Lo strano caso di Giftbox, il sito di pedopornografia hackerato nel dark web

Alla fine dello scorso anno, Mozilla ha rilasciato in fretta e furia una patch per una vulnerabilità 0-day di Firefox utilizzata per attaccare vari obiettivi. Poco dopo, Motherboard ha scoperto come fosse stata sfruttata anche contro i visitatori di The Giftbox Exchange, un sito web di pedopornografia del dark web e, secondo alcune fonti, dei terzi hanno eseguito la stessa operazione per conto delle forze dell'ordine. Il malware dovrebbe consentire di identificare gli indirizzi IP dei visitatori di un sito.

In seguito, è emerso che l'Europol è probabilmente connessa a un'indagine riguardante il sito. La notizia mette in evidenza come, mentre i criminali continuano a utilizzare tecnologie per garantire l'anonimato, come Tor, gli investigatori si rivolgono sempre più ad esperti esterni e agli strumenti di hacking per sorvegliare il cosiddetto dark web.

A dicembre, Motherboard ha ha presentato una richiesta di accesso all'Europol per visionare i documenti relativi a Giftbox Exchange, altrimenti noto come Giftbox. Giovedì l'agenzia ha dichiarato di aver trovato due file correlati: una presentazione in PowerPoint e un documento operativo classificato EU/restricted. Questa classificazione serve a proteggere informazioni che, se divulgate, potrebbero portare "svantaggi" agli obiettivi della UE, secondo quanto riportato in un documento della Commissione europea.

L'Europol ha rifiutato di rilasciare i documenti, ma l'argomentazione dell'agenzia ci fornisce qualche chiave di lettura riguardo alla sua recente attività correlata a Giftbox.

"I documenti contengono informazioni operative sensibili destinate a essere utilizzate solamente dalle forze dell'ordine, la cui divulgazione metterebbe a repentaglio le operazioni portate avanti da parte delle autorità degli Stati membri e dei paesi terzi nella lotta contro lo sfruttamento sessuale dei minori," si legge in una mail dell'Europol.

Secondo una voce pubblicata su Uncensored Hidden Wiki, una sorta di enciclopedia del dark web, Giftbox è stato lanciato nel luglio 2015, con post in inglese, tedesco, francese, spagnolo e olandese. A un certo punto della sua esistenza, il sito avrebbe raccolto qualcosa come 45.000 utenti .

A novembre 2016, qualcuno ha immesso del codice malevolo JavaScript in Giftbox. Una parte di questo codice è a disposizione del pubblico e ricorda quello utilizzato dall'FBI per attaccare una serie di altri siti pedopornografici del dark web, progettato per fare breccia nelle protezioni di Tor e ottenere il reale indirizzo IP di un visitatore. Probabilmente, il codice è stato immesso dopo che un utente si è loggato al sito e Giftbox ha chiuso poco dopo la scoperta del codice. (Secondo la voce di Uncensored Hidden Wiki, il sito è ancora offline). Intorno al momento dell'attacco, il payload del malware puntava all'indirizzo IP 5.39.27.226; un server ospitato da OVH in Francia.

Due fonti hanno rivelato in precedenza a Motherboardche, lo scorso anno, Exodus Intelligence, una società di ricerca statunitense, ha venduto l'exploit utilizzato su Giftbox ad almeno un collaboratore delle forze dell'ordine. L'Europol assiste i 28 Stati membri dell'UE nelle indagini penali e, sul suo sito web evidenzia in particolare la sua battaglia contro il terrorismo, il riciclaggio di denaro e le truffe organizzate, oltre alla lotta contro gli estremismi online e il traffico di esseri umani.

"Le reti criminali in ognuna di queste ambienti sono veloci nel cogliere nuove opportunità e resistenti alle contromisure tradizionali delle forze dell'ordine," si legge sul sito dell'Europol.

Europol ha partecipato ad altre indagini sullo sfruttamento di minori nel dark web. Nel febbraio 2015, l'FBI ha hackerato oltre 8.000 computer in 120 paesi del mondo, ottenendo una serie di indirizzi IP sospetti. Alcune di queste informazioni sono state poi girate all'Europol che le ha diffuse a sua volta presso le forze dell'ordine di tutta Europa. Secondo una presentazione dell'Europol scoperta precedentemente da Motherboard, grazie all'operazione di hacking, l'agenzia ha identificato oltre 3.000 casi. Quando Motherboard ha chiesto all'Europol un commento in merito al caso, l'agenzia ha chiesto di rivolgere le domande all'FBI, sostenendo che l'agenzia statunitense fosse al capo delle operazioni.

Ma, nel caso di Giftbox, le cose potrebbero essere andate diversamente. L'FBI non ha portato avanti nessuna indagine sul sito di abusi dei minori, ha spiegato un funzionario dell'FBI a Motherboard.

Un portavoce dell'Europol ha dichiarato a Motherboard in una mail, "Come nel caso della risposta fornitavi dall'Europol per la vostra richiesta di accesso ai dati, possiamo confermare che l'Agenzia ha identificato due documenti come riguardanti il suo campo di applicazione, ma non possiamo entrare nei dettagli in merito a qualsiasi coinvolgimento nelle indagini che interessano questo sito. In aggiunta, vi informiamo che, in conformità con il suo mandato, Europol non conduce indagini indipendenti, ma sostiene e rafforza le attività operative degli Stati membri. "