- 635
- 733
- 15 Янв 2017
После закрытия крупных черных рынков продавцы незаконных товаров создают собственные сайты с плохой защитой.
Прошлым летом правоохранительные органы закрыли три крупных черных рынка даркнета, в результате чего продавцы нелегальных товаров наводнили Темную паутину собственными online-магазинами. В большинстве случаев сайты созданы без учета мер безопасности и раскрывают настоящие IP-адреса своих серверов. Вооружившись IP-адресами, сотрудники правоохранительных органов могут вычислить реальное месторасположение серверов, изъять их и найти владельца торговой площадки и многих ее клиентов.
Отслеживанием IP-адресов подпольных торговых площадокзанялсяисследователь под псевдонимом Sh1ttyKids. Его последней «жертвой» стал сайт ElHerbolario, продающий каннабис. Исследователь определил его IP-адреса – зарегистрированные в Нидерландах 188.209.52.177 и 185.61.138.73. Эти адреса используются так называемым пуленепробиваемым хостингом BlazingFast, ведущим свою деятельность из Украины.
С помощью предоставленной Sh1ttyKids информации полиция Нидерландов теперь может физически изъять серверы из дата-центров, проанализировать их содержимое, отследить клиентов ElHerbolario и предоставить соответствующие данные своим коллегам из других стран.
За две недели до ElHerbolario исследователь обнаружил IP-адрес (176.123.10.203) италоязычного хакерского форума Italian Darknet Community. IP-адрес был зарегистрирован в Молдове, и Sh1ttyKids уже сообщил об этом местным правоохранительным органам.
Еще одной «жертвой» исследователя является DrugStore by Stoned100, специализирующийся на продаже наркотиков и вымогательского ПО. Сайт работал на базе WordPress и позволял не только узнать IP-адрес, но и в один клик получить резервные копии файлов базы данных. До DrugStore исследователь «прикрыл» еще один сайт с украинским IP-адресом 195.189.227.135.
Как ранеесообщалSecurityLab, владельцы пуленепробиваемых хостингов предпочитают вести свой бизнес с территорий с нестабильной политической ситуацией, в частности из Украины и Приднестровья.
Получить адреса Sh1ttyKids помогали такие мелкие детали, как незащищенные отпечатки SSH. С их помощью исследователь находил IP-адреса через Shodan и Censys.
Пуленепробиваемый хостинг (bulletproof hosting) – виртуальный хостинг или выделенный сервер, владельцы которого лояльно относятся к содержимому размещенных на нем сайтов и не реагируют на обращения правообладателей и других заинтересованных сторон. В связи с этим такие серверы пользуются большой популярностью у спамеров, операторов online-казино и распространителей порнографии.