美國執(zhí)法部門日前關(guān)閉了世界上最大的網(wǎng)絡(luò)犯罪在線論壇之一，并透露了其葡萄牙創(chuàng)始人將在聯(lián)邦法院面臨指控。然而，安全專業(yè)人士指出關(guān)閉論壇的行為可能只是暫時遏制黑客的攻擊行為，因為他們將能找到其他的方式買賣其在網(wǎng)絡(luò)攻擊中所盜取的數(shù)據(jù)。

美國司法部(DoJ)周二公布，它已經(jīng)沒收了三個域名，徹底地關(guān)閉了RaidForums網(wǎng)站。RaidForums網(wǎng)站是以英語用戶為主的網(wǎng)絡(luò)數(shù)據(jù)集散市場，其作為網(wǎng)絡(luò)信息的數(shù)據(jù)庫為不同用戶提供從勒索組織或者其他網(wǎng)絡(luò)攻擊者處購買數(shù)據(jù)的場地。根據(jù)周二發(fā)布的新聞稿，美國聯(lián)邦調(diào)查局在獲得司法授權(quán)后沒收的域名為“raidforums.com”“Rf.ws”和“Raid.lol”。同時司法部指控了RaidForums創(chuàng)始人兼首席行政長官、21歲的葡萄牙公民Diogo Santos Coelho。Diogo Santos Coelho于1月在英國被捕。他一共被指控了六項罪名，其中就包括共謀、訪問設(shè)備欺詐和嚴重身份盜竊。

據(jù)聯(lián)邦調(diào)查局稱，沒收RaidForum域名意味著該論壇的成員不能再使用該網(wǎng)站來交易被盜數(shù)據(jù)。事實上，該網(wǎng)站是眾所周知的買賣網(wǎng)絡(luò)犯罪數(shù)據(jù)的樞紐網(wǎng)站。據(jù)不完全統(tǒng)計，自2015年成立以來，RaidForums已經(jīng)出售了世界上一些最大的數(shù)據(jù)泄露事件中被盜取的100多億張消費者記錄。例如去年6月，就有網(wǎng)絡(luò)攻擊者將從約7億LinkedIn用戶的個人資料中竊取的數(shù)據(jù)發(fā)布在論壇上出售。

司法部刑事司助理司法部長Kenneth Polite在一份新聞聲明中表示RaidForums，是網(wǎng)絡(luò)罪犯進行大規(guī)模盜竊敏感個人和金融信息中獲利的主要方式之一，其作為轉(zhuǎn)售被黑客入侵或被盜數(shù)據(jù)的在線市場嚴重破壞了已有的市場秩序。Polite表示，與葡萄牙、歐盟和英國當(dāng)局的國際合作對于導(dǎo)致扣押和逮捕Coelho的集體執(zhí)法努力至關(guān)重要。

危機還未解除?

一名安全專業(yè)人士表示，此次執(zhí)法行動至少打擊了使用RaidForums的黑客團隊，并且也殺雞儆猴，對于其他的黑客市場也是一次嚴厲的警告。這意味著隨著聯(lián)邦調(diào)查局不惜余力地打擊網(wǎng)絡(luò)犯罪行動，他們的黑客市場極有可能就是下一個RaidForums。

眾包網(wǎng)絡(luò)安全公司Bugcrowd的創(chuàng)始人兼首席技術(shù)官Casey Ellis在給Threatpost的一封電子郵件中表示：司法部的執(zhí)法活動是極為重要的。因為RaidForums擾亂了市場秩序，對于網(wǎng)絡(luò)安全也造成了極大的影響，希望司法部此舉能夠?qū)⑵浞?wù)和被盜數(shù)據(jù)貨幣化的網(wǎng)絡(luò)犯罪分子造成了額外的困難和成本。這也是對其他論壇運營商的明確信號，即他們正處于司法機關(guān)嚴密的監(jiān)控之下。

然而他也表示，關(guān)閉RaidForums不太可能對遏制網(wǎng)絡(luò)犯罪活動產(chǎn)生長期影響，因為這樣也會導(dǎo)致威脅行為者改變他們攻擊和銷售的策略，通過尋找其他方法來繼續(xù)從事他們的邪惡活動并中獲利。Ellis指出：目前來看，網(wǎng)絡(luò)犯罪及其支持犯罪服務(wù)給其運營者帶來了令人難以置信的成功，也給他們創(chuàng)造了極大的利潤，因此像這樣的商業(yè)模式往往會找到一種繼續(xù)存在的方法。

事實上，另一位安全專業(yè)人士指出，RaidForums的關(guān)閉只是為其他黑客論壇提供了一個機會，以填補其被關(guān)閉之后在網(wǎng)絡(luò)犯罪社區(qū)中所留下的“自然權(quán)力真空”，使其原先的社區(qū)成員進一步涌向其他黑暗網(wǎng)站。數(shù)字風(fēng)險保護解決方案提供商Digital Shadows的高級網(wǎng)絡(luò)威脅情報分析師Chris Morgan在給Threatpost的一封電子郵件中寫道：突襲論壇的執(zhí)法活動雖然有效，但是不太可能導(dǎo)致整體網(wǎng)絡(luò)犯罪活動的停止;因為網(wǎng)絡(luò)犯罪分子非常熟悉執(zhí)法部門所關(guān)閉的平臺，所以他們也能選擇下一個論壇，使其可以永遠保持保持敏捷與流暢。

2015年成立的黑客中心

根據(jù)美國司法部所發(fā)表的聲明，RaidForums于2015年上線，最初是為組織和支持各種形式的電子騷擾活動提供在線場所，其中就包括“突襲”，即向受害者的在線通信媒體發(fā)布或發(fā)送大量聯(lián)系人信息，或者“打擊”，即向公共安全機構(gòu)虛假報告需要立即采取重大武裝執(zhí)法反應(yīng)的警告。2016年至2022年間，RaidForums作為個人買賣黑客入侵或被盜數(shù)據(jù)庫的主要在線市場，買賣的內(nèi)容涵蓋了美國和國外網(wǎng)絡(luò)攻擊受害者的敏感個人和財務(wù)信息。

據(jù)聯(lián)邦調(diào)查局稱，可以在論壇上買賣的被盜記錄包括：被盜的銀行路由和賬號、信用卡信息、登錄憑證和社會保障號碼。據(jù)司法部稱，RaidForums以會員業(yè)務(wù)模式經(jīng)營，若會員想要獲取更多的訪問權(quán)限和功能包括頂級上帝會員身份，將要向論壇交付不斷上漲的使用費用。該論壇還出售積分，允許會員訪問網(wǎng)站的特權(quán)區(qū)域，比如從受損的數(shù)據(jù)庫下載被盜的財務(wù)信息、在線憑證和個人身份數(shù)據(jù)等。據(jù)司法部稱，會員還可以通過其他方式賺取積分，例如在網(wǎng)上發(fā)布有關(guān)如何實施欺詐行為的教學(xué)課程。

創(chuàng)始人面臨指控

據(jù)司法部稱，Coelho因擔(dān)任RaidForums首席管理員而在弗吉尼亞州東區(qū)面臨六項起訴，RaidForums在他和另外的網(wǎng)站管理員的幫助下運營。據(jù)稱，Coelho和他的同謀者在他的角色中設(shè)計和管理了該平臺的軟件和計算機基礎(chǔ)設(shè)施，為其用戶制定和執(zhí)行規(guī)則，并創(chuàng)建和管理網(wǎng)站中專門用于促進買賣非法被盜數(shù)據(jù)的部分平臺。例如，該網(wǎng)站包括一個名為“泄密市場”的子論壇，一個自稱的“買賣/交易數(shù)據(jù)庫和泄漏的地方”。

據(jù)司法部稱，Coelho還親自在平臺上出售被盜數(shù)據(jù)，并通過運營收費的“官方中間人”服務(wù)直接促進非法交易。官員們表示，在這項服務(wù)中，Coelho據(jù)稱是RaidForums成員之間值得信賴的中介，他們尋求買賣RaidForums上的黑客數(shù)據(jù)。此次合作的執(zhí)法機構(gòu)包括：聯(lián)邦調(diào)查局的美國華盛頓外地辦事處。特勤局、聯(lián)合網(wǎng)絡(luò)犯罪行動特別工作組(歐洲刑警組織)、英國國家犯罪局、瑞典警察局、羅馬尼亞國家警察局、司法警察局、美國國稅局刑事調(diào)查局、德國聯(lián)邦刑事警察局。

本文翻譯自：https://threatpost.com/shut-down-raidforums-hacking-marketplace/179279/如若轉(zhuǎn)載，請注明原文地址。