Linken Sphere Anti-Detection Browser のプロファイリング

Linken Sphere Anti-Detection Browser のプロファイリング

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

このレポートには、Linken Sphere 検出防止ブラウザーの詳細な分析が含まれており、Recorded Future® Platform、アンダーグラウンド フォーラム、Linken Sphere の公式 Web サイトとフォーラム、および OSINT に基づいています。 このプロファイルは、サイバー犯罪者の標的となっている金融、電子商取引、ソーシャルメディア企業、アンダーグラウンドコミュニティ内の違法行為を追跡しようとする組織、およびサイバー犯罪者が詐欺検出システムを回避するために使用する一般的なツールを理解しようとしている人にとって最も興味深いものになります。 このレポートは、Tenebrisチームツールに特化したInsikt Groupの調査の最初の部分です。 詳細なテクニカル分析は、フォローアップ調査で提供されます。

Executive Summary

世界中の複数の電子商取引および金融機関は、正当なユーザーの活動を模倣するツールを使用して、セキュリティメカニズムを回避または無効化しようとするサイバー犯罪者の標的になっています。 検出防止ブラウザであるLinken Sphereは、現在この種のツールで最も人気のあるツールの1つです。

すべてのWebブラウザには、他のWebサイトがその正当性を確認するために使用する一意の「指紋」があります。 電子商取引の企業や銀行は、このタイプのフィンガープリントを使用して、以前に安全でない、または不正行為に関与していると認識されていたブラウザからの取引をブロックすることがよくあります。 サイバー犯罪者がさまざまな仮想マシン、プロキシ、およびVPNサーバーを使用する慣行は、詐欺防止システムが疑わしいIPアドレスと仮想マシンを特定する機能を備えているため、あまり効果的ではありません。 その結果、サイバー犯罪者は、Linken Sphereなどの検出防止ソフトウェアを開発し、すべてのWebブラウザー構成を動的に変更し、正当なユーザーの活動を模倣して新しい構成を無制限に生成できるようにしました。

Linken Sphereは、2017年7月4日に、脅威アクターによって「それにもかかわらず」、いくつかのロシア語圏のアンダーグラウンドフォーラムで初めて紹介されました。 Linken Sphereを使用すると、ユーザーは実際のユーザーの活動を模倣し、一意のデバイスフィンガープリントを提供する複数の仮想アカウントを作成できます。 その結果、Linken Sphereは、不正防止システムを回避しようとするサイバー犯罪者の間で人気を博しています。

主な判断

リンケンスフィアの公式ロゴ。

背景

Linken Sphere(ロシア語で「Сфера」と名付けられた)は、サイバー犯罪者が金融機関の不正防止システムを回避するために広く使用されている多機能で多目的な検出防止ブラウザおよびソフトウェアです。 これは、2017年7月4日に、ロシア語を話す脅威アクターによって「それにもかかわらず」ダークウェブに初めて導入されました。 脅威アクターは、Linken Sphere の公式フォーラムである Tenebris Team フォーラムの管理者の 1 人でもあります。

Linken Sphereチームの他のスタッフは「dev.tenebris」です。 製品の技術開発とサポートを担当するTenebris Teamフォーラムの別の管理者と、モデレーターである脅威アクター「S1neka」、「KirillGochan」、「Zimbabve」。

Linken Sphereはサイバー犯罪者の間で人気がありますが、作成者は、次のようなグループによって合法的な使用のために公式に作成されたと主張しています。

このプロジェクトの作者は、ロシアとウクライナで公然と会議を開催し、 ロシア語と 英語圏の両方の視聴者向けにYouTubeのプロモーションビデオを作成しています。

Tenebris Teamフォーラムによると、2019年9月13日に導入された最新のLinken Sphereバージョン7.996には、3種類のライセンスがある。

規則によれば、ライセンスを第三者に譲渡することは可能ですが、買い手と売り手はこの取引を確認するためにサポートサービスに連絡する必要があります。

Linken Sphere には、Light、PRO、Premium の 3 種類のライセンスがあります。

Linken Sphere の技術資料は、英語、ロシア語、スペイン語、ドイツ語、中国語で提供されています。 開発者は、新しいユーザーがTorを介して接続し、新しいLinkenSphereアカウントを作成および構成することを推奨しています。

個人アカウントを承認すると、ユーザーはユーザーパネルの機能にアクセスできるようになります。 ユーザーパネルの主なオプションは次のとおりです。

開発者によると、このソフトウェアは、Windows(x64)バージョン7、8、10を含むさまざまなオペレーティングシステムと互換性があります。ヨセミテから始まるmacOS。およびLinux OS:Ubuntu、Linux、Mint、Kali Linux、Gentoo(Calculate Linux)、Fedora、Debian、OpenSUSE、Slackware、Mageia、PCLinux、およびKubuntu。 Linken Sphere バージョン 7.99 以降は、この記事の執筆時点では Linux OS にインストールできません。 Linken Sphere は、ローカルまたはリモートのコンピューターだけでなく、VMWare や VirtualBox などの仮想マシンにもインストールできます。 PCシステムの最小要件は次のとおりです:2xCore 1.7GHz、2Gb RAM。 Linken Sphereは、複数のデバイスにダウンロードしてインストールできます。ただし、一度に許可されるアカウントは 1 つだけです。 ユーザーデータはセッションのクラウドストレージに保存され、Linken Sphereをアンインストールまたは再インストールした後も保存されます。

リンケンスフィアは、2017年から2019年にかけてダークウェブに広告を出しました。 (出典:Recorded Future)

脅威分析

Linken Sphereの一般的な技術仕様は、脅威アクターが「それにもかかわらず」Tenebris Teamフォーラムで概説し、公式Webサイトls.tenebris[.]ccは、以下に記載されています。

Cookie ファイルを自動的に収集するための Web エミュレータ モジュール。

Linken Sphereは、ユーザーがWebRTCを通じて偽のIPを意図的に漏洩することを可能にします。 この機能はセッション全体で有効になり、偽のIPアドレスを漏らし、正当なユーザーになりすますことにより、標的となる組織を誤解させます。 また、Proxifier、Bitvise、Plinkを介した接続も可能です。

WebEmulator は、バックグラウンド モードで Web サイトにアクセスしているときにテキストをコピーするときに、タッチ スクリーン、モバイル デバイス、手動、および自動入力エミュレーションを提供し、実際のユーザーの動作を模倣し、そのようなアカウントの信頼レベルを高めます。

2019年6月1日、Tenebris Teamフォーラムの開発者はLinken Sphere v. 7.99を発表しました。 新しいバージョンは、以前のバージョンが十分な匿名性を提供していなかったというユーザーからの苦情の増加に対処することを意図している可能性があります。 開発者は、以前のリリースが次のような新機能で変更されたと述べています。

「シンプル」 — リモートデバイスを使用しながらLinkenSphereの操作速度を向上させる新しいユーザーインターフェイス

WebサイトのCAPTCHAをバイパスするためのAutomatorモジュール。

ネットワーク接続

Linken Sphereは、複数のユーザーを同時にインターネットに接続できる「セッション」です。 各セッションには個別に名前を付けることができます。 Linken Sphereは、複数のデバイスでの作業を可能にし、特定のハードウェアに縛られることはありません。 ユーザーは、さまざまなオペレーティングシステムを搭載したさまざまなデバイスでブラウザを使用できますが、一度に操作できるユーザー名とパスワードは1つだけです。 開発者は、クラウドアクセスにより、ユーザーはどのデバイスからでもLinkenSphereを起動できると述べています。

各セッション接続は、次の方法で個別に構成できます。

セッション設定インターフェースにより、ユーザーはさまざまなプロトコルを通じて適切な接続を選択できます。

指紋

開発者によると、Linken Sphere には約 50,000 のデバイス フィンガープリントと、追加のカスタム フィンガープリントを作成するための構成ジェネレーターが含まれています。 PROおよびPremiumライセンスのユーザーは、Tenebris Teamフォーラムで約150,000の指紋と13,000のユーザーエージェントにアクセスでき、定期的に更新されます。

Linken Sphere は、次のフィンガープリントを変更できます。

開発者によると、上記の指紋はハードウェアによって異なります。 ユーザーが同じ指紋をあるマシンから別のマシンに転送すると、最終的な指紋は異なります。 WebGL、Fonts、Plugins などの一部のフィンガープリントは設定に含まれていますが、Canvas、Audio、ClientRects などの他のフィンガープリントは含まれていませんが、セッションの作成時に生成されます。

Linken Sphere 'Configshop' ブラウザ構成

オファーによると、開発者は、実際のデバイスをエミュレートする指紋の組み合わせを使用して、個々の高品質の構成を提供します。 構成あたりの平均価格は $3 です。

Configshop インターフェイスには、新しい構成を購入してインポートするオプションがあります。
セッションを手動で構成することを好むPROおよびPremiumライセンスのユーザーは、このセクションでさまざまなデバイス用の無料の新しいユーザーエージェントを受け取ることができます。使用可能なユーザーエージェントのリストは、常に更新されます。

PROおよびPremiumライセンスで利用可能な無料のユーザーエージェント。

PRO ライセンスと Premium ライセンスを持つユーザーは、設定を一括でインポートできますが、一度に 100 個を超える設定をインポートすることはできません。

リスクの軽減

Recorded Futureは、Linken Sphere検出防止ブラウザの開発を引き続き監視し、ソフトウェアの更新と新機能をクライアントに通知します。これにより、クライアントはそれらを不正防止システムに組み込むことができます。これにより、詐欺の可能性のある活動を特定できます。

Insikt Groupは、組織のWebサイトやネットワークを標的にすることから保護するために、次の一般的な対策を推奨しています。

今後の展望

Linken Sphereは、2017年のリリース以来、広範な機能、高品質の技術サポート、成功したビジネスモデルにより、ダークウェブの主要な検出防止ブラウザの1つです。 2019年、Linken Sphereは新しいバージョン7.99で更新され、すべての新機能を備えた新製品として説明されました。 開発者は、AntiDetectやFraudFoxなどの検出防止ブラウザに対するダークウェブでの競争上の優位性を失わないように、製品を大幅に見直すことを決定した可能性があります。 ライセンスあたり100ドルという低価格は、ほとんどのサイバー犯罪者にとって手頃な価格であり、新規ユーザーの流入に貢献しています。