Издание ZDNet сообщило о взломе Daniel's Hosting (DH), одного из крупнейших хостеров даркнета после взлома Freedom Hosting II в прошлом году.
Разработчик DH Дэниел Винзен (Daniel Winzen) рассказал журналистам, что атака произошла в конце прошлой недели, 15 ноября 2018 года. Судя по всему, неизвестным злоумышленникам удалось получить доступ к БД и попросту удалить все аккаунты, включая root-аккаунт сервера. В результате в Лету канули более 6500 сайтов даркнета, использовавших DH. Винзен с сожалением констатирует, что вся информация была утрачена окончательно, так как резервных копий по понятным причинам предусмотрено не было.
Тем не менее, разработчик планирует вернуть платформу обратно в строй, как только обнаружит уязвимости, которыми воспользовались злоумышленники, и закроет их.
«В настоящее время я еще не сумел провести полный анализ логов, но основываясь на тех фактах, которые я уже обнаружил, полагаю, что атакующий сумел получить доступ только к административным правам БД. Нет никаких свидетельств того, что он имел доступ ко всей системе, а некоторые учетные записи и файлы, не являвшиеся частью хостинговой инфраструктуры, остались нетронутыми», — рассказывает Винзен.
Пока оператору и разработчику DH удалось обнаружить у себя только 0-day уязвимость в PHP, информация о которой давно циркулирует в сети, но достоянием широкой публики она стала только в конце прошлой недели, то есть за день до взлома хостинга.
Винзен считает, что неизвестные атакующие вряд ли использовали этот баг в качестве точки проникновения, ведь таким образом они не получили бы необходимых привилегий. К тому же, ситуация осложняется тем, что исходные коды DH давно доступны на GitHub, и хакеры могли детально изучить структуру сервиса.
Кто именно стоит за атакой на DH, пока неясно. У сервиса могло быть множество недоброжелателей, ведь после вышеупомянутого взлома хостера Freedom Hosting II в 2017 году DH стал крупнейшей хостинговой площадкой такого рода. Сервис использовали для самых разные целей, от малварь-операций, до размещения политических блогов, поэтому атаковать DH могли и конкуренты использующих его хакеров, и «правительственные» группы, желающие «похоронить» какую-либо информацию.
Напомню, что после атаки на Freedom Hosting II количество сайтов в даркнете, по оценкам исследователей, сократилось на 85%.