07.11.2014 | 15:24

Adam Haertle

Operacja Onymous, czyli skąd FBI mogła znać lokalizację serwera Silk Road 2.0

Wczorajsze zamknięcie Silkr Road 2.0 i aresztowanie jego właściciela było tylko jednym z elementów międzynarodowej operacji organów ścigania pod kryptonimem Onymous. Jej skutkiem jest kilkanaście zatrzymań oraz przejęcie kilkuset adresów .onion.

Dzięki artykułowi Wired niecałą dobę po zamknięciu narkotykowego bazaru działającego jako następca słynnego Silk Road poznajemy kolejne szczegóły skoordynowanej akcji policji wielu krajów.

Akcja na całym świecie

Kilka godzin przed pojawieniem się informacji o zamknięciu SR 2.0 irlandzkie media opublikowały artykuł o zatrzymaniu dwóch handlarzy narkotyków, działających w internecie i dystrybuujących swoje produkty do wielu innych krajów. Przy zatrzymanych znaleziono extasy, LSD oraz inne substancje o wartości ok. 200 tysięcy euro. Wtedy po raz pierwszy wspomniano „operację Onymous”, czyli wspólną akcję FBI oraz Europolu skierowaną przeciwko serwisom handlującym narkotykami w sieci Tor.

Jej kolejną odsłoną było zamknięcie Silk Road 2.0 i zatrzymanie jego właściciela. Co ciekawe, jeden z internautów dopiero po lekturze mediów zorientował się, że kilka godzin wcześniej był świadkiem przeszukania samochodu administratora SR, który okazał się być jego sąsiadem.

FBI przeszukuje Teslę Blake'a Benthalla

FBI przeszukuje Teslę Blake’a Benthalla

Setki przejętych domen

W wywiadzie z dziennikarzem Wired szef Europejskiego Centrum Cyberprzestępczości (European Cybercrime Center) wyjawił dodatkowe informacje na temat operacji Onymous. Oprócz Silk Road 2.0 na liście ofiar organów ścigania znalazły się także takie markety jak Pandora, Blue Sky, Topix, Flugsvamp, Cannabis Road oraz Black Market. Wyłączone zostały także serwisy zajmujące się praniem brudnych pieniędzy: Cash Machine, Cash Flow, Golden Nugget i Fast Cash. Do tej pory zatrzymano 17 osób powiązanych z zamkniętymi serwisami i przejęto 250 tysięcy dolarów oraz bitcoiny o wartości około miliona dolarów. Służby przejęły również 414 domen .onion i poinformowały, że nie były jeszcze w stanie zidentyfikować wszystkich przejętych serwisów.

Jak namierzono serwery

Skala zjawiska sugeruje, że FBI dysponuje metoda identyfikacji lokalizacji serwerów działających jako ukryta usługa sieci Tor. Zapytany wprost przedstawiciel Europolu oznajmił „Szczegóły chcemy zachować dla siebie. Nie możemy podzielić się sposobem, w jaki to robimy, ponieważ wtedy nie moglibyśmy wykorzystać go ponownie.”

Policjant powiedział jeszcze jedną ciekawą rzecz: wspomniał, że „część stron zdążyła się przenieść, zanim podjęliśmy działania”. Może to oznaczać, że służby potrafiły w pewnym momencie zidentyfikować lokalizację serwerów wybranych ukrytych usług, jednak obecnie nie dysponują już taką możliwością. To z kolei warto powiązać z informacją o anulowanej prezentacji na konferencji Black Hat, której autorzy między styczniem a lipcem 2014 prowadzili skuteczne ataki deanonimizujące ukryte usługi w sieci Tor. Sami autorzy prezentacji w jej zapowiedzi mówili:

Podczas naszego wystąpienia szybko omówimy naturę, możliwość przeprowadzenia oraz ograniczenia możliwych ataków a następnie zaprezentujemy dziesiątki prawdziwych przykładów deanonimizacji, od wskazania odpowiedzialnych za zarządzanie botnetami, przez lokalizacje narkotykowych bazarów po użytkowników serwerów z pornografią dziecięcą.

Kiedy w lipcu na jaw wyszedł prowadzony atak, wiele serwisów zmieniło swoją lokalizację. Zrobił tak też Silk Road 2.0, ale trzeba pamiętać, że obraz jego serwera został wykonany 30 maja, przed przeprowadzką. Możliwe zatem, że część serwerów zdążyła zmienić swoją lokalizację zanim FBI uzyskało dostęp do ich sprzętu – przykładem niech będą chociażby nadał działające Agora, Evolution i Andromeda. W sumie z 33 sklepów 21 nadal funkcjonuje.

Powrót

Komentarze

  • 2014.11.07 15:54 Dominik

    Zaszokowała mnie skala przedsięwzięcia i ilość przejętych domen

    Odpowiedz
  • 2014.11.07 17:12 ewrmik

    Namierzyli ich przez Chrome. Więcej niż pewne – choć nie do zweryfikowania.

    Odpowiedz
    • 2014.11.07 19:59 steppe

      Możesz rozwinąć tą myśl? :)

      Odpowiedz
  • 2014.11.07 18:18 wow

    kazdy serwis onion powinien zmienic swoje miejsce jak najszybciej (i robic to regularnie np co miesiac?). niezle pojechali z tematem. pogratulowac (mimo wszystko)

    Odpowiedz
  • 2014.11.08 10:12 J

    Zmiana serwera to za mało, po tym jak już wiadomo że ściągali obraz dysku serwera, trzeba liczyć się z tym że: pobrali obraz; wrzucili backdoor do skryptu marketu;umieścili zmodyfikowany obraz na serwerze a później już przy pizzy śledzili handelek użytkowników.

    Odpowiedz
  • 2014.11.08 12:44 moro

    przenosząc się na nowy serwer robisz copy paste z obecnego serwera ? :) Nikt na tyle głupi nie jest i przy przenoszeniu bierze tylko bazę danych i nic więcej.

    Odpowiedz
    • 2014.11.08 17:01 steppe

      „Nikt” to chyba zbyt odważne słowo ;)

      Odpowiedz
  • 2014.11.19 21:59 ewe

    Moze ktos podac adres do sr 3.0

    Odpowiedz
  • 2018.11.16 18:47 a

    Adres domowy?

    Odpowiedz

Zostaw odpowiedź do ewe

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Operacja Onymous, czyli skąd FBI mogła znać lokalizację serwera Silk Road 2.0

Komentarze