短短兩個(gè)月內(nèi)，俄羅斯四大網(wǎng)絡(luò)犯罪黑客論壇被“連根拔起”。

據(jù)安全博客Krebsonsecurity報(bào)道，過去的數(shù)周中，為數(shù)以千計(jì)“資深”網(wǎng)絡(luò)犯罪分子服務(wù)的四個(gè)老牌俄語黑客論壇被黑客入侵。在其中兩次入侵中，攻擊者獲取了論壇用戶數(shù)據(jù)庫，包括電子郵件、IP地址以及哈希密碼等信息，其中一個(gè)論壇的加密貨幣錢包密鑰(編者：通常是網(wǎng)絡(luò)犯罪論壇的“公積金”)，另一個(gè)論壇則遭遇了轉(zhuǎn)賬欺詐。

[[386766]]

讓這些犯罪論壇的會(huì)員們頗為擔(dān)心的是，多個(gè)論壇的泄漏數(shù)據(jù)可能成為“羅塞塔石碑”，被情報(bào)和執(zhí)法機(jī)構(gòu)用來關(guān)聯(lián)破譯并鎖定用戶的真實(shí)身份。

首先被黑客攻陷的是Maza(以前也被稱為“Mazafaka”)，這是一個(gè)有十多年歷史的，臭名昭著的俄羅斯地下網(wǎng)絡(luò)犯罪論壇。

過去多年，Maza是世界上最一間多產(chǎn)的網(wǎng)絡(luò)犯罪分子的“頂級(jí)會(huì)所”，也是許多犯罪活動(dòng)的重要交易場(chǎng)所，包括惡意軟件分發(fā)、洗錢、信用卡信息銷售、賬戶銷售和許多其他非法行為。該論壇被認(rèn)為是網(wǎng)絡(luò)犯罪分子中的“高端群”，進(jìn)入門檻很高。

上周初，Maza論壇會(huì)員們驚訝地發(fā)現(xiàn)，論壇被黑了。

情報(bào)公司Flashpoint的最新報(bào)告顯示，入侵Maza的黑客已經(jīng)收集了有關(guān)該網(wǎng)站用戶的數(shù)千個(gè)數(shù)據(jù)點(diǎn)，包括他們的姓名、電子郵件地址和哈希密碼。黑客還在論壇主頁上發(fā)布了兩個(gè)警告消息：“您的數(shù)據(jù)已泄露”和“此論壇已被黑客入侵”。(下圖)

根據(jù)KrebsOnSecurity的報(bào)告，本周二黑客將竊取的數(shù)據(jù)公布到了暗網(wǎng)上，使犯罪分子面臨身份暴露的風(fēng)險(xiǎn)(這多少有些諷刺意味)。而威脅情報(bào)公司Intel 471也驗(yàn)證了泄漏數(shù)據(jù)的真實(shí)性。

在線泄漏的長(zhǎng)達(dá)35頁的PDF文檔的頂部，是一個(gè)據(jù)稱是Maza管理員使用的私有加密密鑰。除用戶名、電子郵件地址等聯(lián)系信息外，該數(shù)據(jù)庫還包含許多用戶的ICQ號(hào)碼。ICQ是最早期的即時(shí)消息平臺(tái)，深受網(wǎng)絡(luò)犯罪“老炮”的信任，但此后ICQ的使用就過時(shí)了，轉(zhuǎn)向了更多的私密通訊網(wǎng)絡(luò)，例如Jabber和Telegram。

同在2月份，還有一個(gè)流行的網(wǎng)絡(luò)犯罪論壇Crdclub遭到了襲擊。根據(jù)Intel471的博客文章：“在2月，另一個(gè)網(wǎng)絡(luò)犯罪論壇Crdclub的管理員宣布論壇遭黑客攻擊管理員賬戶泄漏。攻擊者利用管理員賬戶權(quán)限誘使論壇客戶使用匯款服務(wù)(該匯款服務(wù)由論壇管理員擔(dān)保)，從論壇轉(zhuǎn)移了不明數(shù)目的資金。論壇的管理員答應(yīng)賠償被騙者。”

在Maza和Crdclub被“拿下”之前不久，1月份另兩個(gè)俄羅斯網(wǎng)絡(luò)犯罪論壇——Verified、Exploit也遭到了類似攻擊。

1月20日，俄語黑客論壇“Verified”的一位長(zhǎng)期管理員透露，該論壇的域名注冊(cè)商已被黑客入侵，論壇域名被重定向到攻擊者控制的Internet服務(wù)器，甚至論壇的比特幣錢包也被破解。該管理員在論壇中發(fā)布了遭遇黑客入侵的聲明：

據(jù)觀察，這種高級(jí)別犯罪論壇遭遇連環(huán)攻擊是極不尋常的，因?yàn)榉缸锖诳碗m然經(jīng)常會(huì)互相攻擊，但這種大型論壇被團(tuán)滅的情況實(shí)屬罕見。

漏洞利用網(wǎng)站的一些用戶假設(shè)，此次清除不是競(jìng)爭(zhēng)對(duì)手的一伙黑客的結(jié)果，而是執(zhí)法人員的結(jié)果。Krebs提出了一個(gè)黑暗的網(wǎng)絡(luò)用戶提出的以下理論：

“只有情報(bào)服務(wù)人員或知道服務(wù)器所在位置的人才能做這樣的事情……一個(gè)月內(nèi)連續(xù)黑掉三個(gè)重要論壇，這很奇怪。我認(rèn)為這些不是普通的黑客。有人故意破壞論壇。”

另一位論壇潛水用戶則推測(cè)，最近的黑客攻擊像是某些政府間諜機(jī)構(gòu)的工作。

類似地，F(xiàn)lashpoint的報(bào)告也給出了攻擊可能是政府干預(yù)的討論。如果這些黑客攻擊是執(zhí)法部門所謂，那么不得不說這是非常“新穎”的戰(zhàn)術(shù)，因?yàn)榉缸镎搲舆B被黑，將極大打擊網(wǎng)絡(luò)犯罪份子對(duì)論壇的信心和信任。

一名Exploit用戶寫道：“(長(zhǎng)此以往)將不會(huì)有(犯罪)論壇，人與人之間將不會(huì)有信任，合作減少，也更難找到合作伙伴，這意味著更少的攻擊。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文