Italian Darknet CommunityのIP漏洩を探る

インターネットへの接続の際に匿名化を行う"Tor”には"Hidden Service(秘匿サービス)"という機能があり、他者からサーバのIPや所在を隠すことができます。
Italian Darknet Community(以下IDC)はこれを用いて構築された「児童ポルノとテロ関連以外のすべてのもの」の議論と販売を許可しているイタリア圏で最大のコミュニティ兼マーケットです。何かありそうだなと思い、暇だったので調べてみました。

　今回は下記のサービスを利用して調査を行いました。

　これらのサイトはインターネットに接続されている機器を全てスキャンしており、いくらTorを通していても生ipで公開している箇所があればスキャンされて記録として残ります。

調べていく上で最初にサイトのソースコードを確認しました。何か特徴的な部分や文言が含まれていないかを見る為です。以下がそのソースコードです。

f:id:Sh1ttyKids:20171029002313p:plain 上記の画像を見てもらうとわかるように非常に単純なサイトで、このサイトは過去におそらく一つの2qrdpvonwwqnic7j[.]onionというアドレスを使用していたようなのですが、今は別の二つのアドレスを使用しておりそちらへの案内として機能しているようです。ここで注目したいのは<title></title>内に”IDC 2.0 | Mirror”といった特徴的な文言が含まれている事です。今回はこれを使ってfofa.soを利用して検索をかけていきましょう。

f:id:Sh1ttyKids:20171029003057p:plain

上記が検索結果になります。いくつか同じ文言を含んだサーバーが発見できました。ここで発見したIPのサイトのソースコードと上記の本物のサイトとを比較して見てみましょう。

f:id:Sh1ttyKids:20171029004413p:plain

※fofaの仕様で全体ではなく一部しか写せなかったです。申し訳ありません。

　リンクは本物と全く同じなので本物のサイトかフェイクの可能性が高いです。もしフィッシングだとするならば、上記にも記した通りこのサイトはそもそも別の関連サイトに誘導しているだけなので、本物のソースから少し改変を行い偽物のアドレスに差し替えて偽のフィッシングサイトに誘導する必要があります。

しかし、今回の場合はリンクも本物を使用しておりフィッシングサイトの可能性はかなり低く本物である可能性がかなり高いです。

　さらに下記の画像の通り、ヘッダーを確認して見てもあまり大差ないことがわかります。

f:id:Sh1ttyKids:20171029005416p:plain

f:id:Sh1ttyKids:20171029005445p:plain

Shodanを使用してさらに調べる

　ここからはshodan.ioを使用していきます。先ほどfofa.soの検索結果において出てきた176.123.10[.]203というIPアドレスをshodanで検索してみます。

f:id:Sh1ttyKids:20171029005714p:plain

　SSHとwebサーバーが稼働していることが確認できます。そこで注目したいのがSSH Fingerprintです。このSSH fingerprintというのはSSHの公開鍵から生成されており、もしこの鍵を管理がめんどくさいなどの理由で使い回しを行なっていた場合同じfingerprintのサーバーがいくつも発見できるはずです。では実際にshodanで”5b:89:7a:16:18:bb:75:3d:01:23:b5:65:05:95:ae:8b”を検索にかけてみましょう。

f:id:Sh1ttyKids:20171029010337p:plain

f:id:Sh1ttyKids:20171029010341p:plain

　なんと14個も発見することができました。その中でもモルドバのサーバーがおそらくIDCのものと思われます。理由としてはホストネームを見るとalexhost.mdと書いてあり、このalexhostは防弾ホスティングサービスを提供していることで知名度が高いです。

　さらに検索結果の中でもドイツにある85.214.60[.]153というipアドレスのサーバーに注目したいと思います。このサーバーにはPoenitz.TVというサイトがホストされておりFaceBookにはこのサイトのページが公開されています。

https://www.facebook.com/poenitztv/

もしかするとこの中に写っている誰かがIDCの運営者なのではないかと思っています。

　下記の通り私はこの一連の情報を発見後ツイートしました。するとそれからIDCは度々ダウンしたり元に戻ったりを繰り返し、不安定な状況が続いています。もしかすると外部からなんらかの攻撃を受けている、もしくは法執行機関が何かしらで動いている可能性があります。

2qrdpvonwwqnic7j[.]onion (Italian DarkNet Community) opsec fail. 176.123.10[.]203 HTTP Body is the same.
And the server's ssh fingerprints are the same. #opsec #darknet https://t.co/ddL6eT7Vvh pic.twitter.com/bQh8yuJTfX
— Sh1ttyKids (@Sh1ttyKids) 2017年10月19日

　私はこの手の情報をどこに提供をすればいいのかわからない状態でどうしようかと思い結局Twitterに投稿しています(影響力のある人に頼んでいたこともある)。もし何らかの形でここが良いよ！という場所等があれば私のメール又はXMPPのcuckoo(at)cock(dot)luか、Twitterの@Sh1ttyKidsにリプ、もしくはDMで教えてもらえたらなと思います。