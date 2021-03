Взломан российский киберкриминальный форум. Данные хакерской элиты утекли в Сеть

Без «мазы»

Киберкриминальный форум Maza.la, считавшийся крупнейшей закрытой площадкой подобного рода, подвергся хакерской атаке 18 февраля 2021 г. Украдена база, насчитывающая 2000 пользователей, и их переписка.

Как отмечается в публикации ИБ-компании Flashpoint, которая из России доступна только через VPN или анонимайзер), форум Maza, прежде известный как Mazafaka, был запущен в районе 2003 г. и непрерывно работал с тех самых пор. Его участники плотно вовлечены в кардинговые схемы, то есть, кражу и перепродажу финансовых данных и информации о кредитных картах.

Попасть на этот форум было чрезвычайно сложно, доступ осуществлялся только при наличии поручителей; как пишет Securitylab, безопасность пользователей обеспечивалась цифровыми сертификатами и встроенным антифишинговым фильтром.

Данные с Maza опубликованы в Сети в виде 35-страничного PDF-документа; на первой же странице демонстрируется приватный ключ шифрования, предположительно использовавшийся администраторами Maza. В документе опубликованы предположительные ICQ-идентификаторы многих пользователей. Это выглядит довольно странно, учитывая, что ICQ считается крайне небезопасным мессенджером, однако в прошлом киберкриминал активно его использовал. Как отмечает эксперт по ИБ Брайан Кребс (Brian Krebs), утечка номеров ICQ может помочь экспертам по безопасности связать между собой множественные аккаунты одних и тех же пользователей на разных площадках.

Неграмотное сообщение, оставленное взломщиками форума Maza

Кто стоит за взломом, неизвестно, но в публикации Flashpoint указывается, что атакующие оставили сообщение о взломе, которое либо переведено с другого языка онлайн-переводчиком, либо специально написано так, чтобы вызвать подобные подозрения. В частности, фраза Your data has been leaked «переведена» как «ваши данные были пропущены».

Maza уже подвергалась взлому в 2011 г.; спустя непродолжительное время был атакован конкурирующий форум - DirectConnection, участников которого подозревали во взломе Maza.

Хакер Алексей Бурков, которого в 2017 г. арестовали в Израиле, выдали в США и в 2020 г. приговорили к девяти годам заключения, какое-то время был администратором и Maza, и DirectConnection, а потом и ещё одного кардингового форума - CardPlanet, отмечает ZDNet. Управление этим форумом и стало одним из пунктов обвинения.

Следующая серия

В январе 2021 г. был захвачнен ещё один киберкриминальный форум - Verified. Бывшие модераторы заявляли, что взлом был осуществлён на уровне доменного регистратора, а затем появилось сообщение предполагаемых новых администраторов, обвинивших старых в халатном отношении к безопасности и сообщавших о том, что прежние хозяева форума хранили у себя все данные о пользователях.

А первого марта стало известно о взломе ещё одного крупного киберкриминального форума - Exploit. Его администратор сообщил, что прокси-сервер, защищавший форум от DDoS-атак, скомпрометирован, и что кто-то попытался получить доступ к серверу через защищённый шелл и произвести дамп сетевого трафика.

Кребс приводит слова одного из участников форума Exploit, который предположил, что подобную серию взломов за такой короткий срок могли осуществить только спецслужбы.

«Предположение о том, что за атакой могли стоять спецслужбы, не выглядит безосновательным, - полагает Алексей Водясов, технический директор компании SEC Consult Services. - За последние годы были арестованы и экстрадированы в США более десятка лиц родом из России и стран бывшего СССР, подозревавшихся в причастности к киберкриминальному подполья. Некоторые из них осуждены и получили очень длительные сроки. Кто-то мог попытаться облегчить себе участь и сдать какую-то значимую информацию, позволившую осуществить взломы хакерских форумов. С другой стороны, нельзя исключать и того, что за атакой стояли какие-то другие киберкриминальные группировки, конкурирующие с сообществами атакованных форумов и заинтересованные в том, чтобы максимально их ослабить и вызвать взаимную подозрительность. В любом случае, пока кибермошенники пребывают в большом беспокойстве, степень угрозы, которую они представляют для легитимного бизнеса, заметно снижается».

Беспокоиться есть от чего: новые владельцы Verified, кем бы они ни были, по данным Flashpoint, начали деанонимизировать прежних операторов, известных под никами INC, VR_Support и TechAdmin. Впрочем, не ясно, до какой эта деанонимизация дойдёт, как неизвестно, стоят ли взломщики Verified и за атакой на Maza.