Mercados clandestinos para vendas de bens e serviços, lavagem de criptomoedas, hospedagem de plataformas para malware e identidades roubadas/falsificadas. Tudo isto e muito mais pode ser encontrado na Dark Web – que, em uma definição simples, é a parte obscura e anônima da Internet.
Em estudo recente, o Laboratório de Pesquisas e Segurança da Trend Micro resolveu explorar uma parte menos discutida sobre a Internet Profunda: quais as técnicas utilizadas pelos cibercriminosos com o objetivo de subverter ou espionar os serviços executados por outros de seus "concorrentes" hackers?
A construção do Honeypot: como atrair os cibercriminosos
A Trend Micro teve como principal objetivo analisar o modus operandi dos hackers que atuam na Dark Web. A armadilha foi criada com o propósito de imitar os serviços clandestinos, como mercados VIP e fóruns executados por organizações e/ou indivíduos "duvidosas/os".
Para isso, simulou uma instalação cibercriminosa no Tor utilizando várias honeypots. Cada honeypot expõe uma ou mais vulnerabilidades que permitiria ao invasor se apropriar da instalação. Após uma infecção, a Trend Micro automaticamente registrava todos os logs e restaurava o ambiente.
Dois meses após a implantação da honeypot, constatou que a Dark Web não é tão privada quanto a maioria imagina. Proxies como o Tor2web, tornaram os serviços ocultos do Tor acessíveis, sem requerer qualquer configuração adicional da Internet pública.
A honeypot da Trend Micro foi automaticamente disponibilizada nos mecanismos de busca tradicionais e implicitamente usada como isca para um alvo de exploração automatizada de scripts. Como resultado, somente em maio, a armadilha recebeu mais de 170 ataques por dia.
Foram usadas diferentes técnicas pelos atacantes. Enquanto na Internet aberta, as ferramentas de ataque automatizadas se sobressaíram, na Dark Web os invasores executaram ataques manuais, pois eram geralmente mais cautelosos.
Os atacantes que contavam com esse cuidado extra, excluíam qualquer arquivo colocado na honeypot da Trend Micro. Outros, até mesmo deixaram mensagens como: "Bem-vindo à honeypot!", indicando que tinha identificado a honeypot.
Os hackers parecem estar cientes de que os serviços ocultos comprometidos na Dark Web são minas de ouro, já que todos os ataques originais de DDoS ou SPAM se tornarão anônimos pelo Tor.
A principal descoberta da Trend Micro foi de que as organizações que atuam na Dark Web aparentemente atacam umas às outras.
Conclusões
Segundo a Trend Micro, uma das descobertas mais surpreendentes foi verificar – por meio dos proxies do Tor – que a Dark Web não é tão secreta quanto parece.
Aparentemente os cibercriminosos estiveram procurando por serviços operados por outras organizações e realizaram ataques manualmente. Como a indexação e a pesquisa são mais difíceis dentro da Dark Web, isso mostra o imenso esforço dos criminosos motivados para encontrar e desativar sites controlados por seus concorrentes.
