[[387289]]

大數(shù)據(jù)文摘出品

作者：Caleb

瓜從天降，這哪有不吃的道理。

短短兩個(gè)月內(nèi)，俄羅斯四大網(wǎng)絡(luò)犯罪黑客論壇就被“連根拔起”。

根據(jù)安全博客Krebsonsecurity報(bào)道，過去數(shù)周，為數(shù)以千計(jì)“資深”網(wǎng)絡(luò)犯罪分子服務(wù)的四個(gè)老牌俄語黑客論壇相繼遭到入侵。

其中兩次入侵，攻擊者獲取了論壇用戶數(shù)據(jù)庫(kù)，包括電子郵件、IP地址以及哈希密碼等信息，其中一個(gè)的加密貨幣錢包密鑰，另一個(gè)論壇則遭遇了轉(zhuǎn)賬欺詐。

在這些論壇上活躍的用戶都擔(dān)心，該次事件或許會(huì)成為“羅塞塔石碑”，被執(zhí)法部門用于確定他們的真實(shí)身份。

黑客論壇被黑客入侵，這難道就是典型的“黑吃黑”?難怪有不少吃瓜網(wǎng)友評(píng)論到，“小丑竟是我自己”。

四大論壇無一幸免，用戶擔(dān)心身份被曝光

首先遭到攻擊的是俄語論壇Verified。

1月20日，俄語論壇Verified一位長(zhǎng)期管理員透露，該社區(qū)的域名注冊(cè)商已被黑客入侵，并且該站點(diǎn)的域名已重定向到攻擊者控制的Internet服務(wù)器，甚至論壇的比特幣錢包也遭到了破解。

他表示：

不久之后，管理員更新帖子，說到：

2月15日，管理員發(fā)布了一封據(jù)稱代表入侵者發(fā)送的消息，入侵者聲稱，他們?cè)?月16日至20日之間入侵了Verified的域名注冊(cè)商。

隨后在2月，論壇Maza(也被稱為“Mazafaka”“MFclub”)也遭到了攻擊。這是一個(gè)有十多年歷史的、臭名昭著的俄羅斯地下網(wǎng)絡(luò)犯罪論壇。

過去多年，Maza是世界上最多產(chǎn)的一個(gè)網(wǎng)絡(luò)犯罪分子“頂級(jí)會(huì)所”，也是許多犯罪活動(dòng)的重要交易場(chǎng)所，包括惡意軟件分發(fā)、洗錢、信用卡信息銷售、賬戶銷售和許多其他非法行為。

Maza也一直被視為業(yè)內(nèi)的“高端用戶”群，準(zhǔn)入門檻很高。或許也正是因?yàn)榇耍簧儆脩粢呀?jīng)從Maza轉(zhuǎn)移到了ShadowCrew等網(wǎng)站。

就在上周，這個(gè)高端會(huì)所的會(huì)員們發(fā)現(xiàn)，論壇被黑了。

泄露在網(wǎng)上的一份長(zhǎng)達(dá)35頁的PDF文件的頂部，有一個(gè)據(jù)稱是Maza管理員使用的私人加密密鑰。該數(shù)據(jù)庫(kù)包括許多用戶的ICQ賬號(hào)。

在業(yè)內(nèi)，ICQ意為“我找你”(I seek you)，這曾是早期犯罪論壇用戶所信任的一個(gè)即時(shí)信息平臺(tái)，但后來逐漸被Jabber和Telegram等更私人的網(wǎng)絡(luò)所取代。

而特定用戶的ICQ賬號(hào)可以被視為一個(gè)可靠的數(shù)據(jù)點(diǎn)，安全研究人員可以使用其連接到多個(gè)論壇使用不同昵稱的同一用戶。

網(wǎng)絡(luò)情報(bào)公司Intel 471對(duì)該次事件進(jìn)行評(píng)估后表示，泄漏的Maza數(shù)據(jù)庫(kù)是合法的。

Intel 471發(fā)現(xiàn)：“該文件有3,000多個(gè)行，包含了用戶名、部分混淆的哈希密碼、電子郵件地址和其他聯(lián)系方式。”他們進(jìn)一步指出，Maza論壇的訪問者現(xiàn)在已被重新被定向引導(dǎo)至了違規(guī)公告頁面，“對(duì)泄漏數(shù)據(jù)的初步分析表明其可能具有真實(shí)性，至少泄漏的用戶記錄中有部分與我們自己的數(shù)據(jù)是吻合的”。

情報(bào)公司Flashpoint的最新報(bào)告顯示，入侵Maza的黑客已經(jīng)收集了有關(guān)該網(wǎng)站用戶的數(shù)千個(gè)數(shù)據(jù)點(diǎn)，包括他們的姓名、電子郵件地址和哈希密碼。黑客還在論壇主頁上發(fā)布了兩個(gè)警告消息：“您的數(shù)據(jù)已泄露”和“此論壇已被黑客入侵”。

同在2月份，流行網(wǎng)絡(luò)犯罪論壇Crdclub遭到了襲擊。

根據(jù)Intel471的博客文章：“在2月，另一個(gè)網(wǎng)絡(luò)犯罪論壇Crdclub的管理員宣布論壇遭黑客攻擊。攻擊者利用管理員賬戶權(quán)限，誘使論壇客戶使用匯款服務(wù)，從論壇轉(zhuǎn)移了不明數(shù)目的資金。論壇的管理員答應(yīng)賠償被騙者。”

緊接著在3月份，第二大、也是最受歡迎的俄語論壇Exploit也遭受了攻擊。

根據(jù)Intel 471的說法，3月1日，該網(wǎng)絡(luò)犯罪論壇的管理員聲稱，論壇用于保護(hù)其免受分布式拒絕服務(wù)(DDoS)攻擊的代理服務(wù)器可能已被未知方破壞。管理員還表示，在2月27日，一個(gè)監(jiān)視系統(tǒng)檢測(cè)到對(duì)服務(wù)器的未經(jīng)授權(quán)的安全Shell訪問，并嘗試了轉(zhuǎn)儲(chǔ)網(wǎng)絡(luò)流量。

該事件能否成為威脅，黑客們也眾說紛壇

如此集中的大規(guī)模的入侵行為讓不少用戶猜測(cè)到，這可能是某些間諜機(jī)構(gòu)執(zhí)行的。

“只有情報(bào)服務(wù)人員或知道服務(wù)器所在位置的人才能做到這些，”Exploit的一位中堅(jiān)人士如此說到，“一個(gè)月內(nèi)有三個(gè)論壇被攻陷真是太不可思議了。我認(rèn)為這些不是普通的黑客，是有人故意為之”。

一名Exploit用戶寫道：“也許它們按照以下邏輯工作，未來將沒有論壇存在，每個(gè)人之間也不會(huì)再存在信任，合作也會(huì)變得更少，也就更難找到合作伙伴，這就意味著，更少的網(wǎng)絡(luò)攻擊。”

其他人則迫切地想知道下一個(gè)論壇什么時(shí)候會(huì)創(chuàng)建起來，并且哀嘆如果用戶之間喪失了信任，可能對(duì)組織不利。

Flashpoint在報(bào)告中指出，“雖然受陷信息似乎很多，但值得注意的是密碼已被哈希且轉(zhuǎn)儲(chǔ)中包含的其它數(shù)據(jù)字段已被哈希或進(jìn)一步混淆。”不過，如果撇開哈希密碼不談，也有些黑客認(rèn)為這起泄露事件太陳舊，不值得成為威脅，但其他黑客正在積極嘗試如何應(yīng)對(duì)。

黑吃黑早有先例

其實(shí)，這類“黑吃黑”事件也并非孤例。

去年5月，就發(fā)生過一起劫持其他用戶帳戶的黑客發(fā)現(xiàn)自己成為了被劫持對(duì)象的事件。

根據(jù)Ogusers.com論壇管理員發(fā)帖解釋，他的一塊硬盤被損壞，過去幾個(gè)月論壇帖子和私人消息都被清除，雖然他恢復(fù)到了備份，但備份日期僅截至2019年1月。

也正是在硬盤故障的同時(shí)，他的網(wǎng)站遭到了入侵。5月16日，競(jìng)爭(zhēng)對(duì)手RaidForums管理員上傳了Ogusers的數(shù)據(jù)庫(kù)供任何人免費(fèi)下載，“Ogusers 管理員承認(rèn)了數(shù)據(jù)損壞，但沒有說出網(wǎng)站被入侵，所以我猜我是第一個(gè)告訴你們真相的，他沒有網(wǎng)站的最新備份，但我這里有”。

泄露的數(shù)據(jù)庫(kù)包括了約11.3萬用戶的電子郵件地址、哈希密碼、IP 地址和私人消息，已有用戶抱怨他們開始收到釣魚郵件。

更早的時(shí)候，根據(jù)多家外媒爆料，地下黑客論壇Basetools被黑客入侵。奇葩的是，這個(gè)料是入侵黑客Mat自己抖給媒體的。不為別的，就為引起被入侵論壇的注意，逼迫該論壇支付贖金。

Basetools用戶主要在該論壇上交易多種非法產(chǎn)品和服務(wù)，包括被盜的支付卡數(shù)據(jù)、黑客工具和被盜的帳戶數(shù)據(jù)等。總而言之，有點(diǎn)像黑客的地下黑市，而且這個(gè)“黑市”有超過15萬用戶，包括20000多個(gè)工具。

Mat表示，自己已經(jīng)獲得了該論壇的管理員身份信息以及論壇的各種數(shù)據(jù)，如果該論壇不支付5萬美元贖金，就要把這些信息交給執(zhí)法機(jī)構(gòu)。不過，Mat對(duì)媒體表示，自己并不只是為了錢，而是看不慣該論壇的管理員操縱統(tǒng)計(jì)數(shù)據(jù)和排名。

相關(guān)報(bào)道：

• https://krebsonsecurity.com/2021/03/three-top-russian-cybercrime-forums-hacked/
• https://intel471.com/blog/mazafaka-hacked-cybercrime-forums-exploit-crdclub-verified/

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號(hào)“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文