Profilierung des Linken Sphere Anti-Detection Browsers

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Dieser Bericht enthält eine detaillierte Analyse des Anti-Erkennungsbrowsers Linken Sphere und basiert auf der Recorded Future ® Plattform, Untergrundforen, der offiziellen Website und dem Forum von Linken Sphere sowie OSINT. Dieses Profil dürfte vor allem für Finanz-, E-Commerce- und Social-Media-Unternehmen von Interesse sein, die im Visier von Cyberkriminellen stehen, für Organisationen, die illegale Aktivitäten innerhalb der Untergrund-Community aufspüren möchten, sowie für alle, die beliebte Tools verstehen möchten, mit denen Cyberkriminelle Betrugserkennungssysteme umgehen. Dieser Bericht ist der erste Teil der Untersuchung der Insikt Group, die den Teamtools von Tenebris gewidmet ist. In einer Folgeuntersuchung wird eine eingehende technische Analyse bereitgestellt.

Executive Summary

Zahlreiche E-Commerce- und Finanzorganisationen auf der ganzen Welt sind das Ziel von Cyberkriminellen, die versuchen, ihre Sicherheitsmechanismen zu umgehen oder zu deaktivieren. In einigen Fällen verwenden sie dazu Tools, die die Aktivitäten legitimer Benutzer imitieren. Linken Sphere, ein Anti-Erkennungsbrowser, ist derzeit eines der beliebtesten Tools dieser Art.

Jeder Webbrowser verfügt über einen einzigartigen „Fingerabdruck“, anhand dessen andere Websites seine Legitimität überprüfen. E-Commerce-Unternehmen und Banken nutzen diese Art des Fingerprintings häufig, um Transaktionen von Browsern zu blockieren, die zuvor als unsicher oder an betrügerischen Aktivitäten beteiligt erkannt wurden. Die Vorgehensweise von Cyberkriminellen, verschiedene virtuelle Maschinen, Proxys und VPN-Server zu verwenden, ist nicht besonders effektiv, da die Betrugsschutzsysteme über die Fähigkeit verfügen, verdächtige IP-Adressen und virtuelle Maschinen zu identifizieren. Aus diesem Grund haben Cyberkriminelle Anti-Erkennungssoftware wie Linken Sphere entwickelt, die es ihnen ermöglicht, sämtliche Webbrowser-Konfigurationen dynamisch zu ändern und eine unbegrenzte Zahl neuer Konfigurationen zu generieren und dabei die Aktivitäten legitimer Benutzer zu imitieren.

Linken Sphere wurde erstmals am 4. Juli 2017 vom Bedrohungsakteur „dennoch“ in mehreren russischsprachigen Untergrundforen vorgestellt. Mit Linken Sphere können Benutzer mehrere virtuelle Konten erstellen, die die Aktivitäten echter Benutzer imitieren und einzigartige Gerätefingerabdrücke bereitstellen. Aus diesem Grund erfreut sich Linken Sphere bei Cyberkriminellen großer Beliebtheit, die versuchen, Betrugsschutzsysteme zu umgehen.

Offizielles Logo von Linken Sphere.

Hintergrund

Linken Sphere (auf Russisch „Сфера“) ist ein multifunktionaler und vielseitig einsetzbarer Anti-Erkennungsbrowser und eine Anti-Erkennungssoftware, die von Cyberkriminellen häufig verwendet wird, um die Betrugsschutzsysteme von Finanzinstituten zu umgehen. Die Malware wurde erstmals am 4. Juli 2017 vom russischsprachigen Bedrohungsakteur „noch immer“ im Darknet eingeführt. Der Bedrohungsakteur ist auch einer der Administratoren des Tenebris Team-Forums, dem offiziellen Forum von Linken Sphere.

Weitere Mitarbeiter des Linken Sphere-Teams sind „dev.tenebris“, ein weiterer Administrator des Tenebris Team-Forums, der für die technische Entwicklung und den Support des Produkts verantwortlich ist, sowie die Bedrohungsakteure „S1neka“, „KirillGochan“ und „Zimbabve“, die alle Moderatoren sind.

Obwohl Linken Sphere unter Cyberkriminellen beliebt ist, behaupten die Entwickler, dass es offiziell für legitime Zwecke durch Gruppen wie die folgenden erstellt wurde:

• Penetrationstester

• Social-Media-Profis

• Fachleute, die mit Anzeigen auf der Grundlage von Stichwortsuchen arbeiten

• Bonusjäger, die mehrere Konten für Online-Glücksspiele und -Spiele erstellen, um Geldboni aus bestimmten Angeboten der Veranstalter zu erhalten

• Befürworter des Datenschutzes

• Diejenigen, die beruflich mehrere Konten gleichzeitig betreiben

Die Autoren des Projekts halten öffentliche Konferenzen in Russland und der Ukraine ab und erstellen YouTube-Werbevideos für ein russisch-und englischsprachigesPublikum.

Laut dem Tenebris Team-Forum gibt es drei Arten von Lizenzen für die neueste Linken Sphere-Version 7.996, die am 13. September 2019 eingeführt wurde:

• „Light“ für 100 Dollar pro Monat

• „PRO“ für 500 US-Dollar für sechs Monate, das Zugriff auf den Store mit Konfigurationen bietet, einschließlich einer einmonatigen kostenlosen Testversion des Produkts

• „Premium“ für 900 US-Dollar für 12 Monate, das Zugriff auf den Store mit Konfigurationen und vorrangigem Service bietet, einschließlich einer kostenlosen dreimonatigen Testversion

Gemäß den Regeln ist es möglich, die Lizenzen an Dritte zu übertragen, aber Käufer und Verkäufer müssen sich an den Support wenden, um diese Transaktion zu bestätigen.

Linken Sphere bietet drei Arten von Lizenzen: Light, PRO und Premium.

Die technische Dokumentation für Linken Sphere ist auf Englisch, Russisch, Spanisch, Deutsch und Chinesisch verfügbar. Die Entwickler empfehlen neuen Benutzern, sich über Tor zu verbinden, um neue Linken Sphere-Konten zu erstellen und zu konfigurieren.

Nach der Autorisierung eines persönlichen Kontos erhalten Benutzer Zugriff auf die Funktionen des Benutzerpanels. Die primären Optionen des Benutzerpanels sind:

• „Erfolgskonto“ — Zeigt das aktivierte (aktuelle) Konto an

• „Aktueller Kontostand“ (Russisch: „Тарифный план“) — Zeigt den aktuellen Kontostand mit der Option, ihn aufzufüllen.

• „Test kaufen“ („Test kaufen“) — Ein einmaliger Testkauf der Light-Lizenz ist pro Konto möglich.

• „Lizenzen“ („Лицензии“) — Zeigt Informationen über den Typ der aktiven Lizenz und die verbleibende Gültigkeitsdauer an, mit der Option zur Verlängerung

• „Transaktionen“ („Transaktionen“) — Zeigt die Aktivität des Benutzerkontos an, einschließlich Kryptowährungs-Wallets mit Transaktionsaktivitäten

• „Operationen“ („Operationen“) — Zeigt alle erworbenen Lizenzen und Konfigurationen an

• „Configshop“ („Konfigshop“) — Bietet Zugriff auf den Konfigurationsspeicher

• „UserAgents“ („Benutzeragenten“) — Zeigt verfügbare Konfigurationen für die PRO- und Premium-Lizenzen an

• „Installer“ („Установщик“) – Bietet Anleitungen zur Softwareinstallation

• „Support-Tickets“ („Tiketu“) — Das Ticketsystem bietet technischen und allgemeinen Support für Linken Sphere-Benutzer.

• „Automatischer Garantieservice“ („Гарант“) — Ein Treuhandservicesystem zur Reduzierung des potenziellen Risikos bei Geschäften und Transaktionen

Laut den Entwicklern ist die Software mit verschiedenen Betriebssystemen kompatibel, darunter Windows (x64) Versionen 7, 8 und 10; macOS ab Yosemite; und Linux-Betriebssysteme: Ubuntu, Linux, Mint, Kali Linux, Gentoo (Calculate Linux), Fedora, Debian, OpenSUSE, Slackware, Mageia, PCLinux und Kubuntu. Linken Sphere Version 7.99 und neuer können zum Zeitpunkt des Schreibens dieses Artikels nicht auf Linux OS installiert werden. Linken Sphere kann auf einem lokalen oder Remotecomputer sowie auf virtuellen Maschinen wie VMWare oder VirtualBox installiert werden. Die Mindestanforderungen an das PC-System lauten wie folgt: 2xCore 1,7 GHz, 2 GB RAM. Linken Sphere kann auf mehreren Geräten heruntergeladen und installiert werden. Es ist jedoch immer nur ein Konto gleichzeitig zulässig. Benutzerdaten werden im Cloud-Speicher der Sitzungen gespeichert und bleiben auch nach der Deinstallation oder Neuinstallation von Linken Sphere erhalten.

Linken Sphere hat zwischen 2017 und 2019 im Dark Web Werbung gemacht. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Nachfolgend sind die allgemeinen technischen Spezifikationen von Linken Sphere aufgeführt, wie sie vom Bedrohungsakteur „dennoch“ im Tenebris Team-Forum und auf der offiziellen Website ls.tenebris[.]cc beschrieben wurden:

• Linken Sphere basiert auf dem Chromium-Webbrowser; seine Entwickler verwendeten dessen Quellcode und entfernten alle von Google aktivierten Tracking-Funktionen.

• Arbeitet im Modus „Off-the-Record Messaging“

• Verwendet keine versteckten Google-Dienste

• Verschlüsselt alle gespeicherten Daten mit dem AES 256-Algorithmus

• Verbindet sich mit dem Internet über verschiedene Protokolle, darunter HTTP, SOCKS, SSH, TOR, TOR + SSH und DYNAMIC SOCKS

• Jede Sitzung erstellt eine neue Konfiguration und Benutzer benötigen nicht mehrere virtuelle Maschinen

• Ermöglicht das gleichzeitige Arbeiten mit verschiedenen Verbindungstypen im Multithread-Modus

• Enthält integrierte professionelle Anti-Erkennung mit regelmäßigen Updates der Konfigurationen der Agenten, Erweiterungen, Sprachen, Geolokalisierung und vieler anderer Parameter des Benutzers, die sich in Echtzeit ändern können

• Speichert Fingerabdrücke und Cookie-Dateien nach jeder Sitzung, sodass mehrere Benutzer eine gespeicherte Sitzung verwenden können, ohne zwischen virtuellen Maschinen wechseln zu müssen.

• Erfordert keine besonderen Einstellungen, um proaktiv, anonym und sicher zu arbeiten

• Enthält eine integrierte Lizenz mit der Standortdatenbank GeoIP2 MaxMind, mit der Benutzer Zeit und Geolokalisierung sofort konfigurieren können

• WebEmulator, auf Russisch „Прогреватор“ genannt, ist eine Option zum „Aufwärmen“ von Websites im automatisierten Modus. Diese Funktion ermöglicht das automatische Sammeln benötigter Cookie-Dateien zwischen Websites, bevor mit einem neuen Konto gearbeitet wird. WebEmulator läuft im Hintergrund im Multithread-Modus und ermöglicht die Einrichtung von Parametern für den Besuch von Websites, wie etwa die Anzahl der besuchten Seiten, die auf jeder Seite verbrachte Zeit, Pausen und Verzögerungen zwischen den Besuchen. WebEmulator aktiviert Warnungen nach Abschluss der Aufgabe.

Web-Emulator-Modul zum automatischen Sammeln von Cookie-Dateien.

Linken Sphere ermöglicht es Benutzern, absichtlich eine gefälschte IP über WebRTC preiszugeben. Die Funktion ist während der gesamten Sitzung aktiviert und führt die Zielorganisationen in die Irre, indem sie falsche IP-Adressen preisgibt und sich als legitime Benutzer ausgibt. Es ermöglicht auch Verbindungen über Proxifier, Bitvise und Plink.

WebEmulator bietet Emulationen für Touchscreens, Mobilgeräte sowie manuelle und automatische Eingaben beim Kopieren von Text beim Besuch von Websites im Hintergrundmodus. Dadurch wird das Verhalten echter Benutzer imitiert und das Vertrauen in solche Konten gestärkt.

Am 1. Juni 2019 kündigten die Entwickler des Tenebris Team-Forums Linken Sphere v. 7.99 an. Mit der neuen Version soll vermutlich den vermehrten Beschwerden von Nutzern Rechnung getragen werden, wonach die vorherigen Versionen unter anderem keine ausreichende Anonymität gewährleistet hätten. Die Entwickler gaben an, dass die vorherige Version um neue Funktionen erweitert wurde, darunter:

• Automator (russisch „Автоматор“) – ein aktualisiertes Modul, das es Linken Sphere ermöglicht, CAPTCHA durch die Emulation menschlichen Verhaltens zu umgehen, was es laut den Entwicklern für die automatische Registrierung neuer Konten nützlich macht.

• Die Möglichkeit, Passwörter für einen einfachen Zugriff zu speichern und zu verschlüsseln

• Die Möglichkeit, Cookie-Dateien zu speichern und zu bearbeiten

• Ein neuer lokaler Backup-Algorithmus, der Cookie-Dateien auf einem aktiven Rechner speichert und so ihren Verlust aufgrund einer langsamen oder instabilen Internetverbindung verhindert.

• Ein neuer Mechanismus zur Emulation menschlicher Texteingaben, der intelligente Timing-Algorithmen verwendet, um die Mehrheit der auf maschinellem Lernen basierenden Betrugserkennungssysteme zu überwinden, die in der Lage sind, automatisierte Eingaben zu identifizieren

„Einfach“ – eine neue Benutzeroberfläche, die die Geschwindigkeit des Linken Sphere-Betriebs bei der Verwendung von Remote-Geräten erhöht

• Sitzungssynchronisierung – eine neue Funktion, die ein virtuelles Büro mit Zugriff auf alle Daten über jedes verbundene Gerät erstellt. So können Partner nicht nur erforderliche Sitzungen untereinander übertragen, sondern auch die Arbeit mit einer großen Menge an Informationen gleichzeitig initialisieren und den Status dieser Sitzungen und die wichtigsten Informationen anzeigen.

Automator-Modul zum Umgehen von Website-CAPTCHAs.

Netzwerkverbindung

Linken Sphere kann mehrere Benutzer gleichzeitig in sogenannten „Sitzungen“ mit dem Internet verbinden. Jede Sitzung kann individuell benannt werden. Linken Sphere ermöglicht das Arbeiten auf mehreren Geräten und ist nicht an bestimmte Hardware gebunden. Nutzer können den Browser auf verschiedenen Geräten mit unterschiedlichen Betriebssystemen nutzen, aber jeweils nur mit einem Benutzernamen und Passwort arbeiten. Die Entwickler gaben an, dass Benutzer Linken Sphere über den Cloud-Zugriff von jedem Gerät aus starten können.

Jede Sitzungsverbindung kann auf folgende Arten individuell konfiguriert werden:

• **Kein Proxy<: Direkte Verbindung zum Internet

• Tor: Verbindung über den Tor-Browser

• Secure Socket Shell (SSH)-Tunnel: Linken Sphere-Remoteabschnittstunnel durch SSH

• Tor + SSH-Tunnel: SSH-Tunneling (verschlüsselt) über Tor-Proxys

• Dynamische SOCKS: Die dynamische SSH-Portweiterleitung über SOCKS ermöglicht die Kommunikation nicht über einen einzelnen Port, sondern über einen Bereich von Ports. Mit dieser Option fungiert SSH als SOCKS-Proxyserver.

• SOCKS5: Ein Internetprotokoll, das eine Authentifizierung ermöglicht, sodass nur autorisierte Benutzer auf einen Server zugreifen können, der sowohl TCP- als auch UDP-Protokolle unterstützt.

• Hypertext Transfer Protocol (HTTP)-Verbindung

• Sphere SOCKS: SOCKS bereitgestellt von den Linken Sphere-Entwicklern

Über die Schnittstelle zur Sitzungseinrichtung können Benutzer über verschiedene Protokolle eine geeignete Verbindung auswählen.

Fingerabdrücke

Laut den Entwicklern umfasst Linken Sphere etwa 50.000 Gerätefingerabdrücke und einen Konfigurationsgenerator zum Erstellen zusätzlicher benutzerdefinierter Fingerabdrücke. Die Benutzer der PRO- und Premium-Lizenzen haben Zugriff auf ungefähr 150.000 Fingerabdrücke und 13.000 Benutzeragenten im Tenebris Team-Forum, die regelmäßig aktualisiert werden.

Linken Sphere kann die folgenden Fingerabdrücke ändern:

• Canvas: Ein Teil des HTML5-Canvas-Elements, das Grafiken auf der Webseite anzeigt und häufig verwendet wird, um Benutzer anhand der Merkmale ihres Videosystems zu identifizieren.

• Schriftarten: Ein weiteres Element, das zur Identifizierung von Benutzern verwendet werden kann

• Plugins: Installierte und aktivierte Plugins helfen bei der Identifizierung von Benutzern

• Audio-Fingerabdruck (akustischer Fingerabdruck): Die Aufgabe eines Audio-Fingerabdrucks besteht darin, die Signatur eines Tonstücks zu erfassen, wodurch es von anderen Geräuschen unterschieden werden kann.

• WebGL: Javascript-API für die Arbeit mit 3D-Grafiken im Webbrowser ohne Verwendung von Plugins

• Geolokalisierung: Ein Betrugsschutzsystem kann die IP-Adressen der Benutzer mit ihrer physischen Geolokalisierung vergleichen

• ClientRects: Eine Methode zur Identifizierung von Benutzern mithilfe von Hashes, die durch Bildskalierung erhalten werden

• Ubercookie(s): Ein Hash aus ClientRects und Audio-Fingerabdrücken, der die Identifizierung des Geräts ermöglicht

• Web Real-Time Communication (WebRTC) (einschließlich Geräte-Hashes): Eine Technologie, die für die gerätedirekte Verbindung zu Mediendiensten wie Mikrofonen oder Kameras verwendet wird und es WebRTC ermöglicht, durch Umgehung von VPN- und Proxy-Diensten eine echte IP-Adresse zu erhalten; Kameras und Mikrofone haben ihre eigenen Standortindikatoren, die ebenfalls geändert werden müssen

• Cascading Style Sheets (CSS): Eine Methode zur Identifizierung einer tatsächlichen Erweiterung des Fensters mithilfe der CSS-Technologie

• Touch-Emulation: Eine Methode, die die Emulation eines Touchscreens ermöglicht, ohne einen Mauszeiger anzuzeigen. Nach dem Einrichten eines Benutzeragenten als tragbares Gerät kann das Betrugsschutzsystem den Mauszeiger weiterhin erkennen, da er sich noch auf einem Display befindet.

• JS Navigator (JavaScript Windows Navigator): Enthält Zeit, Sprache und Erweiterungen; die Parameter des Webbrowsers, die mit den Informationen über das Programm übertragen werden

• HTTP-Header: Einer der wichtigsten Browser-Fingerabdrücke, der es Betrugsschutzmaßnahmen ermöglicht, Benutzer zu identifizieren

• **Domain Name System (DNS): Möglichkeit, für jede Sitzung ein eigenes DNS zu verwenden

• Lokale IP-Adresse: Ein Indikator, der hilft, den möglichen tatsächlichen Standort des Benutzers zu ermitteln

Die oben aufgeführten Fingerabdrücke sind laut den Entwicklern hardwareabhängig. Wenn der Benutzer dieselben Fingerabdrücke von einem Gerät auf ein anderes überträgt, sind die endgültigen Fingerabdrücke unterschiedlich. Einige der Fingerabdrücke, wie etwa WebGL, Schriftarten und Plugins, sind in den Konfigurationen enthalten, während andere, wie etwa Canvas, Audio und ClientRects, nicht in den Konfigurationen enthalten sind, sondern beim Erstellen der Sitzung generiert werden.

Linken Sphere 'Configshop' Browserkonfigurationen

Dem Angebot zufolge stellen die Entwickler individuelle Konfigurationen in hoher Qualität bereit, die durch die Kombination von Fingerabdrücken reale Geräte emulieren. Der Durchschnittspreis pro Konfiguration beträgt 3 $.

Configshop-Schnittstelle mit der Möglichkeit, neue Konfigurationen zu kaufen und zu importieren.

Nutzer von PRO- und Premium-Lizenzen, die die Sitzungskonfiguration lieber manuell vornehmen, können in diesem Bereich kostenlose, neue Benutzeragenten für verschiedene Geräte erhalten. Die Liste der verfügbaren Benutzeragenten wird ständig aktualisiert.

Kostenlose Benutzeragenten für PRO- und Premium-Lizenzen verfügbar.

Benutzer mit PRO- und Premium-Lizenzen können Konfigurationen in großen Mengen importieren, jedoch nicht mehr als 100 Konfigurationen auf einmal.

Risikominimierung

Recorded Future wird die Entwicklung des Anti-Erkennungsbrowsers Linken Sphere weiterhin beobachten und seine Kunden über Software-Updates und neue Funktionen informieren, um den Kunden dabei zu helfen, diese in Betrugsschutzsysteme zu integrieren und so potenziell betrügerische Aktivitäten zu identifizieren.

Zum Schutz vor Angriffen auf Unternehmens-Websites und -Netzwerke empfiehlt die Insikt Group die folgenden allgemeinen Maßnahmen:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand; insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.

• Filtern Sie E-Mail-Korrespondenz und Bildschirmanhänge auf Malware.

• Erstellen Sie regelmäßig Backups Ihres Systems und speichern Sie die Backups offline, vorzugsweise außerhalb des Standorts, sodass nicht ohne Weiteres über das Netzwerk auf die Daten zugegriffen werden kann.

• Legen Sie einen Plan für die Reaktion auf Vorfälle und die Kommunikation fest.

• Achten Sie auf eine strikte Abschottung unternehmensrelevanter Daten. Überprüfen Sie insbesondere die Daten, auf die jeder mit Zugriff auf ein Mitarbeiterkonto oder -gerät Zugriff hätte (untersuchen Sie beispielsweise, was passieren würde, wenn das Gerät durch eine Geräte- oder Kontoübernahme per Phishing kompromittiert würde).

• Erwägen Sie ernsthaft die Einführung eines rollenbasierten Zugriffs, die Beschränkung des unternehmensweiten Datenzugriffs und die Einschränkung des Zugriffs auf vertrauliche Daten.

• Setzen Sie hostbasierte Kontrollen ein. Eine der besten Abwehrmaßnahmen besteht in der Durchführung clientbasierter Hostprotokollierung und Angriffserkennungsfunktionen.

• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie z. B. Systeme zur Erkennung von Netzwerkangriffen, IDS, NetFlow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.

• Beachten Sie die Sicherheitsstandards Ihrer Partner oder Lieferkette. Die Fähigkeit, Sicherheitsstandards für Ökosystempartner zu überwachen und durchzusetzen, ist ein wichtiger Teil der Sicherheitslage jedes Unternehmens.

Ausblick

Linken Sphere ist seit seiner Veröffentlichung im Jahr 2017 aufgrund seiner umfassenden Funktionalität, seines hochwertigen technischen Supports und seines erfolgreichen Geschäftsmodells einer der wichtigsten Anti-Erkennungsbrowser im Darknet. Im Jahr 2019 wurde Linken Sphere mit der neuen Version 7.99 aktualisiert und als neues Produkt mit völlig neuen Funktionen beschrieben. Es ist wahrscheinlich, dass sich die Entwickler zu einer erheblichen Überarbeitung des Produkts entschlossen haben, um ihren Wettbewerbsvorteil gegenüber Anti-Erkennungsbrowsern wie AntiDetect und FraudFox im Darknet nicht einzubüßen. Der niedrige Preis von 100 US-Dollar pro Lizenz ist für die meisten Cyberkriminellen erschwinglich und trägt zum Zustrom neuer Benutzer bei.