Популярный хостинг-провайдер Freedom Hosting II подвергся хакерской атаке из-за обнаруженного детского порно, в результате которой были скомпрометированы 10 613 .onion-сайтов.

Об этом пишет “Хакер”.

Так, на всех пострадавших ресурсах появилось сообщение:

“Привет, Freedom Hosting II, вас взломали.

Мы разочарованы… на вашей главной странице написано “Мы относимся к детской порнографии со всей строгостью”, но покопавшись на вашем сервере, мы обнаружили более 50 % детского порно…

Более того, вы хостите множество скамерских сайтов, некоторые из которых явно принадлежат вам самим и используются для покрытия хостинговых издержек.

Все ваши файлы скопированы, сделаны дамбы баз данных (74 Гб файлов и 2,3 Гб БД).

На момент 31 января 2017 года вы хостили 10613 сайтов. Приватные ключи включены в дамп. Полный список.

Мы — “Анонимус”. Мы не прощаем. Мы не забываем. Ждите нас.

Нас все время спрашивают, как мы проникли в систему. Это было на удивление легко. Здесь можно почитать о том, как мы это сделали: “Как взломать FH2”.

FH2 850x338

Известный исследователь Сара Джейми Льюис первой обнаружила массовую компрометацию сайтов, во время сканирования Onion-пространства. По ее словам, атака на Freedom Hosting II затронула 15-20 % всего даркнета (частная сеть, соединения которой устанавливаются только между доверенными пирами, иногда именующимися как “друзья”). С полным списком пострадавших сайтов можно ознакомиться здесь.

Как пишет издание The Verge, сначала хакер разместил на сайтах сообщение, в котором просил 0,1 биткоина (около 100 долларов) в качестве выкупа за похищенную информацию. Позже он передумал.

Исследователи попробовали проанализировать опубликованные дампы. Так, ИБ-эксперт Крис Монтейро (Chris Monteiro) посвятил информации с Freedom Hosting II серию твитов и отдельный материал в своем блоге. В дампах были обнаружены фродерские сайты, ресурсы торгующие различными ворованными данными, управляющие серверы ботнетов, странные фетиш-порталы и так далее.

tw1

tw2

tw3

В Vice Motherboard утверждают, что им удалось пообщаться с взломщиком. Хакер признался, что “это был его первый хак в жизни”.

“Сначала я не собирался ронять FH2, просто хотел посмотреть. Но, потом я случайно обнаружил на сервере кучу детского порно, против которого Freedom Hosting II якобы выступает. Хотя обычная квота FH2 для одного сайта – это 256 Мб, нелегальные ресурсы занимали гигабайты пространства. Это свидетельствует о том, что они платили за хостинг, и админы знали об этих сайтах. После этого я решил их положить”, – сообщил хакер.

Затем хакер рассказал схему того, как он взломал Freedom Hosting II.

Так, изначально нужно зарегистрировать аккаунт на сайте Freedom Hosting II. Затем залогиниться, изменить ряд настроек в файлах конфигурации, вручную инициировать сброс пароля для цели, активировать root-доступ, а затем перелогиниться с новыми привилегиями.

1486233191971 meethod

По словам взломчика, он готов предоставить полную информацию о пользователях Freedom Hosting II ИБ-исследователям, которые передадут ее в правоохранительные органы.

В свою очередь Сара Джейми Льюис и Трой Хант, владелец известного агрегатора утечек Have I Been Pwned, пишут, что дампы содержат множество имен пользователей, почтовых адресов и парольных хешей, принадлежавших пользователям форумов, которые хостились у Freedom Hosting II. Так, Хант насчитал уже 381 000 электронных почтовых ящиков.

Оригинальный Freedom Hosting еще в 2011 году подвергался DDoS-атаке со стороны Anonymous. Тогда атака тоже была связана с детской порнографией, размещенной на серверах хостинг-провайдера. Кроме того, в 2013 году Freedom Hosting попал в поле зрения ФБР. Тогда правоохранители использовали уязвимость в браузере Tor, чтобы установить MAC- и IP-адреса (а затем и личности) посетителей.

В ноябре полиция задержала в Лондоне около 50 человек во время проведения “Марша миллиона масок”, который состоялся 5 ноября в британской столице по призыву хакерской группы Anonymous.
В июле этого же года группа хакеров Anonymous объявила войну ИГИЛ после теракта в Ницце.
В марте 2016 года участники хакерской группировки Anonymous объявили “тотальную войну” кандидату в президенты США Дональду Трампу.