Популярный в даркнете хостинг-провайдер Freedom Hosting II подвергся атаке, в результате которой были скомпрометированы 10 613 .onion-сайтов. На всех пострадавших ресурсах появилось сообщение, которое можно увидеть на скриншоте ниже. Неизвестный взломщик пишет:
«Привет, Freedom Hosting II, вас взломали
Мы разочарованы... на вашей главной странице написано «Мы относимся к детской порнографии со всей строгостью», но покопавшись на вашем сервере, мы обнаружили более 50% детского порно...
Более того, вы хостите множество скамерских сайтов, некоторые из которых явно принадлежат вам самим и используются для покрытия хостинговых издержек.
Все ваши файлы скопированы, сделаны дампы баз данных (74 Гб файлов и 2,3 Гб БД).
На момент 31 января 2017 года вы хостили 10613 сайтов. Приватные ключи включены в дамп. Полный список.
Мы — Анонимус. Мы не прощаем. Мы не забываем. Ждите нас.
<...>
Нас все время спрашивают, как мы проникли в систему. Это было на удивление легко. Здесь можно почитать о том, как мы это сделали: «Как взломать FH2».
Известный исследователь Сара Джейми Льюис (Sarah Jamie Lewis) первой обнаружила массовую компрометацию сайтов, во время регулярного сканирования Onion-пространства. Льюис пишет, что атака на Freedom Hosting II затронула 15-20% всего даркнета. Полный список пострадавших сайтов можно найти здесь.
Looks like Freedom Hosting II got pwned. They hosted close to 20% of all dark web sites (previous @OnionScan report) https://t.co/JOLXFJQXiH
— Sarah Jamie Lewis (@SarahJamieLewis) February 3, 2017
Согласно данным издания The Verge, сначала хакер разместил на сайтах немного другое дефейс-сообщение: он просил 0,1 биткоина (порядка 100 долларов США) в качестве выкупа за похищенную информацию. Вскоре злоумышленник передумал, о чем ясно свидетельствуют ссылки на торрент-файлы, опубликованные в отредактированном сообщении.
Исследователи уже анализируют опубликованные дампы. Больше всех в этом вопросе преуспел ИБ-эксперт Крис Монтейро (Chris Monteiro), посвятивший информации с Freedom Hosting II серию твитов и отдельный материал в своем блоге. В дампах, вполне предсказуемо, были обнаружены фродерские сайты, ресурсы торгующие различными ворованными данными, управляющие серверы ботнетов, странные фетиш-порталы и так далее. Несколько твитов Монтейро можно увидеть ниже.
It's hungry work combing through these leaked databases pic.twitter.com/A6Dstu52No
— Deku_shrub (@Deku_shrub) February 3, 2017
Found a some Russian fraud forum on FH2 which was also clearnet facing and so logging IPs. Whoops. pic.twitter.com/AfoUndeqKo
— Deku_shrub (@Deku_shrub) February 3, 2017
Yep, things are pretty bad. One of the largest FH2 databases is a forum and features content like 🙁 pic.twitter.com/YV0eMvi5hM
— Deku_shrub (@Deku_shrub) February 3, 2017
Журналисты Vice Motherboard утверждают, что им удалось пообщаться с взломщиком, связавшись с ним по указанному адресу. Хакер признался, что «это был его первый хак в жизни» и рассказал, как именно ему удалось скомпрометировать популярного хостера.
«Сначала я не собирался ронять FH2, просто хотел посмотреть», — признается взломщик и рассказывает, что потом он обнаружил на сервере кучу детского порно, против которого Freedom Hosting II якобы выступает. Хотя обычная квота FH2 для одного сайта – это 256 Мб, нелегальные ресурсы занимали гигабайты пространства. Журналисты Motherboard пишут о десяти таких сайтах, занимавших более 30 Гб на сервере.
«Это свидетельствует о том, что они платили за хостинг, и админы знали об этих сайтах. После этого я решил их положить», — объясняет злоумышленник.
Затем хакер обрисовал журналистам сам взлом, полностью повторив схему, описанную в текстовом файле «Как взломать FH2», размещенном на его сайте. Пошаговая инструкция, состоящая из 21 шага, начинается с регистрации аккаунта на сайте Freedom Hosting II. Затем нужно залогиниться, изменить ряд настроек в файлах конфигурации, вручную инициировать сброс пароля для цели, активировать root-доступ, а затем перелогиниться с новыми привилегиями. Оригинал инструкции можно увидеть ниже.
Взломщик утверждает, что не стал раскрывать данные пользователей Freedom Hosting II, но сообщил, что готов предоставить полную информацию ИБ-исследователям, которые передадут ее в руки правоохранительных органов. Несмотря на это, Сара Джейми Льюис и Трой Хант, владелец известного агрегатора утечек Have I Been Pwned, пишут, что дампы содержат множество юзернеймов, почтовых адресов и парольных хешей, принадлежавших пользователям форумов, которые хостились у Freedom Hosting II. Так, Хант насчитал уже 381 000 email'ов.
New sensitive breach: Freedom Hosting II had 381k email addresses exposed. 21% were already in @haveibeenpwned https://t.co/LGaAnj1hUA
— Have I been pwned? (@haveibeenpwned) February 5, 2017
Стоит отметить, что оригинальный Freedom Hosting еще в 2011 году подвергался DDoS-атаке со стороны Anonymous. Тогда атака была частью операции Darknet и тоже была связана с детской порнографией, размещенной на серверах хостинг-провайдера. Кроме того, в 2013 году Freedom Hosting попал в поле зрения ФБР. Тогда правоохранители использовали уязвимость в браузере Tor, чтобы установить MAC- и IP-адреса (а затем и личности) посетителей. Судя по всему, данные, похищенные у Freedom Hosting II, тоже могут заинтересовать ФБР, хотя взлом уже спугнул большинство администраторов сайтов с детским порно, так что отследить их, а также посетителей таких ресурсов, проверенным способом у ФБР теперь вряд ли получится.
