Halo, policja, proszę przyjechać. Zhakowano największe rosyjskie fora dla cyberprzestępców
Użytkownicy rosyjskich for skupiających hakerski półświatek obawiają się o ustalenie ich prawdziwej tożsamości. Cyberwłamywaczom udało się pokonać zabezpieczenia społeczności Mazafaka, Verified, Exploit i Crdclub.
Haker to nie to samo co cyberprzestępca. Są jednak miejsca w Internecie, które skupiają przede wszystkim tych specjalistów od cyberbezpieczeństwa, którzy wykorzystują swoją specjalistyczną wiedzę do nielegalnych działań. Z jakiegoś względu szczególną popularnością – i wysokiej klasy zabezpieczeniami – cechują się rosyjskojęzyczne fora internetowe, skupiające głównie wspomnianych cyberprzestępców.
Nie ma jednak zabezpieczeń, których nie dałoby się złamać. W przeciągu ostatnich tygodni aż cztery tego rodzaju fora zostały spenetrowane przez hakerów, o czym informuje zajmująca się cyberbezpieczeństwem firma Intel 471.
Włamywacz włamywaczowi wilkiem. Wykradziono wrażliwe dane użytkowników for Mazafaka, Verified, Exploit i Crdclub.
Firmie Intel 471 udało się ustalić, że wśród zdobyczy hakerów odpowiedzialnych za włamanie na Mazafaka, znalazły się, między innymi, prywatne klucze szyfrujące wykorzystywane przez administratorów forum, a także numery komunikatora ICQ, z którego korzystała część użytkowników forum. Te numery mogą posłużyć do identyfikacji użytkowników, którzy ze zrozumiałych względów cenili sobie zapewnianą na forum anonimowość. Oprócz tego wykradziono loginy, zahashowane hasła i adresy mailowe użytkowników.
Potencjalne problemy czekają też użytkowników forum Verified. Tu włamywaczom udało się przejąć domenę forum, a użytkownicy byli przekierowywani na jego bliźniaczą kopię – tyle że kontrolowaną przez włamywaczy. Dodatkowo włamano się na bitcoinowy portfel administracji tego forum, choć – co administracja oświadczyła – kwota tam przechowywana była dość niewielka, więc trudno ów włam nazwać szkodliwym, przynajmniej wedle oświadczenia. Przejęcie domeny ponoć wystarczyło, by przechwycić prywatne wiadomości między użytkownikami, ich hasła, informacje o jabberowych kontach oraz depozytach kryptowalutowych.
Włamania dokonano też na forum Exploit, jednak tu szkody prawdopodobnie są minimalne. Przejęty został tylko serwer chroniący forum przed atakami DDoS. Poszkodowane też zostało forum Crdclub, gdzie włamywacze przejęli konta administratora, po czym zaczęli namawiać do depozytów w Bitcoinach na wskazany przez nich portfel. Podobno jednak nie udało się wyłudzić większych kwot.
„Podejrzewamy rosyjskie służby specjalne”.
Wszystkie ataki miały miejsce w przeciągu ostatnich tygodni, co jest co najmniej nietypowe i co wyklucza wewnętrzne porachunki między cyberprzestępcami. Użytkownicy wypytani przez Intel 471 zgodnie podejrzewają, że to może być zorganizowana akcja rosyjskich organów ścigania, chcących utrudnić dalsze działania cyberprzestępców. Na tego rodzaju forach dokonywane są zlecenia na ataki, a hakerzy ze złej strony mocy organizują swoje akcje.
Teoria o działaniu rosyjskich służb pozostaje jednak wyłącznie teorią i nie ma na nią dowodów. Nie jest też jasne jaka dokładnie część użytkowników tych for to faktycznie cyberprzestępcy, a jaka to zwykli użytkownicy, których tematyka hakowania – niezależnie od przyjętej etyki – fascynuje. Do dziś nikt nie przyznał się do ataków.
