Популярный в даркнете хостинг-провайдер Freedom Hosting II подвергся атаке, в результате которой были скомпрометированы 10 613 .onion-сайтов. На всех пострадавших ресурсах появилось сообщение, которое можно увидеть на скриншоте ниже. Неизвестный взломщик пишет:

«Привет, Freedom Hosting II, вас взломали

Мы разочарованы… на вашей главной странице написано «Мы относимся к детской порнографии со всей строгостью», но покопавшись на вашем сервере, мы обнаружили более 50% детского порно…

Более того, вы хостите множество скамерских сайтов, некоторые из которых явно принадлежат вам самим и используются для покрытия хостинговых издержек.

Все ваши файлы скопированы, сделаны дампы баз данных (74 Гб файлов и 2,3 Гб БД).

На момент 31 января 2017 года вы хостили 10613 сайтов. Приватные ключи включены в дамп. Полный список.

Мы — Анонимус. Мы не прощаем. Мы не забываем. Ждите нас.

<…>

Нас все время спрашивают, как мы проникли в систему. Это было на удивление легко. Здесь можно почитать о том, как мы это сделали: «Как взломать FH2».

Известный исследователь Сара Джейми Льюис (Sarah Jamie Lewis) первой обнаружила массовую компрометацию сайтов, во время регулярного сканирования Onion-пространства. Льюис пишет, что атака на Freedom Hosting II затронула 15-20% всего даркнета. Полный список пострадавших сайтов можно найти здесь.

Согласно данным издания The Verge, сначала хакер разместил на сайтах немного другое дефейс-сообщение: он просил 0,1 биткоина (порядка 100 долларов США) в качестве выкупа за похищенную информацию. Вскоре злоумышленник передумал, о чем ясно свидетельствуют ссылки на торрент-файлы, опубликованные в отредактированном сообщении.

Исследователи уже анализируют опубликованные дампы. Больше всех в этом вопросе преуспел ИБ-эксперт Крис Монтейро (Chris Monteiro), посвятивший информации с Freedom Hosting II серию твитов и отдельный материал в своем блоге. В дампах, вполне предсказуемо, были обнаружены фродерские сайты, ресурсы торгующие различными ворованными данными, управляющие серверы ботнетов, странные фетиш-порталы и так далее. Несколько твитов Монтейро можно увидеть ниже.

Журналисты Vice Motherboard утверждают, что им удалось пообщаться с взломщиком, связавшись с ним по указанному адресу. Хакер признался, что «это был его первый хак в жизни» и рассказал, как именно ему удалось скомпрометировать популярного хостера.

«Сначала я не собирался ронять FH2, просто хотел посмотреть», — признается взломщик и рассказывает, что потом он обнаружил на сервере кучу детского порно, против которого Freedom Hosting II якобы выступает. Хотя обычная квота FH2 для одного сайта – это 256 Мб, нелегальные ресурсы занимали гигабайты пространства. Журналисты Motherboard пишут о десяти таких сайтах, занимавших более 30 Гб на сервере.

«Это свидетельствует о том, что они платили за хостинг, и админы знали об этих сайтах. После этого я решил их положить», — объясняет злоумышленник.

Затем хакер обрисовал журналистам сам взлом, полностью повторив схему, описанную в текстовом файле «Как взломать FH2», размещенном на его сайте. Пошаговая инструкция, состоящая из 21 шага, начинается с регистрации аккаунта на сайте Freedom Hosting II. Затем нужно залогиниться, изменить ряд настроек в файлах конфигурации, вручную инициировать сброс пароля для цели, активировать root-доступ, а затем перелогиниться с новыми привилегиями. Оригинал инструкции можно увидеть ниже.

Взломщик утверждает, что не стал раскрывать данные пользователей Freedom Hosting II, но сообщил, что готов предоставить полную информацию ИБ-исследователям, которые передадут ее в руки правоохранительных органов. Несмотря на это, Сара Джейми Льюис и Трой Хант, владелец известного агрегатора утечек Have I Been Pwned, пишут, что дампы содержат множество юзернеймов, почтовых адресов и парольных хешей, принадлежавших пользователям форумов, которые хостились у Freedom Hosting II. Так, Хант насчитал уже 381 000 email’ов.

Стоит отметить, что оригинальный Freedom Hosting еще в 2011 году подвергался DDoS-атаке со стороны Anonymous. Тогда атака была частью операции Darknet и тоже была связана с детской порнографией, размещенной на серверах хостинг-провайдера. Кроме того, в 2013 году Freedom Hosting попал в поле зрения ФБР. Тогда правоохранители использовали уязвимость в браузере Tor, чтобы установить MAC- и IP-адреса (а затем и личности) посетителей. Судя по всему, данные, похищенные у Freedom Hosting II, тоже могут заинтересовать ФБР, хотя взлом уже спугнул большинство администраторов сайтов с детским порно, так что отследить их, а также посетителей таких ресурсов, проверенным способом у ФБР теперь вряд ли получится.



5 комментариев

  1. Int

    06.02.2017 at 16:18

    > сделаны дамбы баз данных
    Пфф, так и пишут?

  2. Digital Forensic Examiner

    12.02.2017 at 09:09

    А сейчас он продает информацию о пользователях взломанных сайтов за биткоины. Так что «борцун» с педофилами на самом деле оказался обычным барыгой.

    • Matrom

      12.02.2017 at 10:30

      кушать все хотят. а вообще он сделал работу за людей, которым платят за это. сделать чужую работу за даром, это только сказочные… персонажи могут.

      • dydar

        14.02.2017 at 12:17

        Полиция всё больше интересуется борьбой с «пиратскими фильмами» в поддержку медиамагнатов чем борьбой с педофелией. Эта статья как раз доказывает это, хотя можно и вспомнить что писали пиратбай по этому поводу (они тоже предлагали свою помощь в борьбе с детской порнографией, но полицию это категорически не интересовало) . . .

  3. hdmoor

    19.03.2017 at 10:38

    Презерватив с рюшечками под анонов зашарил , интересно те с него спросят? Кровожадная мразь! Крови в этой связи прольется вероятно немало….

Оставить мнение