Operacja Onymous, czyli skąd FBI mogła znać lokalizację serwera Silk Road 2.0

Wczorajsze zamknięcie Silkr Road 2.0 i aresztowanie jego właściciela było tylko jednym z elementów międzynarodowej operacji organów ścigania pod kryptonimem Onymous. Jej skutkiem jest kilkanaście zatrzymań oraz przejęcie kilkuset adresów .onion.

Dzięki artykułowi Wired niecałą dobę po zamknięciu narkotykowego bazaru działającego jako następca słynnego Silk Road poznajemy kolejne szczegóły skoordynowanej akcji policji wielu krajów.

Akcja na całym świecie

Kilka godzin przed pojawieniem się informacji o zamknięciu SR 2.0 irlandzkie media opublikowały artykuł o zatrzymaniu dwóch handlarzy narkotyków, działających w internecie i dystrybuujących swoje produkty do wielu innych krajów. Przy zatrzymanych znaleziono extasy, LSD oraz inne substancje o wartości ok. 200 tysięcy euro. Wtedy po raz pierwszy wspomniano „operację Onymous”, czyli wspólną akcję FBI oraz Europolu skierowaną przeciwko serwisom handlującym narkotykami w sieci Tor.

Jej kolejną odsłoną było zamknięcie Silk Road 2.0 i zatrzymanie jego właściciela. Co ciekawe, jeden z internautów dopiero po lekturze mediów zorientował się, że kilka godzin wcześniej był świadkiem przeszukania samochodu administratora SR, który okazał się być jego sąsiadem.

FBI przeszukuje Teslę Blake’a Benthalla

Setki przejętych domen

W wywiadzie z dziennikarzem Wired szef Europejskiego Centrum Cyberprzestępczości (European Cybercrime Center) wyjawił dodatkowe informacje na temat operacji Onymous. Oprócz Silk Road 2.0 na liście ofiar organów ścigania znalazły się także takie markety jak Pandora, Blue Sky, Topix, Flugsvamp, Cannabis Road oraz Black Market. Wyłączone zostały także serwisy zajmujące się praniem brudnych pieniędzy: Cash Machine, Cash Flow, Golden Nugget i Fast Cash. Do tej pory zatrzymano 17 osób powiązanych z zamkniętymi serwisami i przejęto 250 tysięcy dolarów oraz bitcoiny o wartości około miliona dolarów. Służby przejęły również 414 domen .onion i poinformowały, że nie były jeszcze w stanie zidentyfikować wszystkich przejętych serwisów.

Jak namierzono serwery

Skala zjawiska sugeruje, że FBI dysponuje metoda identyfikacji lokalizacji serwerów działających jako ukryta usługa sieci Tor. Zapytany wprost przedstawiciel Europolu oznajmił „Szczegóły chcemy zachować dla siebie. Nie możemy podzielić się sposobem, w jaki to robimy, ponieważ wtedy nie moglibyśmy wykorzystać go ponownie.”

Policjant powiedział jeszcze jedną ciekawą rzecz: wspomniał, że „część stron zdążyła się przenieść, zanim podjęliśmy działania”. Może to oznaczać, że służby potrafiły w pewnym momencie zidentyfikować lokalizację serwerów wybranych ukrytych usług, jednak obecnie nie dysponują już taką możliwością. To z kolei warto powiązać z informacją o anulowanej prezentacji na konferencji Black Hat, której autorzy między styczniem a lipcem 2014 prowadzili skuteczne ataki deanonimizujące ukryte usługi w sieci Tor. Sami autorzy prezentacji w jej zapowiedzi mówili:

Kiedy w lipcu na jaw wyszedł prowadzony atak, wiele serwisów zmieniło swoją lokalizację. Zrobił tak też Silk Road 2.0, ale trzeba pamiętać, że obraz jego serwera został wykonany 30 maja, przed przeprowadzką. Możliwe zatem, że część serwerów zdążyła zmienić swoją lokalizację zanim FBI uzyskało dostęp do ich sprzętu – przykładem niech będą chociażby nadał działające Agora, Evolution i Andromeda. W sumie z 33 sklepów 21 nadal funkcjonuje.