Darkweb, Rusland en bitcoin. Samen vormen ze een gevaarlijke cocktail van cybercriminaliteit die vandaag heerst op het dark web. ‘We zitten in een situatie dat de black hats en de bad guys het tegen elkaar opnemen’, zo klinkt het.
Het was Anton Cherepanov, malware-onderzoeker bij Eset die de toestand op het spoor kwam en zijn research ook kwam presenteren op een internationaal persevenement van Eset. ‘Ik deed onderzoek op het dark web omdat daar ook security-zaken opduiken die toch vaak trendsettend zijn’, aldus de analist van Eset.
Stap 1. De Valse Tor-browser
Cherepanov gebruikte de bekende Tor-browser. Die wordt gebruikt om ook websites te bezoeken die verboden zijn. Voor bepaalde situaties, zoals in bepaalde regimes, is dat legitiem, maar Tor wordt ook vaak gebruikt door criminelen’, vertelt hij. En hij verwijst naar aankoop van illegale goederen op darknet-markten als (voorheen) Silk Road, Dream Market of Hansa. ‘Alleen vond ik het vreemd dat de Tor-software zogezegd om een update vroeg, terwijl mijn software altijd up-to-date is. Het ging om een fake-versie, maar wel een volwaardige Tor-browser. Een klassieke truc, maar nu dus ook voor Tor toegepast.’
Stap 2. De fake Bitcoin referentie
De nepbrowser veranderde de settings op de pc, dialog windows werden aangepast en updates uitgeschakeld. ‘Door deze malware kon de hacker theoretisch alles doen, maar de belangrijkste doelwitten bevonden zich bij de drie grootste Russische darknet-markten. Via een Javascript-injectie konden ze de digitale wallet veranderen door hun bitcoin-referentie en nummer van de Russische bank-applicatie QIWI aan te passen. Daardoor werd virtueel geld overgeschreven naar een rekening die behoorde tot de criminelen’, legt Cherepanov uit. ‘Het is alsof je een factuur naar iemand onderschept en het nummer op de factuur vervangt door jouw rekeningnummer.’
Stap 3. Keywords & search engine
Om de malware te distribueren, maakten de hackers gebruik van specifieke spam op Russische fora. Zo werd Pastebin ingeschakeld, een forum waar gebruikers allerlei tekst kunnen plaatsen.
‘Het document dat ze verspreiden bevatte de meest bizarre trefwoorden zoals Edward Snowden en Julian Assange. Maar ook de nodige Russische oppositieleiders.’ Dit werd bereikt via Russische zoekmachines.
Deze aanpak is volgens Cherepanov logisch omdat in Rusland oppositieleden vaak worden verbannen van internet. Als Russen er naar zoeken, dan komen ze terecht op die pagina’s die door de Russische criminelen werden verspreid. Deze methode is simpel maar wel effectief. Ze konden er een half miljoen views mee bereiken.’
Besluit: de perfecte diefstal?
Cherepanov van Eset berekende dat via deze werkwijze alleen al veertigduizend dollar aan bitcoins is ontvreemd. ‘Maar het meeste geld ging waarschijnlijk naar QIWI, omdat dat in Rusland veel meer ingeburgerd is. Dus was de schade veel hoger’, vertelt hij. ‘Bovendien speelt het duistere karakter van het dark beb en bitcoin zeker een rol te spelen. Wie gaat het rapporteren als je illegaal verkregen of gebruikte bitcoins zijn ontvreemd? Ik zou niet weten hoe je die gaat terugkrijgen?’
Waarom dit toch een gevaarlijke evolutie is?
Om hier tegen om te gaan, raadt Cherepanov aan telkens een twee-factor-authenticatie te gebruiken. ‘Of gebruik een sandbox browser’, stelt hij. We zitten in een situatie dat de black hats het opnemen tegen de bad guys.’
Toch betreurt hij deze vorm van cybercriminaliteit, ook als andere ongure types geviseerd worden. ‘Vergeet niet dat een browser als Tor ook gebruikt wordt voor andere doeleinden. Goede doeleinden eigenlijk. Tor is namelijk in sommige landen en regimes de enige manier om bij ongecensureerde informatie terecht te komen. In bepaalde landen is een browser als Tor al vrij mainstream geworden.’