Wir haben mit dem Hacker gesprochen, der ein Fünftel des Darknets abgeschaltet hat

Ein einzelner Hacker hat am vergangenen Freitag das Darknet zu großen Teilen außer Betrieb genommen. Besuchern von über 10.000 Tor-Hidden-Services, die auf dem Darknet-Hostingprovider Freedom Hosting II zu Hause sind, blinkte laut The Verge eine ungewöhnliche Nachricht entgegen.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

"Hallo Freedom Hosting II, ihr seid gehackt worden", lautete die Botschaft. Wie die unabhängige Sicherheitsforscherin Sarah Jamie Lewis herausfand, werden ungefähr 20 Prozent aller Darknet-Seiten über Freedom Hosting II betrieben.

Einen Tag nach dem Großangriff haben wir mit dem Hacker, der sich selbst für die Attacke verantwortlich erklärt, darüber gesprochen, wie und warum er den Service platt gemacht hat.

"Das ist tatsächlich mein allererster Hack", teilte er uns in einer E-Mail mit, die von derselben Adresse verschickt wurde wie die Nachrichten auf den gehackten Freedom Hosting II-Seiten. "Ich hatte einfach nur die richtige Idee."

Den Dienst habe er bereits am 30. Januar kompromittiert, hatte zu diesem Zeitpunkt jedoch nur Leserechte. Somit konnte er zwar alle Seiten auf Freedom Hosting II einsehen, jedoch keine Dateien ändern oder löschen.

"Ursprünglich wollte ich FH2 gar nicht lahmlegen, sondern mich nur umschauen", schreibt uns der Hacker. Doch dann stieß er nach eigenen Angaben auf mehrere große Kinderpornografie-Seiten, die den erlaubten Speicherplatz auf von Freedom Hosting II überschritten. Normalerweise stellt Freedom Hosting II ein Kontingent von 256 MB pro Seite zur Verfügung, doch diese illegalen Seiten überschritten diese Zahl angeblich um ein Vielfaches.

"Das ist ein Hinweis darauf, dass sie für den Dienst bezahlen und der Admin somit von diesen Seiten wusste. Darum entschied ich mich, den Service auszuschalten", erklärte der Hacker. Bisher habe er,zehn Kinderporno-Seiten mit ungefähr 30 GB an Dateien gefunden.

Doch wie gelang es dem Angreifer, gut ein Fünftel des Darknets abzuschalten? Um sein Vorgehen zu verdeutlichen, schickte er uns eine Art Gebrauchsanweisung mit 21 Schritten: Vereinfacht gesagt, wird als erstes eine neue Freedom Hosting II-Seite erstellt oder sich in eine bestehende Seite eingeloggt. Danach werden die Einstellungen einer Konfigurationsdatei so verändert, dass das Passwort eines Angriffszieles zurückgesetzt wird. Nachdem der Root-Zugriff aktiviert wurde, kann man sich mit den neuen Nutzungsrechten einloggen. Und dann kommt auch schon Schritt 21: "Enjoy".

Der Hacker behauptete, dass er zwar eine Vielzahl an Systemdateien von Freedom Hosting II veröffentlicht habe, aber keine Nutzerdateien. Diese wollte der Hacker angesichts der vielen kinderpornografischen Inhalte nicht öffentlich zugänglich machen, will sie allerdings an einen Sicherheitsforscher übergeben, der die Daten wiederum an die Strafverfolgungsbehörden weiterleiten soll.

Möglicherweise werden die Behörden über dieses Vorgehen jedoch gar nicht so begeistert sein. In der Vergangenheit haben Strafverfolgungsbehörden wie das FBI versucht, einzelne Nutzer mit Hilfe von Malware auf gehackten Darknet-Seiten oder Hosting-Anbietern zu identifizieren. So ging das FBI auch beim ursprünglichen Freedom Hosting vor – dank eines Hacking-Tools gelangten die Beamten an die IP-Adressen von Besuchern. Das machen die Behörden auch deswegen, weil die Rückverfolgung der Nutzer oft selbst dann unmöglich, wenn Ermittler die Kontrolle über einen Tor-Hidden-Service haben.

Da nun jedoch viele Kinderporno-Seiten auf Freedom Hosting II abgeschaltet sind, können die Behörden diese Taktik vielleicht gar nicht mehr anwenden. Dennoch könnten die Freedom Hosting II-Daten wichtige Hinweise darauf geben, wer hinter den einzelnen Seiten steckt.

Der Freedom Hosting II-Hack ist keinesfalls das erste Mal, dass Hacker Kinderporno-Seiten im Darknet zum Ziel erklärt haben. Eine mit Anonymous in Verbindung gebrachte Gruppe machte 2015 Jagd auf Kinderschänder und 2014 löschte ein Hacker in einem beliebten Tor-basierten Wiki die Links zu Kinderporno-Seiten.

"Falls sich mir noch mal eine ähnliche Chance präsentiert und ich die Möglichkeit habe, eine ähnliche Seite lahm zu legen, werde ich sie nutzen", erklärt der Hacker, "aber ich habe da keine konkreten Pläne."