Chi di Dark Web ferisce di Dark Web perisce. Il caso degli account social hackerati (?)

Chi frequenta abitualmente gli ambienti del cosiddetto “dark web”, ovvero di quella regione oscura del deep web accessibile solo tramite il browser “Tor”, sa bene che una percentuale elevata dei siti ivi operanti è finalizzata a condurre attività illecite: hackeraggio, truffe, pedopornografia, traffico di stupefacenti, di dati personali, di armi da fuoco, di sostanze chimiche, esplosivi e quant’altro. Recentemente, un accademico avrebbe addirittura identificato un mercato ove sarebbe possibile acquistare ordigni nucleari “artigianali”. Il vantaggio di mettere in piedi, per questi scopi poco nobili, siti dark web (per intenderci quelli che terminano con “.onion”) è che risalire all’amministratore risulta quasi sempre impossibile. Per lo meno utilizzando tecniche open-source non intrusive.

Lo svantaggio è che eventuali errori di configurazione dei web server possono portare dritti dritti all’identità del proprietario, con tutte le conseguenze del caso.

Un server Apache mal configurato ha fornito dettagli molto interessanti su alcune attività particolarmente sospette.

Da alcuni mesi porto avanti una scansione sistematica (anche se lenta, ahimè), di migliaia di domini Tor. Recentemente mi sono imbattuto in un network di siti, tutti con lo stesso layout, che venderebbero servizi di hackeraggio di account Facebook, Instagram e Twitter, ma anche Paypal:

Account Twitter e Instagram hackerati (o così si vuole far credere!)

Facebook

PayPal

Complessivamente, ne ho mappati 14, ma potrebbe essermene sfuggito qualcuno. Li ho tutti archiviati, aggiungendo il “suffisso” .si, che mi ha permesso di farli “emergere” dal dark web per salvare una copia della home page con il servizio archive.is. Questo è l’elenco degli url salvati e il relativo short-link alla copia memorizzata:

darkdirceoxoraky.onion > http://archive.is/pwwSh
6bzyz7ruh4x3y25h.onion > http://archive.fo/4sjqE
7vrurjjjkwnfkfuu.onion > http://archive.is/s3wxV
qomktb5i7tfygmyj.onion > http://archive.fo/wVrwl
fnpf67sknqfb5fiq.onion > http://archive.fo/rppow
lofzeempgd26cdnj.onion > http://archive.fo/ccG56
5fcdrnnrag6pdh6h.onion > http://archive.fo/4BkWT
px6vhq4vhyf3wkjz.onion > http://archive.fo/LdYBH
vkw4bgp3lqwgldrn.onion > http://archive.fo/2dhQ9
443znmsylsud733d.onion > http://archive.fo/YMzKI
vbghqw642eyev5b3.onion > http://archive.fo/P8yAO
ccoisat22d5kbnbh.onion > http://archive.fo/vIxeV
hgubzen7dcadipjh.onion > http://archive.fo/0zaHK
zivkccqu54tmfv6h.onion > http://archive.fo/Znohm

Il primo (darkdirceoxoraky.onion) è in realtà una directory di indirizzi. Una sorta di “indice” che conduce ad altri servizi. Ne parleremo fra poco.

Tutti gli altri hanno un elemento in comune: riportano lo stesso indirizzo bitcoin al quale vanno pagate le somme (fra i 50 e i 100 euro, alle quotazioni attuali) per acquistare i relativi servizi di hackeraggio. L’indirizzo riportato è sempre lo stesso:

1GaMeRCMXP3Zuz8QedyE5i1DS7A1bwakVi

Il che è di per sé sufficiente a convincermi che questi domini sono riconducibili alla stessa persona. Quanti soldi sono stati incassati da questo indirizzo? Ce lo dice una analisi molto basilare della blockchain:

Transazioni Bitcoin

Il totale ricevuto ammonta a 0,46 bitcoin e le transazioni complessive (in ingresso e in uscita) sono 73. Secondo bitcoinwhoswho.com, le transazioni in ingresso sono state 69. 0,46 bitcoin non sono grandi cifre, ma nemmeno due lire. Si potrebbe fare una analisi approfondita della catena di pagamenti per tentare di capire come questi soldi sono stati spesi, ma non è questo il caso: a noi interessa capire se riusciamo a risalire al gestore in carne ed ossa.

A prima vista non sembrerebbe esservi nulla di diverso dai soliti, noiosi servizi .onion anonimi. Ma non è così. Aggiungendo la stringa /server-status era possibile, fino a pochi giorni fa, consultare una pagina che non dovrebbe esser mai lasciata esposta sul dark web, perché espone informazioni essenziali del server Apache, fornendo indicazioni su eventuali altri siti darkweb ospitati dalla stessa macchina. Se, poi, sullo stesso server sono presenti anche siti clearnet (quindi “normali”), per un ricercatore OSINT o per l’autorità giudiziaria potrebbe diventare molto facile identificare la persona fisica che si nasconde dietro ai livelli di anonimato garantiti (salvo errori!) dal Dark Web.

Consultando uno degli indirizzi poc’anzi elencati con l’aggiunta di /server-status era possibile visualizzare una pagina di questo tipo (vi spiegherò fra poco perché uso il tempo imperfetto):

Quello che ci interessa ai fini di questa analisi sono i domini web non-onion riportati nella colonna “VHost”. I domini evidenziati sono tutti riconducibili ad una stessa persona, un giovane informatico di origini russe che vive a Virden, in Canada. Complessivamente, questo server è configurato per ospitare, oltre ai servizi darkweb già elencati, anche altri 18 siti non-dark web, quasi tutti a lui riconducibili inequivocabilmente grazie a “unique identifier”, ovvero elementi singoli che sono di per sé sufficienti a stabilire una correlazione altamente probabile. In particolare, è quasi sempre menzionata (nella pagina dei contatti o nella privacy policy), una di queste caselle e-mail:

pixel375@gmail.com
admin@pixelnetsecurity.com
pixelnetservers@gmail.com

C’è anche una relazione fra due siti “clearnet” e due dei siti “dark web” che “girano” sulla stessa macchina Apache:

• http://zivkccqu54tmfv6h.onion/ reindirizza direttamente a www.ebitlotto.com (che menziona la casella e-mail pixelnetservers@gmail.com;
• http://darkdirceoxoraky.onion (immagine a sinistra, è l’indice di cui ho scritto prima) contiene un box che linka sempre a ebitlotto.com (oltre a due dei siti già menzionati che venderebbero servizi di hackeraggio).

Segue l’elenco dei domini clearnet, con il link alla pagina (archiviata su archive.is) che contiene — ove presente — un unique identifier (username Pixel375 o indirizzo e-mail):

• 10khit.com > http://archive.fo/ARnFV
• niftyporn.com (lo unique identifier qui è verosimilmente lo username Pixel375) > http://archive.fo/0uH5h
• ivube.com > http://archive.fo/p72uD
• lememebrand.com (unique identifier non disponibile)
• vapedolphin.com > http://archive.fo/QN1UG
• xn — faceboo-2o7e.com reindirizza ad adlinkurl.com
• adlinkurl.com > http://archive.fo/E11IH
• vrobux.com > http://archive.fo/4Fl73
• nohowl.com (unique identifier non disponibile)
• phpcrack.com (unique identifier non disponibile)
• evirden.com > http://archive.is/7Nk98
• dailysocialmedianews.com (unique identifier non disponibile)
• pixelnetsecurity.com > http://archive.fo/kB0mO
• pewmemes.com > http://archive.is/V1kX9

In sostanza, gli elementi riscontrati permettono di fornire una pista investigativa piuttosto forte da seguire. eugendik[.]com riporta invece informazioni piuttosto dettagliate sulla storia personale e sul background professionale dell’informatico russo-canadese che risulta collegato, dagli indirizzi e-mail di cui sopra, a siti clearnet configurati sullo stesso server che ha in carico anche pagine decisamente poco legali.

In un profilo personale, il giovane riporta di aver iniziato il proprio percorso addirittura dopo aver hackerato un account Facebook.

I servizi dark web di cui ho parlato in questo articolo non sembrano essere gestiti da una figura esperta e tantomeno da una organizzazione criminale. D’altro canto non è nemmeno possibile stabilire con certezza quanti soldi il titolare abbia incassato: l’indirizzo bitcoin attualmente riportato potrebbe essere stato cambiato più volte: il bilancio che ho evidenziato potrebbe essere quindi del tutto parziale.

La “digital footprint” del ventitreenne è molto forte. Ha usato spesso le stesse e-mail, gli stessi username su diverse piattaforme, agevolando notevolmente il lavoro di ricerca e profilazione. E’ estremamente esposto sui social. Una attitudine, insomma, che poco si addice a un soggetto navigato del dark web!

Ad ogni modo, per levarmi la curiosità ho chiesto spiegazioni al ragazzo e non ho ottenuto risposta. In compenso, due giorni dopo avergli scritto la pagina /server-status è stata disabilitata su tutti i siti per poi essere rimesse online (almeno così era in data 13 aprile). Per chi volesse tuttavia consultarle, ho archiviato anche queste:

6bzyz7ruh4x3y25h.onion/server-status > http://archive.fo/dRV6x
7vrurjjjkwnfkfuu.onion/server-status > http://archive.fo/4bfVW
qomktb5i7tfygmyj.onion/server-status > http://archive.fo/VxeL2
fnpf67sknqfb5fiq.onion/server-status > http://archive.fo/ardZ6
lofzeempgd26cdnj.onion/server-status > http://archive.fo/eBR2S
5fcdrnnrag6pdh6h.onion/server-status > http://archive.fo/YmuJL
px6vhq4vhyf3wkjz.onion/server-status > http://archive.fo/UVMDk
vkw4bgp3lqwgldrn.onion/server-status > http://archive.fo/AvLhr
443znmsylsud733d.onion/server-status > http://archive.fo/d0pUa
vbghqw642eyev5b3.onion/server-status > http://archive.fo/sUo8e
ccoisat22d5kbnbh.onion/server-status > http://archive.fo/BWJPZ
hgubzen7dcadipjh.onion/server-status > http://archive.fo/95BBC
zivkccqu54tmfv6h.onion/server-status > http://archive.fo/2N6nN

In sintesi, il Dark Web è uno strumento che può garantire un elevato livello di anonimato. Ma se utilizzato da mani poco esperte, può diventare molto più vulnerabile di un qualsiasi blog ospitato da una delle tante piattaforme (gratuite)disponibili.