このレポートには、Linken Sphere 検出防止ブラウザーの詳細な分析が含まれており、Recorded Future® Platform、アンダーグラウンド フォーラム、Linken Sphere の公式 Web サイトとフォーラム、および OSINT に基づいています。 このプロファイルは、サイバー犯罪者の標的となっている金融、電子商取引、ソーシャルメディア企業、アンダーグラウンドコミュニティ内の違法行為を追跡しようとする組織、およびサイバー犯罪者が詐欺検出システムを回避するために使用する一般的なツールを理解しようとしている人にとって最も興味深いものになります。 このレポートは、Tenebrisチームツールに特化したInsikt Groupの調査の最初の部分です。 詳細なテクニカル分析は、フォローアップ調査で提供されます。

Executive Summary

世界中の複数の電子商取引および金融機関は、正当なユーザーの活動を模倣するツールを使用して、セキュリティメカニズムを回避または無効化しようとするサイバー犯罪者の標的になっています。 検出防止ブラウザであるLinken Sphereは、現在この種のツールで最も人気のあるツールの1つです。

すべてのWebブラウザには、他のWebサイトがその正当性を確認するために使用する一意の「指紋」があります。 電子商取引の企業や銀行は、このタイプのフィンガープリントを使用して、以前に安全でない、または不正行為に関与していると認識されていたブラウザからの取引をブロックすることがよくあります。 サイバー犯罪者がさまざまな仮想マシン、プロキシ、およびVPNサーバーを使用する慣行は、詐欺防止システムが疑わしいIPアドレスと仮想マシンを特定する機能を備えているため、あまり効果的ではありません。 その結果、サイバー犯罪者は、Linken Sphereなどの検出防止ソフトウェアを開発し、すべてのWebブラウザー構成を動的に変更し、正当なユーザーの活動を模倣して新しい構成を無制限に生成できるようにしました。

Linken Sphereは、2017年7月4日に、脅威アクターによって「それにもかかわらず」、いくつかのロシア語圏のアンダーグラウンドフォーラムで初めて紹介されました。 Linken Sphereを使用すると、ユーザーは実際のユーザーの活動を模倣し、一意のデバイスフィンガープリントを提供する複数の仮想アカウントを作成できます。 その結果、Linken Sphereは、不正防止システムを回避しようとするサイバー犯罪者の間で人気を博しています。

主な判断

• Linken Sphere は Chromium ベースの Web ブラウザーであり、サイバー犯罪者が実際のユーザーの行動を模倣することで、さまざまな組織の不正防止システムをバイパスできます。
• このユーザーの模倣には、人間の行動をエミュレートし、AIベースの詐欺をだますためのインテリジェントなタイミングが含まれます 検知、および単純なPHPスクリプトベースのチャットボットと、より洗練されたAIを活用したチャットボットプログラムの両方をプラグインするために使用できるAPI。 そのようなユーザーの模倣が完璧に機能すれば、1950年代にコンピューターのパイオニアであるアラン・チューリングによって定義された、機械が人間と区別できないほど知的に動作するかどうかを判断するために定義された有名な チューリングテストに実際に合格することになります。近年、多数の請求があったにもかかわらず、今日まで、このテストに合格したシステムは存在しません。
• Linken Sphereを使用すると、サイバー犯罪者はさまざまなオペレーティングシステムと互換性のあるアカウントを無制限に作成できます。
• Linken Sphereは2017年7月にローンチされ、充実した機能性、手頃な価格、高品質の技術サポート、主要なアンダーグラウンドフォーラムでの広告により、ダークウェブで瞬く間に認知されるようになりました。
• Linken Sphereの公式フォーラムであるTenebrisチームフォーラムは、2018年5月に作成され、ls.tenebris[.]CCは購入する公式ウェブサイトです。
• 2019 年 6 月 1 日、Linken Sphere はバージョン 7.99 に更新されましたが、これは、以前のバージョンの機能の欠陥に対するクライアントの苦情が増加したためと思われます。

リンケンスフィアの公式ロゴ。

背景

Linken Sphere(ロシア語で「Сфера」と名付けられた)は、サイバー犯罪者が金融機関の不正防止システムを回避するために広く使用されている多機能で多目的な検出防止ブラウザおよびソフトウェアです。 これは、2017年7月4日に、ロシア語を話す脅威アクターによって「それにもかかわらず」ダークウェブに初めて導入されました。 脅威アクターは、Linken Sphere の公式フォーラムである Tenebris Team フォーラムの管理者の 1 人でもあります。

Linken Sphereチームの他のスタッフは「dev.tenebris」です。 製品の技術開発とサポートを担当するTenebris Teamフォーラムの別の管理者と、モデレーターである脅威アクター「S1neka」、「KirillGochan」、「Zimbabve」。

Linken Sphereはサイバー犯罪者の間で人気がありますが、作成者は、次のようなグループによって合法的な使用のために公式に作成されたと主張しています。

• ペネトレーションテスター
• ソーシャルメディアの専門家
• キーワード検索に基づく広告を扱うプロフェッショナル
• オンラインギャンブルやゲーム用に複数のアカウントを作成して、主催者が提供する特定の取引から金銭的ボーナスを獲得するボーナスハンター
• プライバシー擁護者
• 仕事で複数のアカウントを同時に運用している方

このプロジェクトの作者は、ロシアとウクライナで公然と会議を開催し、 ロシア語と 英語圏の両方の視聴者向けにYouTubeのプロモーションビデオを作成しています。

Tenebris Teamフォーラムによると、2019年9月13日に導入された最新のLinken Sphereバージョン7.996には、3種類のライセンスがある。

• 「ライト」、月額100ドル
• 「PRO」は6か月間500ドルで、製品の1か月間の無料トライアルを含む、構成を使用してストアにアクセスできます
• 「プレミアム」は12か月間900ドルで、3か月の無料トライアルを含む、構成と優先サービスでストアにアクセスできます

規則によれば、ライセンスを第三者に譲渡することは可能ですが、買い手と売り手はこの取引を確認するためにサポートサービスに連絡する必要があります。

Linken Sphere には、Light、PRO、Premium の 3 種類のライセンスがあります。

Linken Sphere の技術資料は、英語、ロシア語、スペイン語、ドイツ語、中国語で提供されています。 開発者は、新しいユーザーがTorを介して接続し、新しいLinkenSphereアカウントを作成および構成することを推奨しています。

個人アカウントを承認すると、ユーザーはユーザーパネルの機能にアクセスできるようになります。 ユーザーパネルの主なオプションは次のとおりです。

• 「成功アカウント」 — 有効な(現在の)アカウントを表示します
• 「Current Balance」(ロシア語、「Тарифный план」) —アカウントの現在の残高とその補充のオプションを表示します
• "Buy a Test" ("Купить тест") — アカウントごとに Light ライセンスの 1 回限りのテスト購入が可能です
• "Licenses" ("Лицензии") — アクティブなライセンスの種類と残りの有効期間に関する情報を表示し、更新するオプションも表示します
• "Transactions" ("Транзакции") — トランザクションアクティビティを含む暗号通貨ウォレットを含む、ユーザーアカウントのアクティビティを表示します
• "Operations" ("Операции") — 購入したすべてのライセンスと構成を表示します
• "Configshop" ("Конфигшоп") — 設定ストアへのアクセスを提供します
• "UserAgents" ("Юзерагенты") — PRO ライセンスと Premium ライセンスの利用可能な設定を表示します
• "Installer" ("Установщик") — ソフトウェアのインストールガイダンスを提供します
• "Support Tickets" ("Тикеты") — チケットシステムは、Linken Sphereのユーザーに技術的および一般的なサポートを提供します。
• 「自動保証サービス」(「Гарант」) —取引や取引からの潜在的なリスクを軽減するためのエスクローサービスシステム

開発者によると、このソフトウェアは、Windows(x64)バージョン7、8、10を含むさまざまなオペレーティングシステムと互換性があります。ヨセミテから始まるmacOS。およびLinux OS:Ubuntu、Linux、Mint、Kali Linux、Gentoo(Calculate Linux)、Fedora、Debian、OpenSUSE、Slackware、Mageia、PCLinux、およびKubuntu。 Linken Sphere バージョン 7.99 以降は、この記事の執筆時点では Linux OS にインストールできません。 Linken Sphere は、ローカルまたはリモートのコンピューターだけでなく、VMWare や VirtualBox などの仮想マシンにもインストールできます。 PCシステムの最小要件は次のとおりです:2xCore 1.7GHz、2Gb RAM。 Linken Sphereは、複数のデバイスにダウンロードしてインストールできます。ただし、一度に許可されるアカウントは 1 つだけです。 ユーザーデータはセッションのクラウドストレージに保存され、Linken Sphereをアンインストールまたは再インストールした後も保存されます。

リンケンスフィアは、2017年から2019年にかけてダークウェブに広告を出しました。 (出典:Recorded Future)

脅威分析

Linken Sphereの一般的な技術仕様は、脅威アクターが「それにもかかわらず」Tenebris Teamフォーラムで概説し、公式Webサイトls.tenebris[.]ccは、以下に記載されています。

• Linken Sphere は Chromium Web ブラウザに基づいています。その開発者はそのソースコードを使用し、Googleによって有効にされたすべての追跡機能を削除しました
• 「オフレコメッセージング」モードで動作します
• 非表示のGoogleサービスを使用していない
• AES 256アルゴリズムを使用して、保存されたすべてのデータを暗号化します
• HTTP、SOCKS、SSH、TOR、TOR + SSH、DYNAMIC SOCKSなどのさまざまなプロトコルを介してインターネットに接続します
• セッションごとに新しい構成が作成されるため、ユーザーは複数の仮想マシンを必要としません
• マルチスレッドモードで異なるタイプの接続を同時に操作できます
• ユーザーのエージェント、拡張機能、言語、ジオロケーション、およびリアルタイムで変更できる他の多くのパラメーターの構成を定期的に更新する、組み込みのプロフェッショナルな検出対策が含まれています
• 各セッションの後に指紋とCookieファイルを保存するため、仮想マシンを切り替えることなく、保存されたセッションを複数のユーザーが使用できます
• 特定の設定を必要とせず、プロアクティブに、匿名で、安全に作業を開始できます
• 位置情報データベースGeoIP2 MaxMindの組み込みライセンスが含まれており、ユーザーは時間とジオロケーションをすぐに構成できます
• WebEmulatorは、ロシア語で「Прогреватор」と呼ばれ、自動化モードでWebサイトを「ウォームアップ」するために作成されたオプションです。 この機能により、新しいアカウントで作業する前に、必要なCookieファイルをWebサイト間で自動的に収集できます。 WebEmulatorはマルチスレッドモードでバックグラウンドで動作し、訪問したページ数、各ページに費やした時間、一時停止、訪問間の遅延など、Webサイトにアクセスするためのパラメーターを設定できます。 WebEmulator は、タスクの完了後にアラートを有効にします。

Cookie ファイルを自動的に収集するための Web エミュレータ モジュール。

Linken Sphereは、ユーザーがWebRTCを通じて偽のIPを意図的に漏洩することを可能にします。 この機能はセッション全体で有効になり、偽のIPアドレスを漏らし、正当なユーザーになりすますことにより、標的となる組織を誤解させます。 また、Proxifier、Bitvise、Plinkを介した接続も可能です。

WebEmulator は、バックグラウンド モードで Web サイトにアクセスしているときにテキストをコピーするときに、タッチ スクリーン、モバイル デバイス、手動、および自動入力エミュレーションを提供し、実際のユーザーの動作を模倣し、そのようなアカウントの信頼レベルを高めます。

2019年6月1日、Tenebris Teamフォーラムの開発者はLinken Sphere v. 7.99を発表しました。 新しいバージョンは、以前のバージョンが十分な匿名性を提供していなかったというユーザーからの苦情の増加に対処することを意図している可能性があります。 開発者は、以前のリリースが次のような新機能で変更されたと述べています。

• Automator(ロシア語、「Автоматор」)—Linken Sphereが人間の行動をエミュレートしてCAPTCHAをバイパスできるようにする更新されたモジュールであり、開発者によると、新しいアカウントの自動登録に役立ちます
• パスワードを保存して暗号化し、簡単にアクセスできるようにする機能
• Cookieファイルを保存および編集する機能
• 新しいローカルバックアップアルゴリズムにより、アクティブなマシンにCookieファイルを保存し、インターネット接続が遅い、または不安定な場合によるファイルの損失を防ぎます
• インテリジェントなタイミングアルゴリズムを使用して、自動入力を識別できる機械学習の不正防止検出システムの大部分を打ち負かす、人間のテキスト入力エミュレーションの新しいメカニズム

「シンプル」 — リモートデバイスを使用しながらLinkenSphereの操作速度を向上させる新しいユーザーインターフェイス

• セッション同期 — 接続された任意のデバイスを使用して任意のデータにアクセスできる仮想オフィスを作成する新機能により、パートナーは必要なセッションを相互に転送できるだけでなく、大量の情報で同時に作業を初期化し、これらのセッションのステータスと最も重要な情報を表示することができます

WebサイトのCAPTCHAをバイパスするためのAutomatorモジュール。

ネットワーク接続

Linken Sphereは、複数のユーザーを同時にインターネットに接続できる「セッション」です。 各セッションには個別に名前を付けることができます。 Linken Sphereは、複数のデバイスでの作業を可能にし、特定のハードウェアに縛られることはありません。 ユーザーは、さまざまなオペレーティングシステムを搭載したさまざまなデバイスでブラウザを使用できますが、一度に操作できるユーザー名とパスワードは1つだけです。 開発者は、クラウドアクセスにより、ユーザーはどのデバイスからでもLinkenSphereを起動できると述べています。

各セッション接続は、次の方法で個別に構成できます。

• **プロキシなし<:インターネットへの直接接続
• Tor:Torブラウザを介して接続します
• Secure Socket Shell (SSH) トンネル: SSH 経由の Linken Sphere リモート セクション トンネリング
• Tor + SSHトンネル:Torプロキシを介して実行されるSSH(暗号化)トンネリング
• ダイナミックSOCKS:SOCKSを介したSSHダイナミックポートフォワーディングにより、単一のポートではなく、さまざまなポート間での通信が可能になります。 このオプションは、SSH を SOCKS プロキシサーバーとして動作させます
• SOCKS5: 認証を提供するインターネットプロトコルで、許可されたユーザーのみがTCPプロトコルとUDPプロトコルの両方をサポートするサーバーにアクセスできるようにします
• ハイパーテキスト転送プロトコル (HTTP) 接続
• Sphere SOCKS:Linken Sphereの開発者が提供するSOCKS

セッション設定インターフェースにより、ユーザーはさまざまなプロトコルを通じて適切な接続を選択できます。

指紋

開発者によると、Linken Sphere には約 50,000 のデバイス フィンガープリントと、追加のカスタム フィンガープリントを作成するための構成ジェネレーターが含まれています。 PROおよびPremiumライセンスのユーザーは、Tenebris Teamフォーラムで約150,000の指紋と13,000のユーザーエージェントにアクセスでき、定期的に更新されます。

Linken Sphere は、次のフィンガープリントを変更できます。

• キャンバス: Web ページ上にグラフィックを表示する HTML5 Canvas 要素の一部で、ビデオ システムの機能によってユーザーを識別するために広く使用されています
• フォント:ユーザーを識別するために使用できる別の要素
• プラグイン:インストール済みおよび有効なプラグインは、ユーザーを識別するのに役立ちます
• オーディオ(音響)フィンガープリント:オーディオフィンガープリントの役割は、音のシグネチャーをキャプチャすることで、他の音と区別できるようにすることです
• WebGL:プラグインを使用せずにWebブラウザで3Dグラフィックスを操作するためのJavascript API
• ジオロケーション:不正防止システムは、ユーザーのIPアドレスと物理的なジオロケーションを比較できます
• ClientRects: イメージのスケーリングの結果として取得されたハッシュを使用してユーザーを識別する方法
• Ubercookie(s):デバイスを識別できるようにするClientRectsとAudioフィンガープリントのハッシュ
• Web Real-Time Communication(WebRTC)(デバイスハッシュを含む):マイクやカメラなどのメディアサービスへのデバイス直接接続に使用され、WebRTCがVPNおよびプロキシサービスをバイパスして実際のIPアドレスを取得できるようにするテクノロジー。カメラとマイクには独自の位置インジケーターがあり、これも交換する必要があります
• Cascading Style Sheets (CSS): CSS テクノロジを使用してウィンドウの実際の拡張を識別するために使用される方法
• タッチエミュレーション:マウスカーソルを表示せずにタッチスクリーンエミュレーションを可能にする方法。ユーザーエージェントをポータブルデバイスとして設定した後も、不正防止システムはマウスカーソルをディスプレイ上に表示しているため、マウスカーソルを検出できます
• JS ナビゲータ (JavaScript Windows ナビゲーター): 時間、言語、および拡張機能が含まれています。プログラムに関する情報とともに送信されるWebブラウザのパラメータ
• HTTPヘッダー:不正防止防御がユーザーを識別することを可能にする主要なブラウザフィンガープリントの1つ
• **ドメイン ネーム システム (DNS): セッションごとに独自の DNS を使用する機能
• ローカルIPアドレス:ユーザーの可能な実際の位置を明らかにするのに役立つ指標

開発者によると、上記の指紋はハードウェアによって異なります。 ユーザーが同じ指紋をあるマシンから別のマシンに転送すると、最終的な指紋は異なります。 WebGL、Fonts、Plugins などの一部のフィンガープリントは設定に含まれていますが、Canvas、Audio、ClientRects などの他のフィンガープリントは含まれていませんが、セッションの作成時に生成されます。

Linken Sphere 'Configshop' ブラウザ構成

オファーによると、開発者は、実際のデバイスをエミュレートする指紋の組み合わせを使用して、個々の高品質の構成を提供します。 構成あたりの平均価格は $3 です。

Configshop インターフェイスには、新しい構成を購入してインポートするオプションがあります。
セッションを手動で構成することを好むPROおよびPremiumライセンスのユーザーは、このセクションでさまざまなデバイス用の無料の新しいユーザーエージェントを受け取ることができます。使用可能なユーザーエージェントのリストは、常に更新されます。

PROおよびPremiumライセンスで利用可能な無料のユーザーエージェント。

PRO ライセンスと Premium ライセンスを持つユーザーは、設定を一括でインポートできますが、一度に 100 個を超える設定をインポートすることはできません。

リスクの軽減

Recorded Futureは、Linken Sphere検出防止ブラウザの開発を引き続き監視し、ソフトウェアの更新と新機能をクライアントに通知します。これにより、クライアントはそれらを不正防止システムに組み込むことができます。これにより、詐欺の可能性のある活動を特定できます。

Insikt Groupは、組織のWebサイトやネットワークを標的にすることから保護するために、次の一般的な対策を推奨しています。

• すべてのソフトウェアとアプリケーションを最新の状態に保ちます。特に、オペレーティング システム、ウイルス対策ソフトウェア、およびコア システム ユーティリティです。
• メールの通信と画面の添付ファイルをフィルタリングしてマルウェアを検出します。
• システムの定期的なバックアップを作成し、バックアップをオフライン (できればオフサイト) に保存して、ネットワーク経由でデータに簡単にアクセスできないようにします。
• インシデント対応とコミュニケーション計画を計画します。
• 会社の機密データの厳格な区分化を遵守します。 特に、従業員のアカウントまたはデバイスにアクセスできるすべてのユーザーがアクセスできるデータを確認します (たとえば、フィッシングによるデバイスやアカウントの乗っ取りによってデバイスが侵害された場合にどうなるかを調査します)。
• ロールベースのアクセスの導入、全社的なデータアクセスの制限、機密データへのアクセスの制限を真剣に検討してください。
• ホストベースのコントロールを採用します。最善の防御策の 1 つは、クライアントベースのホスト ロギングおよび侵入検出機能を実行することです。
• ネットワーク侵入検知システム、IDS、NetFlow収集、ホストロギング、Webプロキシなどの基本的なインシデント対応と検出のデプロイメントと制御を、人間による検出ソースの監視とともに実装します。
• パートナーまたはサプライ チェーンのセキュリティ基準に注意してください。 エコシステムパートナーのセキュリティ標準を監視および実施できることは、組織のセキュリティ体制の重要な部分です。

今後の展望

Linken Sphereは、2017年のリリース以来、広範な機能、高品質の技術サポート、成功したビジネスモデルにより、ダークウェブの主要な検出防止ブラウザの1つです。 2019年、Linken Sphereは新しいバージョン7.99で更新され、すべての新機能を備えた新製品として説明されました。 開発者は、AntiDetectやFraudFoxなどの検出防止ブラウザに対するダークウェブでの競争上の優位性を失わないように、製品を大幅に見直すことを決定した可能性があります。 ライセンスあたり100ドルという低価格は、ほとんどのサイバー犯罪者にとって手頃な価格であり、新規ユーザーの流入に貢献しています。