短短两个月内,俄罗斯四大网络犯罪黑客论坛被“连根拔起”。
据安全博客Krebsonsecurity报道,过去的数周中,为数以千计“资深”网络犯罪分子服务的四个老牌俄语黑客论坛被黑客入侵。在其中两次入侵中,攻击者获取了论坛用户数据库,包括电子邮件、IP地址以及哈希密码等信息,其中一个论坛的加密货币钱包密钥(编者:通常是网络犯罪论坛的“公积金”),另一个论坛则遭遇了转账欺诈。
让这些犯罪论坛的会员们颇为担心的是,多个论坛的泄漏数据可能成为“罗塞塔石碑”,被情报和执法机构用来关联破译并锁定用户的真实身份。
首先被黑客攻陷的是Maza(以前也被称为“Mazafaka”),这是一个有十多年历史的,臭名昭著的俄罗斯地下网络犯罪论坛。
过去多年,Maza是世界上最一间多产的网络犯罪分子的“顶级会所”,也是许多犯罪活动的重要交易场所,包括恶意软件分发、洗钱、信用卡信息销售、账户销售和许多其他非法行为。该论坛被认为是网络犯罪分子中的“高端群”,进入门槛很高。
上周初,Maza论坛会员们惊讶地发现,论坛被黑了。
情报公司Flashpoint的最新报告显示,入侵Maza的黑客已经收集了有关该网站用户的数千个数据点,包括他们的姓名、电子邮件地址和哈希密码。黑客还在论坛主页上发布了两个警告消息:“您的数据已泄露”和“此论坛已被黑客入侵”。(下图)
根据KrebsOnSecurity的报告,本周二黑客将窃取的数据公布到了暗网上,使犯罪分子面临身份暴露的风险(这多少有些讽刺意味)。而威胁情报公司Intel 471也验证了泄漏数据的真实性。
在线泄漏的长达35页的PDF文档的顶部,是一个据称是Maza管理员使用的私有加密密钥。除用户名、电子邮件地址等联系信息外,该数据库还包含许多用户的ICQ号码。ICQ是最早期的即时消息平台,深受网络犯罪“老炮”的信任,但此后ICQ的使用就过时了,转向了更多的私密通讯网络,例如Jabber和Telegram。
同在2月份,还有一个流行的网络犯罪论坛Crdclub遭到了袭击。根据Intel471的博客文章:“在2月,另一个网络犯罪论坛Crdclub的管理员宣布论坛遭黑客攻击管理员账户泄漏。攻击者利用管理员账户权限诱使论坛客户使用汇款服务(该汇款服务由论坛管理员担保),从论坛转移了不明数目的资金。论坛的管理员答应赔偿被骗者。”
在Maza和Crdclub被“拿下”之前不久,1月份另两个俄罗斯网络犯罪论坛——Verified、Exploit也遭到了类似攻击。
1月20日,俄语黑客论坛“Verified”的一位长期管理员透露,该论坛的域名注册商已被黑客入侵,论坛域名被重定向到攻击者控制的Internet服务器,甚至论坛的比特币钱包也被破解。该管理员在论坛中发布了遭遇黑客入侵的声明:
据观察,这种高级别犯罪论坛遭遇连环攻击是极不寻常的,因为犯罪黑客虽然经常会互相攻击,但这种大型论坛被团灭的情况实属罕见。
漏洞利用网站的一些用户假设,此次清除不是竞争对手的一伙黑客的结果,而是执法人员的结果。Krebs提出了一个黑暗的网络用户提出的以下理论:
“只有情报服务人员或知道服务器所在位置的人才能做这样的事情……一个月内连续黑掉三个重要论坛,这很奇怪。我认为这些不是普通的黑客。有人故意破坏论坛。”
另一位论坛潜水用户则推测,最近的黑客攻击像是某些政府间谍机构的工作。
类似地,Flashpoint的报告也给出了攻击可能是政府干预的讨论。如果这些黑客攻击是执法部门所谓,那么不得不说这是非常“新颖”的战术,因为犯罪论坛接连被黑,将极大打击网络犯罪份子对论坛的信心和信任。
一名Exploit用户写道:“(长此以往)将不会有(犯罪)论坛,人与人之间将不会有信任,合作减少,也更难找到合作伙伴,这意味着更少的攻击。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】