За последние недели взломали 4 крупных русскоязычных хакерских форума

    Компания Krebsonsecurity сообщила, что за несколько прошедших недель было взломано четыре самых старых и популярных русскоязычных форумов для киберпреступников. В двух случаях взломщики получили доступ к базам данных пользователей с адресами электронных почт и хешированными паролями. Участники форумов переживают, что их личности могут быть идентифицированы путём сопоставления данных через виртуальную версию Rosetta Stone.

    Rosetta Stone — программное обеспечение, которое в своей работе использует комбинации из текста, изображений и звука для изучения иностранного языка через интуитивный подход. Похожий метод может быть использован для сопоставления анонимных аккаунтов на нелегальных форумах с аккаунтами этих же людей, но уже вне закрытого комьюнити.

    По данным Krebsonsecurity, ссылки на украденную базу данных форума Mazafaka появились 3 и 4 марта. Во вторник появились данные тысяч пользователей с адресами электронной почты и зашифрованными паролями. Форум Mazafaka (Maza, MFclub) существует больше десяти лет и за это время, там были замечены наиболее опытные и известные русские киберпреступники.

    Сотрудники Krebsonsecurity обнаружили 35-страничный документ в формате .pdf с приватным ключом шифрования, который предположительно использовали администраторы Maza. В базе данных также есть номера ICQ, где до появления Jabber и Telegram происходило общение пользователей.

    По мнению сотрудников компании, именно номера ICQ представляют наибольший интерес среди всех утёкших данных, так как они часто привязаны к другим учётным записям, что позволит быстро сопоставить различные аккаунты с конкретным человеком.

    Компания Intel 471, которая занимается цифровой разведкой, считает, что украденная база данных настоящая. Она обнаружила, что в базе было более 3000 строк с информацией о пользователях. Кроме этого, на самом форуме появилась переадресация на страницу с предупреждением об утечке. Представители Intel 471 также сопоставили украденные данные с собственными исследованиями и обнаружили частичную корреляцию, что также подтвердило достоверность опубликованной информации.

    Атака на форум Maza произошла через несколько недель после того, как другой крупный русскоязычный ресурс пострадал от действий взломщиков. 20 января администратор сайта Verified сообщил, что регистратор доменов был взломан и домен форума перенаправляет посетителей на сервер, контролируемый хакерами.

    В своей заметке администратор форума отметил, что биткоин-кошелёк был взломан, но на нём не было крупной суммы. После этого инцидента он предположил, что данные пользователей теоретически тоже могли пострадать. После этого все данные были сброшены, а пользователям предложили использовать новые. Немного позднее администратор подтвердил, что утечка всё-таки произошла, после чего все пароли были принудительно аннулированы. Форум взломали через регистратора доменов, подменили серверы доменных имён и трафик перенаправили через сниффер.

    15 февраля руководство Verified опубликовало письмо от взломщиков, в котором они обвинили администраторов форума в некомпетентности из-за того, что на серверах хранились данные пользователей, среди которых — куки-файлы, рефереры (приглашающие аккаунты), ip-адреса первой регистрации, аналитику входов и т.д.

    Другие источники рассказали, что были украдены десятки тысяч личных сообщений между участниками форума, информация о биткоин-депозитах и о выводе средств, а также частные контакты Jabber.

    Третьим пострадавшим стал форум Expoit, где по данным Intel 471, администратор 1 марта рассказал о возможной угрозе из-за скомпрометированных данных прокси-сервера, который использовали для защиты от DDoS-атак. Администратор форума заявил, что 27 февраля 2021 года система мониторинга обнаружила признаки несанкционированного доступа к серверу и попытку сброса сетевого трафика.

    Вечером, 4 марта, Intel 471 сообщила, что обнаружила проблемы у четвёртого форума по схожей тематике. В феврале руководитель Crdclub, рассказал, что одна из учётных записей администрации была взломана и через неё пользователей вынуждали воспользоваться системой денежных переводов, за которую якобы поручились владельцы ресурса. Crdclub пообещал возместить ущерб обманутым пользователям.

    Сотрудники Krebsonsecurity нашли сообщения участников форумов, в которых они высказывали опасения, что подобные действия выглядят как запланированная крупномасштабная операция правительственных органов.

    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 14

      +8

      Внезапно выяснилось, что советы не оставлять свои данные, не публиковать о себе информацию лишнюю, меньше писать, использовать p2p шифрование в важной переписке, ходить с левых ip, если хочешь быть анонимным — работают и в даркнет форумах. Удивительно)

        0

        А с чего Вы взяли, что эти форумы из даркнета? Как минимум один я смутно припоминаю, и тогда он был в обычном интернете. Я уже молчу про ICQ в профайлах, тут никакой даркнет уже не поможет.

          +1

          Я имел в виду именно направленность, а не .onion адрес. Вы правы, не точно выразился.

        –10
        Пароль забыли на гитхабе. Или движок форумов от МС.
          –5

          благодаря этой новости, я узнал что существуют такие форумы и от них надо держаться подальше.


          а так да: vmware/virtbox и нулевая винда /линукс с впн/туннелем на анонимные сервисы или купленный анонимно впс в малопримечательной стране (bg lv vn md к примеру).


          и само собой протирать руки и прочие участвующие в процессе органы спиртовыми салфетками до и после.

            +9
            Написали бы в заголовке, что «киберпреступных форума», а то «хакеры» как-то расплывчато звучит.
              +3

              Я вот первым делом подумал о людях копающихся в прошивках телефонов с 4pda… Оказалось совсем не о них речь

              +3
              Rosetta Stone — это камень, с идентичными по содержанию надписями на разных языках, с помощью которого Шампольон смог расшифровать египетские иероглифы. Так что отсылка к ПО для изучения иностранных языков малость вторична.
                +1
                А нехрен кучу яваскриптов в код сайта вставлять, включая гугл-аналитикс, яндекс метрику и прочую следящую дичь. И клоудфларой сайт накрывать без шифрования трафика СЕРВЕР <---> CF. Админы сами забивают на свои форумы потому что в действительности им плевать на них. У них нет задачи развивать проект и следить за безопасностью. Этим форумам уже по 20 лет а самим админам за 40, у них уже другие жизненные ценности. Но передать проект в молодые руки жаба душит. Так и зарастают мхом античат, хакзона и им подобные. То чувство, когда на хабре хакеры более высокой квалификации чем на хакерских форумах.
                  0
                  Вот в этом абзаце:
                  Скрыл
                  Rosetta Stone — программное обеспечение, которое в своей работе использует комбинации из текста, изображений и звука для изучения иностранного языка через интуитивный подход. Похожий метод может быть использован для сопоставления анонимных аккаунтов на нелегальных форумах с аккаунтами этих же людей, но уже вне закрытого комьюнити.


                  похоже, три-четыре предложения пропали.
                  Ну или просто бред.
                    +1

                    Наоборот, это добавка "для объяснения" от переводчика, который сам не понял отсылку в оригинале :)

                    0

                    А как опасность идентификации по стилю письма связана со взломом форума? Тексты участников и так всем, кто в принципе имеет доступ на форум, видны — грабь да сравнивай.

                      0
                      Ну камон, серьёзно, объяснять надо? На подобных тематических площадках практикуется механизм инвайтов просто для получения доступа к базовому функционалу — это раз, два — доступ к закрытым веткам форума и некоторым «плюшкам». И если какой-то «залётный» всё же может попасть на основной форум, то к привату получить доступ обычно можно только через личные знакомства или какие-то весомые заслуги перед форумом или сценой вообще. Иногда бывало так, что проще было взломать ресурс и взять нужную информацию, чем выбивать себе инвайты и приглашения в приват. Стоит ли уточнять, что некоторые участники нередко не вылезали за пределы привата?
                        0

                        Сопоставить стиль письма и найти автора комментария в социальной сети.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое