ИБ-специалист, известный под ником Sh1ttyKids, продемонстрировал способ выявления реальных IP-адресов серверов Tor. Исследователь использовал для этого ETag (entity tag) в заголовке HTTP-ответов.
Свое исследование Sh1ttyKids начал в связи со взломом компании Capcom, которую еще в 2020 году скомпрометировала вымогательская группировка Ragnar Locker. Так как Capcom отказалась платить выкуп, тогда около 67 ГБ украденных файлов были опубликованы в даркнете.
Тогда сайт группировки содержал только ссылку на утечку, но не сами файлы, и Sh1ttyKids заметил, что существует отдельный Onion-адрес для размещения таких «сливов» Ragnar Locker. Так, файлы были размещены на Onion-адресе, начинающемся на «t2w…», как показано на скриншоте ниже.
Попытка прямого доступа к этому адресу приводила на пустую страницу. Тогда исследователь подумал о том, что при поиске IP-адресов даркнет-сайтов обычно проверяется исходный код сайта, SSL-сертификат, заголовки ответов и так далее. Это делается для того, чтобы получить уникальные строки и фингерпринтинг, которые затем можно использовать в Shodan, Censys и других аналогичных сервисах, для обнаружения реального IP-адреса ресурса. Однако исходный код сайта в данном случае получить не удалось.
Тогда Sh1ttyKids проверил хэдеры ответов, ведь если они содержат уникальную строку, их можно использовать для получения IP-адреса источника. В итоге исследователь пришел к вводу, что даже ETag в хэдере ответа тоже может принести пользу.
Через Shodan он поискал полученный от сайта Ragnar Locker ETag «0–5a4a8aa76f2f0» и нашел одно совпадение.
При попытке получить доступ к этому IP-адресу напрямую, можно было обнаружить лишь пустую страницу, точно так же, как и при прямом доступе к адресу t2w5by<…>.onion. Однако, проверив заголовки ответа, исследователь обнаружил тот же самый ETag. Затем Sh1ttyKids попытался загрузить файл с одинаковым именем с Onion-адреса и по IP-адресу, в итоге подтвердив, что файл обнаруживается в обоих случаях.
Таким образом, исследователь пришел к выводу, что исходный IP-адрес Onion-сайта t2w5by<…>.onion — это 5[.]45[.]65[.]52.
Он отмечет, что эту информацию могут использовать правоохранительные органы, ведь знание IP-адреса потенциально может помочь им захватить сервер и использовать его в расследовании.
Более того, спустя время обнаружилось, что обнаруженный специалистом адрес 5[.]45[.] 65[.]52 фигурирует в отчете ФБР. Хотя в документе нет никакой дополнительной информации об этом IP-адресе, Sh1ttyKids уверен, что он связан с сервером, который использовался для размещения скомпрометированных данных Capcom.