Пару дней назад обнаружился взлом хостинга Freedom Hosting и выяснилось, что около половины скрытых сервисов в домене .onion размещали javascript-эксплойт с целью слежки за пользователями сети Tor.
Эксплойт внедряется в браузер с включенным JavaScript, генерирует уникальный файл cookie и отправляет его на удаленный сервер, где осуществляется фингерпринтинг браузера.
Логично было предположить, что IP-адрес пользователя отправляется в ФБР, потому что именно это агентство недавно арестовало 28-летнего Эрика Оуэна Маркеса (Eric Eoin Marques), совладельца Freedom Hosting. Но сейчас выясняется, что не все так просто.
Собранная зловредом информация с компьютеров пользователей отправлялась на жестко прошитый в коде эксплойта IP-адрес 65.222.202.53. Специалисты VPN-провайдера Cryptocloud провели небольшое расследование, чтобы выяснить истинного владельца IP-адреса.
Этот блок IP-адресов зарегистрирован на военного подрядчика Science Applications Int (SAIC). В свою очередь, SAIC находится глубоко в военном комплексе, который, как будто, принадлежит АНБ.
Вот какую информацию удалось найти на сайте АНБ. Судя по этим данным, сервисы АНБ на адресах 65.196.127.225 и 65.196.127.226 находятся в том же блоке 65.192.0.0/11, что и адрес 65.222.202.53. Весь этот блок принадлежит одному владельцу.
Конечно, это нельзя считать доказательством, что зловреда в сеть Tor запустило АНБ, но у ИТ-сообщества уже появились некоторые подозрения на этот счет.