天创培训:您身边的信息安全培训专家!
行业动态
一次干掉五分之一的暗网,黑客是怎么做到的?

近日,有超过10,000个访客在Tor网站上看到了一个令人震惊的公告:「你好,Freedom Hosting II,你已被黑客入侵。」一个匿名组织侵入了Freedom Hosting II的服务器,Freedom Hosting II只能通过Tor进行访问并提供托管服务,相当受欢迎。在发布公告大约六小时之后,由该服务进行托管的所有网站仍处于离线状态。

根据这则消息显示,该组织称要将受攻击的数据卖回给Freedom Hosting II以换取0.1比特币,或者100多美元,尽管目前还不清楚其正式的报价。

攻击该网站的黑客还声称儿童色情内容占到服务器里存储数据的一半以上。然而没有亲眼看到这些数据就不能验证此声明的正确性,但这种说法确实符合我们所熟知的一些以前的暗网托管公司。2013年,执法机关查处了Freedom Hosting原始网站,并起诉了网站里的一些儿童色情内容。在那时,该托管服务网站与一半以上只能通过Tor进行访问的其他网站一样,被称为暗网。

我们能够通过SSH指纹或入侵主机名等手段对FHII托管的网站进行识别。

- Sarah Jamie Lewis(@SarahJamieLewis

根据暗网研究员Sarah Jamie Lewis所述,Freedom Hosting II比其前一代要小。一份早前的报告显示,Freedom Hosting II大约占了暗网的20%,其中包括一些比特币的托管服务,庞氏骗局和黑客论坛。Lewis还编写了一份列表,列表内容是10,613个受到影响的服务器地址。

Lewis告诉The Verge说:「这对于我们来说是一个重大的打击,因为这里面有很多是个人和政治博客或论坛,但就目前来看,暗网的一些多样性消失了。」

以下是对侵入暗网的黑客的采访

一次干掉五分之一的暗网,这个匿名组织是怎么做到的?

星期六,该黑客声称他有责任要告诉Motherboard一些更详细的内容,关于他们如何以及为什么要破坏该服务。

一次干掉五分之一的暗网,这个匿名组织是怎么做到的?

他们从侵入Freedom Hosting II网站的地址给我们发来一封电子邮件,信中写道:「这实际上是我的第一次黑客行动,我只是有正确的想法。」

该黑客说他们在1月30日首次破坏了服务,但只是攻克了读取权限; 这意味着他们只能看到托管的网站,而无法更改或删除文件。

该黑客说:「最初我并不想破坏FH2,只是在观察。」但黑客声称他们接连发现了好几个大型的儿童色情网站,并且使用超过Freedom Hosting II规定的限额。通常,Freedom Hosting II每个站点的限额为256MB,但这些非法站点竟然拥有数千兆字节的内容。

黑客说:「这表明他们收取了托管费,而管理员知道这些网站,所以我才决定黑了它。」在写这封邮件时,黑客声称他们已经发现了10个儿童色情网站,那里面有大约30GB的文件。

至于他们是如何做到的,该黑客说他们制定了一个相对简单的计划,该计划有21个步骤。简而言之就是:首先要创建一个新的Freedom Hosting II站点或登录到当前的一个站点,接着调整配置文件中的一些设置,再手动触发目标的密码重置,然后打开root访问权限,使用新的系统特权重新登陆。

此步骤显示:「第20步,将ssh作为root,并通过其进行重新连接; 第21步,享受。」

一次干掉五分之一的暗网,这个匿名组织是怎么做到的?

该黑客说他们已经发布了一系列Freedom Hosting II的系统文件,但没有公布用户数据。他们不想公开发布这些内容,因为之前已经说明过,这其中含有大量的儿童色情内容。但黑客说他会提供一份副本给安全调查员,然后将其交给执法部门。

然而,联邦政府的工作人员可能不是很高兴。近年来,诸如联邦调查局的执法机构接管了暗网或托管供应商后,他们会试图通过部署恶意软件来对个人用户进行识别。联邦调查局与Freedom Hosting原始网站一起,使用黑客工具来获取访问者的IP地址。他们之所以会采用这种策略,是因为即使可以控制Tor的隐藏服务,执法人员也看不到每个用户的连接地址。

但现在Freedom Hosting II里很多儿童色情网站被关闭,联邦调查局也就不会再使用那种方式进行调查了。但是,如果有人在Freedom Hosting II数据内的任何一个站点进行操作,也都会留下线索。

这当然不是第一次数字警员将暗网上的儿童色情网站当做他们的目标。2014年,另一群搜寻不法链接的匿名者中的一个黑客就删除了Tor网站上流行的一个儿童色情内容的链接。