Darknet Marktplatz Solaris von Kraken gehackt

[Gh0st]

Nachdem der Darknet-Marktplatz Hydra von BKA-Ermittlern geschlossen wurde, übernahm Solaris einen großen Anteil des Marktes für den illegalen Handel mit Substanzen. Der Konkurrent Kraken war offenbar angepisst von diesem Erfolg und startete im Frühjahr 2022 einen Hackerangriff, bei dem er den Solaris-Marktplatz übernahm. Solaris hatte zuvor rund 60.000 neue Registrierungen verzeichnet und illegalen Handel im Wert von etwa 150 Millionen Dollar abgewickelt, was einem Anteil von 25 % am Markt für verbotene Substanzen entsprach.

Solaris war eine russischsprachige Plattform, die Berichten zufolge mit Killnet verbunden war, einer kremlfreundlichen Hacktivistengruppe, die im Jahr 2022 mehrere DDoS-Angriffe gegen Organisationen in der westlichen Welt startete. Elliptic hat mehrere Spenden von Solaris an Killnet zurückverfolgt, die sich auf Bitcoin im Wert von mehr als 44.000 US-Dollar belaufen. Vermutlich hat die DDoS-Gruppe dieses Geld verwendet, um mehr Feuerkraft für Angriffe zu kaufen.

Im Dezember 2022 behauptete der ukrainische Cyber-Intelligenz-Analyst Alex Holden, bei Solaris eingedrungen zu sein und 25.000 US-Dollar gestohlen zu haben, die an eine humanitäre Einrichtung in der Ukraine gespendet wurden. Während Solaris die Behauptungen über den Hack bestritt und auf den Mangel an Beweisen hinwies, veröffentlichte Holden später weitere Details und ließ Quellcode und Datenbanken durchsickern, die angeblich mit dem Marktplatz in Verbindung stehen.

Am Freitag, dem 13. Januar 2023, gab Kraken bekannt, dass sie die Infrastruktur von Solaris, das GitLab-Repository und alle Projektquellen übernommen haben, und zwar aufgrund "mehrerer großer Fehler im Code".

In der Erklärung von Kraken heißt es, dass sie drei Tage brauchten, um die auf den Solaris-Servern gespeicherten Klartext-Passwörter und -Schlüssel zu stehlen, auf die in Finnland gelegene Infrastruktur zuzugreifen und dann alles herunterzuladen, ohne dass jemand sie daran hinderte. Schließlich gaben die Angreifer an, den Bitcoin-Server von Solaris deaktiviert zu haben, was mit den Beobachtungen von Elliptic in der Blockchain übereinstimmt.

Zitate:

"The project has several huge bugs in the code, which to this day remain relevant, you can turn over and over again. Also, storing passwords and keys from your servers in clear text is an even bigger mistake, the lot of schoolchildren from the 5th desk,"

"This event took us 3 days in a calm mode and we downloaded absolutely EVERYTHING that is supposed to be in such cases (and no one stopped us). PS We deliberately disabled the bitcoin server so that no one steals anything, but probably in vain)."

"Everything that is written above is a response to aggression in our direction in the amount of x10, we warned. The same applies to others."

Zum jetzigen Zeitpunkt haben weder Killnet noch irgendjemand aus dem Solaris-Kernteam eine Erklärung über den Status der Plattform und die Gültigkeit der Behauptungen von Kraken abgegeben. Kraken ist ebenfalls kremlfreundlich, so dass es unwahrscheinlich ist, dass die Motive des Hacks politischer Natur sind.

Die Übernahme eines Konkurrenten und die Umleitung seiner Nutzer auf die eigene Plattform stellt eine effektive Methode dar, um das Wachstum zu fördern und gleichzeitig Bedenken hinsichtlich der Sicherheit des angegriffenen Marktes aufkommen zu lassen.