Минувшим летом правоохранительные органы закрыли сразу два крупнейших даркмаркета, AlphaBay и Hansa, а чуть позже стало известно о ликвидации торговой площадки RAMP. После этого продавцы и покупатели нелегальных товаров оказались на распутье, так как торговлю нужно было куда-то переносить, но никто не понимал, куда именно. В итоге некоторые продавцы ушли на менее крупные торговые площадки Dream Market, Valhalla или Wall Street Market. Другие стали работать через XMPP-спам и Telegram-каналы. А третьи и вовсе решили открыть собственные onion-сайты и работать через них.
Именно последняя категория продавцов представляет наибольший интерес для независимого ИБ-специалиста из Японии, известного под псевдонимом Sh1ttyKids. О работе даквеб-охотника, как исследователь называет себя, рассказали журналисты издания Bleeping Computer. За последние два месяца Sh1ttyKids поспособствовал закрытию уже нескольких onion-сайтов, распространяющих наркотики и другие нелегальные товары. Дело в том, что вычислить настоящие IP-адреса таких сайтов оказалось совсем не так трудно, как можно было бы подумать.
Sh1ttyKids рассказал журналистам, что одной из его последних «жертв» стал ресурс ElHerbolario, торговавший каннабисом. Специалист проследил сайт до двух голландских IP-адресов, 188.209.52.177 и 185.61.138.73, которые использовались BlazingFast, небезызвестным «пуленепробиваемым» украинским хостингом. Так как специалист передал все собранные данные правоохранительным органам и обнародовал их публично, теперь голландские власти могут физически изъять сервер злоумышленников из дата-центра, проанализировать трафик ресурса, отследить покупателей, хозяев сайта и передать эту информацию коллегам из правоохранительных органов других стран.
За две недели до этого, в конце октября 2017 года, Sh1ttyKids также сумел обнаружить реальный IP-адрес подпольного хакерского форума Italian Darknet Community (IDC), предназначенного для говорящих на итальянском языке пользователей. По словам аналитика, адрес 176.123.10.203 привел его к некому молдавскому хостингу, о чем специалист уже тоже сообщил властям.
Также Sh1ttyKids обнаружил большие проблемы с безопасностью у даркмаркета DrugStore by Stoned100, предлагающего своим посетителям широкий ассортимент нелегальных товаров, начиная от наркотиков и заканчивая вымогательским ПО. Как оказалось, сайт работал на базе обычной версии WordPress, «светил» своим настоящим IP-адресом, а операторы торговой площадки не смогли даже обезопасить резервные копии своей БД, добраться до которых можно было всего за пару кликов.
Sh1ttyKids объясняет, что почти во всех случаях он просто был внимателен и замечал мелочи. Так, специалист находил незащищенные SSH «следы», использовал поисковики Shodan и Censys, чтобы вычислить серверы преступников. Но основной проблемой всех перечисленных сайтов, по словам Sh1ttyKids, в первую очередь являлся человеческий фактор, так как операторы множества onion-сайтов совсем не искушены в вопросах администрирования и сами «сливают» настоящие IP-адреса своих ресурсов направо и налево.
Читайте также
Последние новости