Entwicklern umfasst Linken Sphere etwa 50.000 Gerätefingerabdrücke und einen Konfigurationsgenerator zum Erstellen zusätzlicher benutzerdefinierter Fingerabdrücke. Die Benutzer der PRO- und Premium-Lizenzen haben Zugriff auf ungefähr 150.000 Fingerabdrücke und 13.000 Benutzeragenten im Tenebris Team-Forum, die regelmäßig aktualisiert werden.

Linken Sphere kann die folgenden Fingerabdrücke ändern:

Die oben aufgeführten Fingerabdrücke sind laut den Entwicklern hardwareabhängig. Wenn der Benutzer dieselben Fingerabdrücke von einem Gerät auf ein anderes überträgt, sind die endgültigen Fingerabdrücke unterschiedlich. Einige der Fingerabdrücke, wie etwa WebGL, Schriftarten und Plugins, sind in den Konfigurationen enthalten, während andere, wie etwa Canvas, Audio und ClientRects, nicht in den Konfigurationen enthalten sind, sondern beim Erstellen der Sitzung generiert werden.

Linken Sphere 'Configshop' Browserkonfigurationen

Dem Angebot zufolge stellen die Entwickler individuelle Konfigurationen in hoher Qualität bereit, die durch die Kombination von Fingerabdrücken reale Geräte emulieren. Der Durchschnittspreis pro Konfiguration beträgt 3 $.

Configshop-Schnittstelle mit der Möglichkeit, neue Konfigurationen zu kaufen und zu importieren.
Benutzer von PRO- und Premium-Lizenzen, die es vorziehen, Sitzungen manuell zu konfigurieren, können in diesem Abschnitt kostenlose, neue Benutzeragenten für verschiedene Geräte erhalten. Die Liste der verfügbaren Benutzeragenten wird ständig aktualisiert.

Kostenlose Benutzeragenten für PRO- und Premium-Lizenzen verfügbar.

Benutzer mit PRO- und Premium-Lizenzen können Konfigurationen in großen Mengen importieren, jedoch nicht mehr als 100 Konfigurationen auf einmal.

Risikominimierung

Recorded Future wird die Entwicklung des Anti-Erkennungsbrowsers Linken Sphere weiterhin beobachten und seine Kunden über Software-Updates und neue Funktionen informieren, um den Kunden dabei zu helfen, diese in Betrugsschutzsysteme zu integrieren und so potenziell betrügerische Aktivitäten zu identifizieren.

Zum Schutz vor Angriffen auf Unternehmens-Websites und -Netzwerke empfiehlt die Insikt Group die folgenden allgemeinen Maßnahmen:

Ausblick

Linken Sphere ist seit seiner Veröffentlichung im Jahr 2017 aufgrund seiner umfassenden Funktionalität, seines hochwertigen technischen Supports und seines erfolgreichen Geschäftsmodells einer der wichtigsten Anti-Erkennungsbrowser im Darknet. Im Jahr 2019 wurde Linken Sphere mit der neuen Version 7.99 aktualisiert und als neues Produkt mit völlig neuen Funktionen beschrieben. Es ist wahrscheinlich, dass sich die Entwickler zu einer erheblichen Überarbeitung des Produkts entschlossen haben, um ihren Wettbewerbsvorteil gegenüber Anti-Erkennungsbrowsern wie AntiDetect und FraudFox im Darknet nicht einzubüßen. Der niedrige Preis von 100 US-Dollar pro Lizenz ist für die meisten Cyberkriminellen erschwinglich und trägt zum Zustrom neuer Benutzer bei.