[[387289]]

大數(shù)據(jù)文摘出品

作者：Caleb

瓜從天降，這哪有不吃的道理。

短短兩個月內(nèi)，俄羅斯四大網(wǎng)絡(luò)犯罪黑客論壇就被“連根拔起”。

根據(jù)安全博客Krebsonsecurity報道，過去數(shù)周，為數(shù)以千計“資深”網(wǎng)絡(luò)犯罪分子服務(wù)的四個老牌俄語黑客論壇相繼遭到入侵。

其中兩次入侵，攻擊者獲取了論壇用戶數(shù)據(jù)庫，包括電子郵件、IP地址以及哈希密碼等信息，其中一個的加密貨幣錢包密鑰，另一個論壇則遭遇了轉(zhuǎn)賬欺詐。

在這些論壇上活躍的用戶都擔(dān)心，該次事件或許會成為“羅塞塔石碑”，被執(zhí)法部門用于確定他們的真實(shí)身份。

黑客論壇被黑客入侵，這難道就是典型的“黑吃黑”?難怪有不少吃瓜網(wǎng)友評論到，“小丑竟是我自己”。

四大論壇無一幸免，用戶擔(dān)心身份被曝光

首先遭到攻擊的是俄語論壇Verified。

1月20日，俄語論壇Verified一位長期管理員透露，該社區(qū)的域名注冊商已被黑客入侵，并且該站點(diǎn)的域名已重定向到攻擊者控制的Internet服務(wù)器，甚至論壇的比特幣錢包也遭到了破解。

他表示：

不久之后，管理員更新帖子，說到：

2月15日，管理員發(fā)布了一封據(jù)稱代表入侵者發(fā)送的消息，入侵者聲稱，他們在1月16日至20日之間入侵了Verified的域名注冊商。

隨后在2月，論壇Maza(也被稱為“Mazafaka”“MFclub”)也遭到了攻擊。這是一個有十多年歷史的、臭名昭著的俄羅斯地下網(wǎng)絡(luò)犯罪論壇。

過去多年，Maza是世界上最多產(chǎn)的一個網(wǎng)絡(luò)犯罪分子“頂級會所”，也是許多犯罪活動的重要交易場所，包括惡意軟件分發(fā)、洗錢、信用卡信息銷售、賬戶銷售和許多其他非法行為。

Maza也一直被視為業(yè)內(nèi)的“高端用戶”群，準(zhǔn)入門檻很高?；蛟S也正是因?yàn)榇?，不少用戶已?jīng)從Maza轉(zhuǎn)移到了ShadowCrew等網(wǎng)站。

就在上周，這個高端會所的會員們發(fā)現(xiàn)，論壇被黑了。

泄露在網(wǎng)上的一份長達(dá)35頁的PDF文件的頂部，有一個據(jù)稱是Maza管理員使用的私人加密密鑰。該數(shù)據(jù)庫包括許多用戶的ICQ賬號。

在業(yè)內(nèi)，ICQ意為“我找你”(I seek you)，這曾是早期犯罪論壇用戶所信任的一個即時信息平臺，但后來逐漸被Jabber和Telegram等更私人的網(wǎng)絡(luò)所取代。

而特定用戶的ICQ賬號可以被視為一個可靠的數(shù)據(jù)點(diǎn)，安全研究人員可以使用其連接到多個論壇使用不同昵稱的同一用戶。

網(wǎng)絡(luò)情報公司Intel 471對該次事件進(jìn)行評估后表示，泄漏的Maza數(shù)據(jù)庫是合法的。

Intel 471發(fā)現(xiàn)：“該文件有3,000多個行，包含了用戶名、部分混淆的哈希密碼、電子郵件地址和其他聯(lián)系方式。”他們進(jìn)一步指出，Maza論壇的訪問者現(xiàn)在已被重新被定向引導(dǎo)至了違規(guī)公告頁面，“對泄漏數(shù)據(jù)的初步分析表明其可能具有真實(shí)性，至少泄漏的用戶記錄中有部分與我們自己的數(shù)據(jù)是吻合的”。

情報公司Flashpoint的最新報告顯示，入侵Maza的黑客已經(jīng)收集了有關(guān)該網(wǎng)站用戶的數(shù)千個數(shù)據(jù)點(diǎn)，包括他們的姓名、電子郵件地址和哈希密碼。黑客還在論壇主頁上發(fā)布了兩個警告消息：“您的數(shù)據(jù)已泄露”和“此論壇已被黑客入侵”。

同在2月份，流行網(wǎng)絡(luò)犯罪論壇Crdclub遭到了襲擊。

根據(jù)Intel471的博客文章：“在2月，另一個網(wǎng)絡(luò)犯罪論壇Crdclub的管理員宣布論壇遭黑客攻擊。攻擊者利用管理員賬戶權(quán)限，誘使論壇客戶使用匯款服務(wù)，從論壇轉(zhuǎn)移了不明數(shù)目的資金。論壇的管理員答應(yīng)賠償被騙者。”

緊接著在3月份，第二大、也是最受歡迎的俄語論壇Exploit也遭受了攻擊。

根據(jù)Intel 471的說法，3月1日，該網(wǎng)絡(luò)犯罪論壇的管理員聲稱，論壇用于保護(hù)其免受分布式拒絕服務(wù)(DDoS)攻擊的代理服務(wù)器可能已被未知方破壞。管理員還表示，在2月27日，一個監(jiān)視系統(tǒng)檢測到對服務(wù)器的未經(jīng)授權(quán)的安全Shell訪問，并嘗試了轉(zhuǎn)儲網(wǎng)絡(luò)流量。

該事件能否成為威脅，黑客們也眾說紛壇

如此集中的大規(guī)模的入侵行為讓不少用戶猜測到，這可能是某些間諜機(jī)構(gòu)執(zhí)行的。

“只有情報服務(wù)人員或知道服務(wù)器所在位置的人才能做到這些，”Exploit的一位中堅人士如此說到，“一個月內(nèi)有三個論壇被攻陷真是太不可思議了。我認(rèn)為這些不是普通的黑客，是有人故意為之”。

一名Exploit用戶寫道：“也許它們按照以下邏輯工作，未來將沒有論壇存在，每個人之間也不會再存在信任，合作也會變得更少，也就更難找到合作伙伴，這就意味著，更少的網(wǎng)絡(luò)攻擊。”

其他人則迫切地想知道下一個論壇什么時候會創(chuàng)建起來，并且哀嘆如果用戶之間喪失了信任，可能對組織不利。

Flashpoint在報告中指出，“雖然受陷信息似乎很多，但值得注意的是密碼已被哈希且轉(zhuǎn)儲中包含的其它數(shù)據(jù)字段已被哈?；蜻M(jìn)一步混淆。”不過，如果撇開哈希密碼不談，也有些黑客認(rèn)為這起泄露事件太陳舊，不值得成為威脅，但其他黑客正在積極嘗試如何應(yīng)對。

黑吃黑早有先例

其實(shí)，這類“黑吃黑”事件也并非孤例。

去年5月，就發(fā)生過一起劫持其他用戶帳戶的黑客發(fā)現(xiàn)自己成為了被劫持對象的事件。

根據(jù)Ogusers.com論壇管理員發(fā)帖解釋，他的一塊硬盤被損壞，過去幾個月論壇帖子和私人消息都被清除，雖然他恢復(fù)到了備份，但備份日期僅截至2019年1月。

也正是在硬盤故障的同時，他的網(wǎng)站遭到了入侵。5月16日，競爭對手RaidForums管理員上傳了Ogusers的數(shù)據(jù)庫供任何人免費(fèi)下載，“Ogusers 管理員承認(rèn)了數(shù)據(jù)損壞，但沒有說出網(wǎng)站被入侵，所以我猜我是第一個告訴你們真相的，他沒有網(wǎng)站的最新備份，但我這里有”。

泄露的數(shù)據(jù)庫包括了約11.3萬用戶的電子郵件地址、哈希密碼、IP 地址和私人消息，已有用戶抱怨他們開始收到釣魚郵件。

更早的時候，根據(jù)多家外媒爆料，地下黑客論壇Basetools被黑客入侵。奇葩的是，這個料是入侵黑客Mat自己抖給媒體的。不為別的，就為引起被入侵論壇的注意，逼迫該論壇支付贖金。

Basetools用戶主要在該論壇上交易多種非法產(chǎn)品和服務(wù)，包括被盜的支付卡數(shù)據(jù)、黑客工具和被盜的帳戶數(shù)據(jù)等。總而言之，有點(diǎn)像黑客的地下黑市，而且這個“黑市”有超過15萬用戶，包括20000多個工具。

Mat表示，自己已經(jīng)獲得了該論壇的管理員身份信息以及論壇的各種數(shù)據(jù)，如果該論壇不支付5萬美元贖金，就要把這些信息交給執(zhí)法機(jī)構(gòu)。不過，Mat對媒體表示，自己并不只是為了錢，而是看不慣該論壇的管理員操縱統(tǒng)計數(shù)據(jù)和排名。

相關(guān)報道：

• https://krebsonsecurity.com/2021/03/three-top-russian-cybercrime-forums-hacked/
• https://intel471.com/blog/mazafaka-hacked-cybercrime-forums-exploit-crdclub-verified/

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文