Mercados clandestinos para vendas de bens e serviços, lavagem de criptomoedas, hospedagem de plataformas para malware e identidades roubadas/falsificadas. Tudo isto e muito mais pode ser encontrado na Dark Web – que, em uma definição simples, é a parte obscura e anônima da Internet.
Em estudo recente, o Laboratório de Pesquisas e Segurança da Trend Micro resolveu explorar uma parte menos discutida sobre a Internet Profunda: quais as técnicas utilizadas pelos cibercriminosos com o objetivo de subverter ou espionar os serviços executados por outros de seus “concorrentes” hackers?
A construção do Honeypot: como atrair os cibercriminosos
A companhia teve como principal objetivo analisar o modus operandi dos hackers que atuam na Dark Web. A armadilha foi criada com o propósito de imitar os serviços clandestinos, como mercados VIP e fóruns executados por organizações e/ou indivíduos “duvidosas/os”.
Para isso, a Trend Micro simulou uma instalação cibercriminosa no Tor utilizando várias honeypots. Cada honeypot expõe uma ou mais vulnerabilidades que permitiria ao invasor se apropriar da instalação. Após uma infecção, a empresa automaticamente registrava todos os logs e restaurava o ambiente. A composição da honeypot – operada em um período total de 6 meses – consistia em um mercado negro no qual só se negocia com círculo fechado de membros convidados, blog que oferece serviços personalizados e soluções para a dark web, um fórum clandestino que só permite aos membros registrados fazer o login e um servidor de arquivos privado para documentos confidenciais que oferece logins de protocolo de transferência de arquivos FTP e SSH.
Surface Web versus Deep Web
Dois meses após a implantação da honeypot, a Trend Micro constatou que a Dark Web não é tão privada quanto a maioria imagina. Proxies como o Tor2web, tornaram os serviços ocultos do Tor acessíveis, sem requerer qualquer configuração adicional da Internet pública.
A honeypot foi automaticamente disponibilizada nos mecanismos de busca tradicionais e implicitamente usada como isca para um alvo de exploração automatizada de scripts. Como resultado, somente em maio, a armadilha recebeu mais de 170 ataques por dia.
Foram usadas diferentes técnicas pelos atacantes. Enquanto na Internet aberta, as ferramentas de ataque automatizadas se sobressaíram, na Dark Web os invasores executaram ataques manuais, pois eram geralmente mais cautelosos.
Os atacantes que contavam com esse cuidado extra, excluíam qualquer arquivo colocado na honeypot da Trend Micro. Outros, até mesmo deixaram mensagens como: “Bem-vindo à honeypot!”, indicando que tinha identificado a honeypot.
Os hackers parecem estar cientes de que os serviços ocultos comprometidos na Dark Web são minas de ouro, já que todos os ataques originais de DDoS ou SPAM se tornarão anônimos pelo Tor.
Cibercriminosos atacando uns aos outros
A principal descoberta da Trend Micro foi de que as organizações que atuam na Dark Web aparentemente atacam umas às outras.
Abaixo outros pontos-chave após a invasão dos atacantes na Honeypot da Trend Micro:
- Tentativas de sequestrar e espionar as comunicações originárias da armadilha;
- Roubo de dados confidenciais do servidor de arquivos FTP;
- Monitoramento de conversas IRC por meio de logins para nossa plataforma simulada de chat;
- Manual de ataques contra o aplicativo personalizado executado no fórum clandestino.
Conclusões
Segundo a Trend Micro, uma das descobertas mais surpreendentes foi verificar – por meio dos proxies do Tor – que a Dark Web não é tão secreta quanto parece.
Aparentemente os cibercriminosos estiveram procurando por serviços operados por outras organizações e realizaram ataques manualmente. Como a indexação e a pesquisa são mais difíceis dentro da Dark Web, isso mostra o imenso esforço dos criminosos motivados para encontrar e desativar sites controlados por seus concorrentes.