El FBI reconoció que secretamente tomó el control de Freedom Hosting el pasado mes de julio, días antes del hallazgo de que los servidores del mayor proveedor de alojamiento ultra-anónimo, servía malware diseñado para identificar a sus visitantes.
El operador de Freedom Hosting, Eric Eoin Marques, había alquilado los servidores de un proveedor de alojamiento web comercial sin nombre en Francia, y pagó por ellos de una cuenta bancaria en Las Vegas. No está claro cómo el FBI tomó control de los servidores a finales de julio, pero la oficina se frustró temporalmente cuando Marques de alguna manera volvió a tener acceso y cambió las contraseñas, bloqueando brevemente al FBI, hasta que este recuperó el control.
Los detalles surgieron en una audiencia de fianza el jueves en Dublín, Irlanda, donde Marques (28) está luchando contra la extradición a Estados Unidos por cargos de que Freedom Hosting facilitó acceso a pornografía infantil a escala masiva. Además, se le negó la libertad bajo fianza por segunda vez desde su arresto en julio.
Freedom Hosting era un proveedor de servicios ocultos de llave en mano «TOR”. El 4 de agosto, todos los sitios alojados por Freedom Hosting (con y sin pornografía infantil)comenzaron a emitir un mensaje de error con un código oculto incrustado en la página. Los investigadores de seguridad analizaron el código y lo encontraron que el mismo explota una vulnerabilidad de seguridad en Firefox y luego permite identificar a los usuarios de Tor Browser Bundle, informando a un servidor en el norte de Virginia. En este momento la sospecha hacia el FBI era evidente.
El agente especial del FBI Brooke Donahue fue más comunicativo cuando apareció en la corte irlandesa para reforzar el caso e intentar mantener a Marques tras las rejas.
El código fuente de la página contaba con un iframe oculto que cargaba un código Javascript. Mozilla ha confirmado que el código explota una vulnerabilidad crítica en la gestión de memoria de Firefox que se informó públicamente el 25 de junio.
Si bien muchas versiones anteriores de Firefox son vulnerables a ese error, el malware estaba dirigido sólo Firefox 17 ESR, la versión de Firefox que forma la base del Tor Browser Bundle. Eso dejó claro desde el principio que el ataque se centró específicamente en el supuesto anonimato de usuarios de Tor.
Los usuarios que instalaron Tor Browser Bundle (o lo actualizaron manualmente) después del 26 de junio están a salvo de la explotación, de acuerdo con el aviso de seguridad del Proyecto Tor.
Quizás la evidencia más fuerte de que el ataque fue por un cumplimiento de la ley, es la funcionalidad limitada del malware. El corazón del Javascript era un pequeño ejecutable de Windows oculta en una variable llamada «Magneto”. Esta función sólo levantaba la dirección MAC de la víctima y el nombre de host del equipo infectado.
Los registros oficiales de asignación de IP mantenidas por American Registry for Internet Numbers muestran que las dos direcciones IP de Magneto eran parte de un bloque fantasma de ocho direcciones en Virginia, que no tienen ninguna organización como responsable.
El comportamiento del código, y el C&C en Virginia, también es coherente con lo que se conoce sobre como «Computer and Internet Protocol Address Verifier” (CIPAV) del FBI, un spyware de aplicación de la ley que se vió por primera vez en 2007.
Documentos de la corte y los archivos del FBI han descrito el CIPAV como un software que el FBI puede «entregar” a través de un navegador para obtener información de la máquina destino y enviarlo a un servidor del FBI en Virginia. El FBI ha estado utilizando CIPAV desde 2002 contra delincuentes informáticos, depredadores sexuales en línea, extorsionadores, y para identificar a los sospechosos que están ocultando su ubicación mediante servidores proxy o servicios de anonimato, como Tor
Fuente Segu-info