大數據文摘出品
作者:Caleb
瓜從天降,這哪有不吃的道理。
短短兩個月內,俄羅斯四大網絡犯罪黑客論壇就被「連根拔起」。
根據安全博客Krebsonsecurity報道,過去數周,為數以千計「資深」網絡犯罪分子服務的四個老牌俄語黑客論壇相繼遭到入侵。
其中兩次入侵,攻擊者獲取了論壇用戶資料庫,包括電子郵件、IP位址以及哈希密碼等信息,其中一個的加密貨幣錢包密鑰,另一個論壇則遭遇了轉帳欺詐。
在這些論壇上活躍的用戶都擔心,該次事件或許會成為「羅塞塔石碑」,被執法部門用於確定他們的真實身份。
黑客論壇被黑客入侵,這難道就是典型的「黑吃黑」?難怪有不少吃瓜網友評論到,「小丑竟是我自己」。
四大論壇無一倖免,用戶擔心身份被曝光
首先遭到攻擊的是俄語論壇Verified。
1月20日,俄語論壇Verified一位長期管理員透露,該社區的域名註冊商已被黑客入侵,並且該站點的域名已重定向到攻擊者控制的Internet伺服器,甚至論壇的比特幣錢包也遭到了破解。
他表示:
「我們的(比特幣)錢包已被破解。幸運的是,我們沒有在其中存放大量東西,但不管怎樣這都是相當令人不愉快的。以如今這個情況來說,理論上講,該論壇的所有帳戶都可能已經遭到入侵(可能性很低,但可能存在)。在我們這行中,保持安全是最高法則。因此,我們決定重設所有用戶的密碼。這沒什麼大不了的。只需寫下它們,然後從現在開始使用它們即可。」
不久之後,管理員更新帖子,說到:
「當論壇遭到黑客入侵時,我們收到的消息是論壇資料庫已被竊取。每個人的帳戶密碼都被強制重置。將此信息傳遞給你認識的人。」
2月15日,管理員發布了一封據稱代表入侵者發送的消息,入侵者聲稱,他們在1月16日至20日之間入侵了Verified的域名註冊商。
攻擊者解釋說,「現在應該很清楚,論壇管理部門在這件事的安全性方面做得還不夠。」「很可能是出於懶惰或無能,他們放棄了整個事情。但令我們感到驚訝的是,他們保存了所有用戶數據,包括cookie、引薦來源網址、首次註冊的IP位址、登錄分析等內容。」
隨後在2月,論壇Maza(也被稱為「Mazafaka」「MFclub」)也遭到了攻擊。這是一個有十多年歷史的、臭名昭著的俄羅斯地下網絡犯罪論壇。
過去多年,Maza是世界上最多產的一個網絡犯罪分子「頂級會所」,也是許多犯罪活動的重要交易場所,包括惡意軟體分發、洗錢、信用卡信息銷售、帳戶銷售和許多其他非法行為。
Maza也一直被視為業內的「高端用戶」群,准入門檻很高。或許也正是因為此,不少用戶已經從Maza轉移到了ShadowCrew等網站。
就在上周,這個高端會所的會員們發現,論壇被黑了。
泄露在網上的一份長達35頁的PDF文件的頂部,有一個據稱是Maza管理員使用的私人加密密鑰。該資料庫包括許多用戶的ICQ帳號。
在業內,ICQ意為「我找你」(I seek you),這曾是早期犯罪論壇用戶所信任的一個即時信息平台,但後來逐漸被Jabber和Telegram等更私人的網絡所取代。
而特定用戶的ICQ帳號可以被視為一個可靠的數據點,安全研究人員可以使用其連接到多個論壇使用不同暱稱的同一用戶。
網絡情報公司Intel 471對該次事件進行評估後表示,泄漏的Maza資料庫是合法的。
Intel 471發現:「該文件有3,000多個行,包含了用戶名、部分混淆的哈希密碼、電子郵件地址和其他聯繫方式。」他們進一步指出,Maza論壇的訪問者現在已被重新被定向引導至了違規公告頁面,「對泄漏數據的初步分析表明其可能具有真實性,至少泄漏的用戶記錄中有部分與我們自己的數據是吻合的」。
情報公司Flashpoint的最新報告顯示,入侵Maza的黑客已經收集了有關該網站用戶的數千個數據點,包括他們的姓名、電子郵件地址和哈希密碼。黑客還在論壇主頁上發布了兩個警告消息:「您的數據已泄露」和「此論壇已被黑客入侵」。
同在2月份,流行網絡犯罪論壇Crdclub遭到了襲擊。
根據Intel471的博客文章:「在2月,另一個網絡犯罪論壇Crdclub的管理員宣布論壇遭黑客攻擊。攻擊者利用管理員帳戶權限,誘使論壇客戶使用匯款服務,從論壇轉移了不明數目的資金。論壇的管理員答應賠償被騙者。」
緊接著在3月份,第二大、也是最受歡迎的俄語論壇Exploit也遭受了攻擊。
根據Intel 471的說法,3月1日,該網絡犯罪論壇的管理員聲稱,論壇用於保護其免受分布式拒絕服務(DDoS)攻擊的代理伺服器可能已被未知方破壞。管理員還表示,在2月27日,一個監視系統檢測到對伺服器的未經授權的安全Shell訪問,並嘗試了轉儲網絡流量。
該事件能否成為威脅,黑客們也眾說紛壇
如此集中的大規模的入侵行為讓不少用戶猜測到,這可能是某些間諜機構執行的。
「只有情報服務人員或知道伺服器所在位置的人才能做到這些,」Exploit的一位中堅人士如此說到,「一個月內有三個論壇被攻陷真是太不可思議了。我認為這些不是普通的黑客,是有人故意為之」。
一名Exploit用戶寫道:「也許它們按照以下邏輯工作,未來將沒有論壇存在,每個人之間也不會再存在信任,合作也會變得更少,也就更難找到合作夥伴,這就意味著,更少的網絡攻擊。」
其他人則迫切地想知道下一個論壇什麼時候會創建起來,並且哀嘆如果用戶之間喪失了信任,可能對組織不利。
Flashpoint在報告中指出,「雖然受陷信息似乎很多,但值得注意的是密碼已被哈希且轉儲中包含的其它數據欄位已被哈希或進一步混淆。」不過,如果撇開哈希密碼不談,也有些黑客認為這起泄露事件太陳舊,不值得成為威脅,但其他黑客正在積極嘗試如何應對。
黑吃黑早有先例
其實,這類「黑吃黑」事件也並非孤例。
去年5月,就發生過一起劫持其他用戶帳戶的黑客發現自己成為了被劫持對象的事件。
根據Ogusers.com論壇管理員發帖解釋,他的一塊硬碟被損壞,過去幾個月論壇帖子和私人消息都被清除,雖然他恢復到了備份,但備份日期僅截至2019年1月。
也正是在硬碟故障的同時,他的網站遭到了入侵。5月16日,競爭對手RaidForums管理員上傳了Ogusers的資料庫供任何人免費下載,「Ogusers 管理員承認了數據損壞,但沒有說出網站被入侵,所以我猜我是第一個告訴你們真相的,他沒有網站的最新備份,但我這裡有」。
泄露的資料庫包括了約11.3萬用戶的電子郵件地址、哈希密碼、IP 地址和私人消息,已有用戶抱怨他們開始收到釣魚郵件。
更早的時候,根據多家外媒爆料,地下黑客論壇Basetools被黑客入侵。奇葩的是,這個料是入侵黑客Mat自己抖給媒體的。不為別的,就為引起被入侵論壇的注意,逼迫該論壇支付贖金。
Basetools用戶主要在該論壇上交易多種非法產品和服務,包括被盜的支付卡數據、黑客工具和被盜的帳戶數據等。總而言之,有點像黑客的地下黑市,而且這個「黑市」有超過15萬用戶,包括20000多個工具。
Mat表示,自己已經獲得了該論壇的管理員身份信息以及論壇的各種數據,如果該論壇不支付5萬美元贖金,就要把這些信息交給執法機構。不過,Mat對媒體表示,自己並不只是為了錢,而是看不慣該論壇的管理員操縱統計數據和排名。
對於這類黑吃黑事件,不知道你有什麼看法,歡迎在評論區留言討論~
相關報道:
https://krebsonsecurity.com/2021/03/three-top-russian-cybercrime-forums-hacked/
https://intel471.com/blog/mazafaka-hacked-cybercrime-forums-exploit-crdclub-verified/