За последние несколько недель были взломаны три из самых длинных и наиболее уважаемых русскоязычных онлайн-форумов, обслуживающих тысячи опытных киберпреступников. В обоих случаях злоумышленники создали пользовательские базы данных форумов, включая электронные и веб-адреса, а также хэш-пароли. Члены всех трех форумов обеспокоены тем, что эти инциденты могут действовать как виртуальная розетка, связывающая реальные личности одних и тех же пользователей на нескольких форумах преступности.
Заметки об утечке базы данных Masafaka Crime Forum были опубликованы в Интернете за последние 48 часов.
Во вторник кто-то бросил в темную сеть тысячи имен пользователей, адресов электронной почты и непонятных паролей. Масафака (Сестра «Масса, ”“MFclub«), Специализированный криминальный форум уже более десяти лет, обслуживает самых опытных и печально известных российских кибер-воров.
В верхней части 35-страничного PDF-файла, просочившегося в сеть, находится закрытый ключ шифрования, который предположительно используется руководителями MASA. База данных также содержит номера ICQ для нескольких пользователей. ICQ, также известный как «Я ищу тебя», был сайтом мгновенных новостей, которому доверяли бесчисленные первые обитатели этих старых криминальных форумов, прежде чем его использование стало дальше от цивилизации в пользу частных сетей. Джабер И Телеграф.
Это важно, потому что номера ICQ, привязанные к определенным учетным записям, часто являются надежной точкой данных, и аналитики безопасности могут использовать их для подключения нескольких пользователей к одному и тому же пользователю на нескольких форумах и под разными псевдонимами с течением времени.
Киберразведка Intel 471 Утечка базы данных Маса оценивается как систематическая.
Intel 471 обнаружила, что «файл содержит более 3000 строк, включая имена пользователей, несколько непонятные хэши паролей, адреса электронной почты и другие контактные данные», и теперь массовые посетители форума перенаправляются на страницу уведомления о нарушении. «Предварительный анализ просочившихся данных показал их потенциальную надежность, поскольку, по крайней мере, часть утекших пользовательских записей связана с нашими собственными резервами данных».
Нападение на Масу произошло всего через несколько недель после разграбления еще одного крупного российского преступления. 20 января давний администратор Форума русского языка. Проверено Регистратор домена сообщества был взломан, а домен сайта был перенаправлен на веб-сервер, контролируемый злоумышленниками.
Нота проверенного администратора форума о взломе его регистратора в январе.
«Наши [bitcoin] Бумажник взорвался. К счастью, мы не особо вложили в это дело, но в любом случае это был неприятный инцидент. Как только обстоятельства выяснились, администратор идеологически предположил, что все учетные записи форума могли быть скомпрометированы (вероятность мала, но это так). В нашем бизнесе играть осторожно — это хорошо. Итак, мы решили сбросить все коды. В этом нет ничего страшного. Просто запишите их и используйте с этого момента. ”
Через некоторое время администратор обновил свой пост и сказал:
«Мы получили сообщения о том, что база данных форума была отфильтрована при взломе форума. Пароли всех учетных записей были принудительно сброшены. Отправьте эту информацию всем, кого вы знаете. Форум был взломан регистратором домена.
15 февраля администратор опубликовал сообщение, якобы отправленное от имени злоумышленников, в котором утверждалось, что они взломали проверенный регистратор домена с 16 по 20 января.
«Теперь должно быть ясно, что администрация совета не выполняет приемлемую работу по обеспечению безопасности всего этого объекта», — пояснил злоумышленник. «Часто из-за лени или некомпетентности они все бросали. Но главным сюрпризом для нас было то, что они сохранили все пользовательские данные, включая файлы cookie, предложения, IP-адреса первых впечатлений, анализ входа в систему и все остальное».
Другие источники ясно дают понять, что у проверенных пользователей были украдены десятки тысяч личных сообщений, включая информацию о депозитах и снятии биткойнов, а также частные контакты Jabber.
Маса и проверенный компромисс — и третий по величине форум — обеспокоены тем, что многие члены сообщества могут раскрыть свои настоящие личности. С помощью — Следующий по величине и популярности российский форум после проверки на этой неделе испытал явный компромисс.
Согласно Intel 471, 1 марта 2021 года администратор форума Exploit Cybercrime Forum заявил, что прокси-сервер, используемый для защиты атаки распределенного отказа в обслуживании (DTOS), мог быть взломан неизвестной стороной. Администратор 27 февраля 2021 года система слежения обнаружила несанкционированный доступ к серверу через защищенную оболочку и попыталась уменьшить сетевой трафик.
Некоторые члены совета предположили, что эти недавние компромиссы могут показаться работой какого-то правительственного шпионского агентства.
«Только те, кто знает, где находятся разведывательные службы или серверы, могут вытаскивать подобные вещи», — сказал Эксплойт. «Три форума в месяц — это разные вещи. Я не думаю, что они обычные хакеры. Кто-то намеренно уничтожает форумы».
Другие громко гадают, какой форум упадет следующим, и потеряли доверие среди пользователей, которые плохо разбираются в бизнесе.
Пользователь-эксплуататор написал: «Возможно, они действуют по следующей логике. «Не будет форумов, доверия между всеми, меньше сотрудничества, труднее найти партнеров — меньше атак».
Обновление, 4 марта, 18:58 и: Intel сообщает, что недавно у 471 был четвертый криминальный форум. Из Сообщение блога Теперь они сообщают об этих событиях: «В феврале Crdclub, администратор другого популярного форума по киберпреступности, объявил, что форум продолжает атаку, в результате которой была взломана учетная запись администратора. При этом исполнитель атаки смог заманить клиентов форума использовать предполагаемую службу денежных переводов, подтвержденную администраторами форума. Это ложь, и в результате неизвестная сумма была перенаправлена с форума. Руководство форума пообещало расплатиться с теми, кто совершил мошенничество. Никакая другая информация об атаке не была скомпрометирована. ”
Теги: Эксплуатационный взлом, Intel 471, Massa, Massafaka Hack, MF Club, проверенный взлом