大数据文摘出品
作者:Caleb
瓜从天降,这哪有不吃的道理。
短短两个月内,俄罗斯四大网络犯罪黑客论坛就被“连根拔起”。
根据安全博客Krebsonsecurity报道,过去数周,为数以千计“资深”网络犯罪分子服务的四个老牌俄语黑客论坛相继遭到入侵。
其中两次入侵,攻击者获取了论坛用户数据库,包括电子邮件、IP地址以及哈希密码等信息,其中一个的加密货币钱包密钥,另一个论坛则遭遇了转账欺诈。
在这些论坛上活跃的用户都担心,该次事件或许会成为“罗塞塔石碑”,被执法部门用于确定他们的真实身份。
黑客论坛被黑客入侵,这难道就是典型的“黑吃黑”?难怪有不少吃瓜网友评论到,“小丑竟是我自己”。
四大论坛无一幸免,用户担心身份被曝光
首先遭到攻击的是俄语论坛Verified。
1月20日,俄语论坛Verified一位长期管理员透露,该社区的域名注册商已被黑客入侵,并且该站点的域名已重定向到攻击者控制的Internet服务器,甚至论坛的比特币钱包也遭到了破解。
他表示:
| “我们的(比特币)钱包已被破解。幸运的是,我们没有在其中存放大量东西,但不管怎样这都是相当令人不愉快的。以如今这个情况来说,理论上讲,该论坛的所有帐户都可能已经遭到入侵(可能性很低,但可能存在)。在我们这行中,保持安全是最高法则。因此,我们决定重设所有用户的密码。这没什么大不了的。只需写下它们,然后从现在开始使用它们即可。” |
不久之后,管理员更新帖子,说到:
| “当论坛遭到黑客入侵时,我们收到的消息是论坛数据库已被窃取。每个人的帐户密码都被强制重置。将此信息传递给你认识的人。” |
2月15日,管理员发布了一封据称代表入侵者发送的消息,入侵者声称,他们在1月16日至20日之间入侵了Verified的域名注册商。
| 攻击者解释说,“现在应该很清楚,论坛管理部门在这件事的安全性方面做得还不够。”“很可能是出于懒惰或无能,他们放弃了整个事情。但令我们感到惊讶的是,他们保存了所有用户数据,包括cookie、引荐来源网址、首次注册的IP地址、登录分析等内容。” |
随后在2月,论坛Maza(也被称为“Mazafaka”“MFclub”)也遭到了攻击。这是一个有十多年历史的、臭名昭著的俄罗斯地下网络犯罪论坛。
过去多年,Maza是世界上最多产的一个网络犯罪分子“顶级会所”,也是许多犯罪活动的重要交易场所,包括恶意软件分发、洗钱、信用卡信息销售、账户销售和许多其他非法行为。
Maza也一直被视为业内的“高端用户”群,准入门槛很高。或许也正是因为此,不少用户已经从Maza转移到了ShadowCrew等网站。
就在上周,这个高端会所的会员们发现,论坛被黑了。
泄露在网上的一份长达35页的PDF文件的顶部,有一个据称是Maza管理员使用的私人加密密钥。该数据库包括许多用户的ICQ账号。
在业内,ICQ意为“我找你”(I seek you),这曾是早期犯罪论坛用户所信任的一个即时信息平台,但后来逐渐被Jabber和Telegram等更私人的网络所取代。
而特定用户的ICQ账号可以被视为一个可靠的数据点,安全研究人员可以使用其连接到多个论坛使用不同昵称的同一用户。
网络情报公司Intel 471对该次事件进行评估后表示,泄漏的Maza数据库是合法的。
Intel 471发现:“该文件有3,000多个行,包含了用户名、部分混淆的哈希密码、电子邮件地址和其他联系方式。”他们进一步指出,Maza论坛的访问者现在已被重新被定向引导至了违规公告页面,“对泄漏数据的初步分析表明其可能具有真实性,至少泄漏的用户记录中有部分与我们自己的数据是吻合的”。
情报公司Flashpoint的最新报告显示,入侵Maza的黑客已经收集了有关该网站用户的数千个数据点,包括他们的姓名、电子邮件地址和哈希密码。黑客还在论坛主页上发布了两个警告消息:“您的数据已泄露”和“此论坛已被黑客入侵”。
同在2月份,流行网络犯罪论坛Crdclub遭到了袭击。
根据Intel471的博客文章:“在2月,另一个网络犯罪论坛Crdclub的管理员宣布论坛遭黑客攻击。攻击者利用管理员账户权限,诱使论坛客户使用汇款服务,从论坛转移了不明数目的资金。论坛的管理员答应赔偿被骗者。”
紧接着在3月份,第二大、也是最受欢迎的俄语论坛Exploit也遭受了攻击。
根据Intel 471的说法,3月1日,该网络犯罪论坛的管理员声称,论坛用于保护其免受分布式拒绝服务(DDoS)攻击的代理服务器可能已被未知方破坏。管理员还表示,在2月27日,一个监视系统检测到对服务器的未经授权的安全Shell访问,并尝试了转储网络流量。
该事件能否成为威胁,黑客们也众说纷坛
如此集中的大规模的入侵行为让不少用户猜测到,这可能是某些间谍机构执行的。
“只有情报服务人员或知道服务器所在位置的人才能做到这些,”Exploit的一位中坚人士如此说到,“一个月内有三个论坛被攻陷真是太不可思议了。我认为这些不是普通的黑客,是有人故意为之”。
一名Exploit用户写道:“也许它们按照以下逻辑工作,未来将没有论坛存在,每个人之间也不会再存在信任,合作也会变得更少,也就更难找到合作伙伴,这就意味着,更少的网络攻击。”
其他人则迫切地想知道下一个论坛什么时候会创建起来,并且哀叹如果用户之间丧失了信任,可能对组织不利。
Flashpoint在报告中指出,“虽然受陷信息似乎很多,但值得注意的是密码已被哈希且转储中包含的其它数据字段已被哈希或进一步混淆。”不过,如果撇开哈希密码不谈,也有些黑客认为这起泄露事件太陈旧,不值得成为威胁,但其他黑客正在积极尝试如何应对。
黑吃黑早有先例
其实,这类“黑吃黑”事件也并非孤例。
去年5月,就发生过一起劫持其他用户帐户的黑客发现自己成为了被劫持对象的事件。
根据Ogusers.com论坛管理员发帖解释,他的一块硬盘被损坏,过去几个月论坛帖子和私人消息都被清除,虽然他恢复到了备份,但备份日期仅截至2019年1月。
也正是在硬盘故障的同时,他的网站遭到了入侵。5月16日,竞争对手RaidForums管理员上传了Ogusers的数据库供任何人免费下载,“Ogusers 管理员承认了数据损坏,但没有说出网站被入侵,所以我猜我是第一个告诉你们真相的,他没有网站的最新备份,但我这里有”。
泄露的数据库包括了约11.3万用户的电子邮件地址、哈希密码、IP 地址和私人消息,已有用户抱怨他们开始收到钓鱼邮件。
更早的时候,根据多家外媒爆料,地下黑客论坛Basetools被黑客入侵。奇葩的是,这个料是入侵黑客Mat自己抖给媒体的。不为别的,就为引起被入侵论坛的注意,逼迫该论坛支付赎金。
Basetools用户主要在该论坛上交易多种非法产品和服务,包括被盗的支付卡数据、黑客工具和被盗的帐户数据等。总而言之,有点像黑客的地下黑市,而且这个“黑市”有超过15万用户,包括20000多个工具。
Mat表示,自己已经获得了该论坛的管理员身份信息以及论坛的各种数据,如果该论坛不支付5万美元赎金,就要把这些信息交给执法机构。不过,Mat对媒体表示,自己并不只是为了钱,而是看不惯该论坛的管理员操纵统计数据和排名。
相关报道:
- https://krebsonsecurity.com/2021/03/three-top-russian-cybercrime-forums-hacked/
- https://intel471.com/blog/mazafaka-hacked-cybercrime-forums-exploit-crdclub-verified/
【本文是51CTO专栏机构大数据文摘的原创译文,微信公众号“大数据文摘( id: BigDataDigest)”】
