krebsonsecurity.com/2021/03/three-…
過去数週間の間に、何千人もの経験豊富なサイバー犯罪者にサービスを提供しているロシア語のオンラインフォーラムのうち、最も長く運営され、最も称賛されている3つのフォーラムがハッキングされました。2つの侵入では、攻撃者は、電子メールやインターネットアドレス、ハッシュ化されたパスワードを含むフォーラムのユーザーデータベースを盗み出しました。3つのフォーラムのメンバーは、この事件が、複数の犯罪フォーラムにまたがる同じユーザーの実生活のアイデンティティを接続するための仮想的なロゼッタストーンになるのではないかと心配しています。
火曜日、何者かが何千ものユーザー名、メールアドレス、難読化されたパスワードをダークウェブ上に暴露しました。これは、10年以上にわたり、最も経験豊富で悪名高いロシアのサイバー窃盗団のホストを務めてきた排他的な犯罪フォーラム、Mazafaka (通称 "Maza", "MFclub")から盗んだものと思われます。
オンラインで流出した35ページのPDFのトップには、Mazaの管理者が使用したとされる秘密の暗号化キーがあります。データベースには、多くのユーザーのICQ番号も含まれています。ICQは、"I seek you "としても知られており、JabberやTelegramのようなプライベートネットワークが普及するまでは、このような古い犯罪フォーラムの初期の住人たちから信頼されていたインスタントメッセージのプラットフォームでした。
これは、特定のアカウントに紐付けられたICQ番号は、多くの場合、セキュリティ研究者が複数のアカウントを多くのフォーラムや異なるニックネームで同じユーザーに紐付けるために使用できる信頼性の高いデータポイントであることが多いため、注目すべき点です。
サイバーインテリジェンス企業のインテル471は、流出したMazaデータベースは合法的なものだと評価しています。
"ファイルは3,000行以上で構成され、ユーザー名、パスワードハッシュ、電子メールアドレス、その他の連絡先の詳細が含まれています。" インテル471は、Mazaフォーラムの訪問者が違反の発表ページにリダイレクトされていることを発見したと指摘しています。"流出したデータの初期分析では、流出したユーザー記録の少なくとも一部が当社の保有データと関連していたことから、その信憑性の高さが指摘されています。"
Mazaへの攻撃は、ロシアの犯罪フォーラムが略奪された数週間後に行われました。1月20日、ロシア語フォーラム「Verified」の長年の管理者が、コミュニティのドメイン登録機関がハッキングされ、サイトのドメインが攻撃者の管理するインターネットサーバーにリダイレクトされたことを明らかにしました。
"私たちの[ビットコイン]ウォレットがクラックされてしまいました。幸いなことに、多額の資金を保管していたわけではありませんが、いずれにしても不愉快な出来事です。状況が明らかになると、管理者は、理論的には、フォーラムのすべてのアカウントが侵害された可能性があると仮定しました(確率は低いですが、それはあります)。私たちのビジネスでは、それは安全に遂行する方が良いです。だから、私たちは全員のコードをリセットすることにしました。これは大したことではありません。単純にメモして、これから使うだけです。"
しばらくして、管理人はこう投稿を更新した。
"フォーラムのデータベースがハッキングされた時に 結局 除去されたというメッセージを得ています 全員のアカウントパスワードは 強制的にリセットされた あなたが知ってる人に この情報を渡して下さい フォーラムはドメインレジストラを通してハッキングされました。レジストラが最初にハッキングされた その後 ドメイン名サーバーが変更されて トラフィックを嗅ぎつけられた"
2月15日、管理者は、1月16日から20日の間にVerifiedのドメインレジストラをハッキングしたと主張する侵入者の代理として送信されたとみられるメッセージを投稿した。
"フォーラムの管理者がこの全体のセキュリティで許容できる仕事をしなかったことは、今までに明らかであるべきである "攻撃者は説明した。"ほとんどの場合、怠惰や無能のために、彼らはすべてを放棄しました。しかし、私たちにとっての主な驚きは、クッキー、リファラー、最初の登録のIPアドレス、ログイン分析、その他すべてのユーザーデータを保存していたことです。"
他の情報源によると、ビットコインの入出金に関する情報やJabberのプライベートな連絡先など、検証済みユーザー間の数万通のプライベートメッセージが盗まれたとのことです。
MazaとVerifiedの危殆化、そして3つ目の主要なフォーラムの可能性もあり、多くのコミュニティメンバーは実生活のアイデンティティが暴露されるのではないかと心配しています。Exploit - おそらくVerifiedに次ぐ規模と人気を誇るロシアのフォーラムも今週、明らかな漏洩が発生しました。
Intel 471によると、2021年3月1日、Exploitサイバー犯罪フォーラムの管理者は、同フォーラムが分散型サービス拒否(DDoS)攻撃から保護するために使用していたプロキシサーバーが未知の人物によって侵害された可能性があると主張しました。管理者は、2021年2月27日に監視システムがサーバへの不正なセキュアシェルアクセスとネットワークトラフィックのダンプを検出したと述べています。
一部のフォーラムの狂信者は、これらの最近の妥協は、いくつかの政府のスパイ機関の仕事のように感じると推測しています。
"諜報機関かサーバーの場所を知っている人だけが、このようなことができる "とExploitの大黒柱の一人はつぶやいています。"1ヶ月に3つのフォーラムというのは奇妙なことだ。通常のハッカーではないと思います。誰かが意図的にフォーラムを台無しにしているのです。"
他の人は、どのフォーラムが次に落ちるのか声を大にして疑問に思っており、ビジネスのために悪いかもしれないユーザー間の信頼の損失を嘆いています。
"おそらく、彼らは以下のロジックに従って動作します "とあるエクスプロイトユーザーは書いています。"フォーラムがなくなり、皆の間に信頼関係がなくなり、協力関係が希薄になり、パートナーを見つけるのが難しくなり、攻撃が減る。"
Update, March 4, 6:58 p.58 p.m. ET: Intel 471によると、最近攻撃を受けた第4の犯罪フォーラムがあったとのことです。これらの出来事について彼らが公開したばかりのブログ記事から。"2月には、別の人気のあるサイバー犯罪フォーラム、Crdclubの管理者は、フォーラムが攻撃を受け、その結果、管理者のアカウントが侵害されたと発表しました。そうすることによって、攻撃の背後にある行為者は、フォーラムの管理者によって保証されたとされる送金サービスを使用するために、フォーラムの顧客をおびき寄せることができました。それは嘘であり、フォーラムから流用される未知の金額をもたらしました。フォーラムの管理者は、だまされた人に返済することを約束しました。他の情報は攻撃で危険にさらされたように見えなかった"