Глава III. Изучение и сравнение известных русскоязычных форумов киберпреступников.
Добро пожаловать в третью часть серии OSINT-расследований о русскоязычной киберпреступной экосистеме и форумах. В первой мы исследовали истоки этой экосистемы и выяснили, как появились, развивались русскоязычные форумы киберпреступников (RLCF) и в каком ныне состоянии они находятся. Во второй мы оценили «подземную» природу RLCF и их экономическую деятельность. функционирование.
Сегодня я хотел бы вместе с вами узнать, что я считаю наиболее известными RLCF, и проанализировать их место в более широкой русскоязычной экосистеме киберпреступников. Мы попытаемся оценить размеры аудитории наиболее известных RLCF и выявить, какими «товарами и услугами» торгуют на этих форумах.
Если вы пропустили предыдущие главы, не стесняйтесь их прочитать, поскольку там объясняются многие методологические концепции, такие категории RLCF или уровни их активности, которые необходимы для понимания этой главы.
Если вы хотите ознакомиться с полным списком 94 изученных RLCF, вы можете найти его .
Выводы третьей главы:
- В настоящее время авторитетные RLCF являются основными платформами для злоумышленников, занимающихся коммерческой деятельностью или стремящихся приобрести товары и услуги у других злоумышленников, которым они не доверяют. Хотя Telegram играет важную роль для киберпреступников, он сталкивается с присущими ему ограничениями, такими как отсутствие надежной системы условного депонирования и арбитража.
- Несмотря на различную природу изучаемых RLCF, таких как форумы по кардингу или продаже наркотиков, между этими сообществами имеются заметные сходства и связи. Общие элементы включают наличие надежных хостеров и анонимных сервисов обмена криптовалют, которые связывают всю экосистему.
- Хотя некоторые RLCF могут похвастаться огромными сообществами, в целом число высококвалифицированных и опытных участников угроз относительно невелико и, вероятно, насчитывает несколько тысяч. И наоборот, RLCF, ориентированный на схемы мошенничества низкого уровня, базовые методы картирования или продажу наркотиков, как правило, привлекает более крупные сообщества.
- Русскоязычная киберпреступная экосистема хорошо структурирована: основные сообщества объединяют различные типы субъектов угроз:
- «XSS» и «Exploit» составляют ядро киберпреступного подполья высокого уровня, специализирующегося на взломе и вредоносном ПО. Тем не менее репутация «Эксплойта» пострадала из-за неоднократных слухов о его контроле со стороны правоохранительных органов. Большинство участников угроз, присутствующих на этих форумах, обычно нацелены на нерусскоязычные страны.
- «LolzTeam» — это место обучения для потенциальных киберпреступников и, что более важно, кадровый резерв для распространения информационных воров. Однако агрессивная политика монетизации, проводимая модераторами этого форума с весны 2023 года, отрицательно сказалась на репутации этого RLCF и снизила присутствие информационного вора Malware as a Service (MaaS).
- «WWH-Club» — крупный рынок, специализирующийся на кардинговых услугах, известный как образовательный центр этого незаконного ремесла. Как и «LolzTeam», хотя и по другим причинам, политика монетизации сотрудников «WWH-Club» привела к недовольству среди злоумышленников. Они жалуются на других форумах, потому что доступ к арбитражу ограничен пользователями с платным планом членства. Пользователи этого форума ориентированы как на русскоязычные страны, так и на остальной мир.
- Ориентированные на мошенничество RLCF, такие как «DarkMoney» или «Probiv», имеют сходство с другими RLCF, поскольку они привлекают злоумышленников, специализирующихся на поддельных документах и услугах по финансовому мошенничеству. Однако количество и качество этих услуг более обширны. Кроме того, субъекты угроз на этих форумах часто нацелены на свои страны (бывший Советский Союз).
- RLCF, ориентированный на наркотики, такой как «РуТор», в основном работает в бывших советских республиках и продвигает контент относительно низкого уровня с технической точки зрения. Интересно, что сотрудники «РуТора» поощряли свое сообщество участвовать в кардинговых атаках, чтобы помочь им заработать деньги, и даже открыли в 2022 году специальный раздел с обучающими материалами по кардингу и другим схемам мошенничества.
I) Telegram – новый рубеж для русскоязычных злоумышленников?
Прежде чем углубиться в изучение крупных RLCF с высокой активностью, позвольте мне рассказать о показательном инциденте, связанном с двумя известными RLCF и каналом Telegram, принадлежащим MaaS. Этот инцидент подчеркивает непреходящее значение известных RLCF как общественной арены для общения и сотрудничества киберпреступников. Несмотря на недавнее появление Telegram в качестве жизненно важного инструмента в сфере киберпреступности из-за его снисходительности к незаконной деятельности , он не сможет заменить RLCF в обозримом будущем.
Давайте вернемся в февраль 2023 года и вновь вспомним злоключение, произошедшее с одним из самых известных MaaS, а именно с Похитителем Енотов . С момента запуска группа киберпреступников, разрабатывающих это вредоносное ПО, использует Telegram для проведения транзакций и обеспечения поддержки клиентов. Как и другие клиенты этого MaaS, человек, действующий под псевдонимом «hash_attack», решил инициировать контакт с командой Raccoon Stealer через Telegram. Это взаимодействие было направлено на приобретение рекламного места для службы грубой силы hash_attack на эксклюзивном канале Telegram, принадлежащем Raccoon Stealer.
Однако эта бизнес-транзакция приняла неудачный оборот, что привело к разногласиям между «hash_attack» и командой Raccoon. Разочарованный ситуацией, «hash_attack» решил занять конфронтационную позицию, опубликовав спор на одном из RLCF, где он присутствовал. Хотя у «hash_attack» были учетные записи на большинстве RLCF, таких как «XSS», «WWH-Club» или «BHF», где также присутствовали представители Raccoon Stealer, злоумышленник решил открыть арбитражную тему по «эксплойту». , что подчеркивает доверие этого киберпреступника к этому сообществу, которое поможет ему решить его проблему.
Рисунок 1. Злоумышленник hash_attack открыл арбитражную тему против Raccoon Stealer по поводу эксплойта.
«hash_attack» выдвинул обвинения против команды Raccoon, утверждая, что они не вернули ему 3000 долларов из-за разногласий по поводу рекламного соглашения. Хотя денежная стоимость этого спора может показаться относительно несущественной по сравнению с доходами, полученными от этого успешного MaaS, модераторы форума «Эксплойт» сочли отказ вернуть средства потенциальной попыткой мошенничества. В результате они предприняли шаги по блокировке аккаунта «raccoonstealer» на своем форуме.
В стремительной последовательности событий администрация форума «XSS», которая поддерживает отношения сотрудничества с «Эксплойтом» и даже имеет как минимум двух общих с этим RLCF модераторов, решила последовать этому примеру и заблокировала аккаунт «raccoonstealer». со своей платформы. Эта цепная реакция подчеркивает взаимосвязанность некоторых форумов киберпреступников. После этого сурового наказания сотрудники Raccoon Stealer решили вернуть 3000 долларов на «hash_attack», но не смогли восстановить свои счета на этих двух известных RLCF.
15 февраля 2023 года известный злоумышленник Столлман, нынешний администратор форума RAMP, посвященного вымогателям, инициировал дискуссию на форуме Exploit в поддержку команды Raccoon Stealer. До этого инцидента «Столлман» неоднократно публично поддерживал Raccoon Stealer, заявляя, что это его любимое вредоносное ПО для кражи информации. В личных усилиях помочь Raccoon Stealer восстановить доступ как к «Exploit», так и к «XSS», «Столлман» выступил от их имени. Тем не менее, даже это вмешательство оказалось неэффективным для достижения желаемого результата.
Рисунок 2. Злоумышленник Столлман открыл тему на Exploit, чтобы попросить администрацию снять бан с аккаунта raccoonstealer.
Репутация Raccoon Stealer серьезно пострадала, поскольку новые обвинения последовали как в отношении «XSS», так и в отношении «Exploit». Несколько пользователей заявили, что Raccoon Stealer крадет информацию о криптокошельке из логов собственных клиентов и отправляет ее напрямую разработчикам этого вредоносного ПО, лишая тем самым киберпреступников, купивших этот MaaS, источника дохода. Без присутствия на этих форумах команда Raccoon не смогла защитить себя от этих обвинений.
Рисунок 3. Raccoon Stealer продолжал работать и продавать свое вредоносное ПО в Telegram даже после запрета XSS и Exploit в феврале 2023 года.
В конце концов, после шестимесячного отсутствия на «XSS» и «Exploit», Raccoon Stealer разрешили вернуться на эти RLCF после внесения депозита в размере 1 BTC (около 25 000 долларов в августе 2023 года) на каждом форуме . Необходимо отметить, что хотя некоторые газеты опубликовали несколько вводящие в заблуждение заголовки, объявляющие о «возвращении» Raccoon Stealer после окончания запрета, этот MaaS так и не прекратил работу. Его развитие продолжалось, и всегда можно было приобрести подписку через его официальный Telegram-канал. Таким образом, решение команды Raccoon принять условия этих RLCF предполагает, что присутствие на этих платформах имеет существенное значение для MaaS и других продвинутых субъектов угроз.
Рисунки 4 и 5. «raccoonstealer» разрешили вернуться на «XSS» и «Exploit» в августе 2023 года после того, как группа внесла депозит в размере 1 BTC на каждом из этих форумов. Авто в переводе с русского.
Эти события подчеркивают несколько примечательных аспектов, которые объясняют, почему, несмотря на появление Telegram и его популярность среди субъектов угроз, RLCF по-прежнему незаменим для ведения незаконной деятельности.
- Крупные RLCF являются источником легитимности и привлечения потенциальных клиентов: решение Raccoon Stealer инвестировать почти 50 000 долларов США в восстановление доступа к «XSS» и «Exploit» дает убедительное представление о важности этих платформ для киберпреступников. Присутствие на известном RLCF не только обеспечивает легитимность, но и служит основным источником привлечения потенциальных клиентов. Участники угроз, стремящиеся предлагать услуги, распространять вредоносное ПО или обеспечивать занятость, осознают ключевую роль этих форумов.
- Основные RLCF обеспечивают безопасность транзакций. Еще одним важным аспектом, который следует учитывать, является то, что в Telegram в настоящее время отсутствует надежная система условного депонирования (более подробную информацию о системе условного депонирования см. в главе II). Следовательно, субъекты угроз и поставщики MaaS, стремящиеся к безопасным транзакциям, часто предпочитают вести свой бизнес через авторитетные форумы, предлагающие услуги условного депонирования.
- Долговечность крупных RLCF позволяет им приобретать и поддерживать репутацию: репутация и (предполагаемая) честность основных RLCF, культивируемые с течением времени и проверенной репутацией, являются ключевым отличием от других RLCF, а также групп и каналов Telegram.
Хотя известные RLCF важны для русскоязычной экосистемы киберпреступников, мы обнаружим, что не все основные RLCF одинаковы. Они занимают отдельные ниши, объединяют различные типы субъектов угроз и различаются по репутации и надежности внутри экосистемы. Понимание этих различий имеет решающее значение для понимания динамики киберпреступной среды.
Русскоязычная киберпреступная экосистема представляет собой хорошо структурированную структуру, характеризующуюся разнообразной аудиторией и услугами, представленными на каждом форуме. Наш анализ позволит тщательно изучить уникальную роль, которую играют эти форумы, и предоставить ценную информацию об их значении в этом сложном ландшафте.
II) Ключевые русскоязычные форумы киберпреступников и их роль в экосистеме.
Вы можете законно спросить, как именно можно оценить роль RLCF и сравнить ее с другим или как определить, какие форумы являются наиболее заметными в своей области специализации?
Для решения этого вопроса я предлагаю использовать объективные показатели, такие как уровень активности, тип и количество «товаров и услуг», которые можно найти на этих форумах, а также более качественные оценки, такие как репутация сообщества или техническая экспертиза пользователей. база пользователей. Для проведения этого анализа я предварительно выбрал 8 высокоактивных и качественных форумов из 5 категорий (см. методологию в первой главе – категории: Киберпреступность, Мошенничество, Кардинг, Прочее/Киберпреступность и Наркотики. Форумы по программированию киберпреступников исключены, поскольку ни один из них в настоящее время не является высокоактивным). ).
Распространение выборки из изученного RLCF на сообщества с небольшой базой пользователей и низкой активностью при условии, что в них присутствуют высококвалифицированные злоумышленники, как показано на форуме RAMP, посвященном программам-вымогателям. Однако в конечном итоге я отказался от этого подхода из-за иллюстрацией этого является нишевый характер этих сообществ. Например, «RAMP» с ежегодной активной базой пользователей, насчитывающей около 300 участников, разместивших чуть более 3000 сообщений в 2023 году, служит иллюстрацией этого. ограниченный масштаб и участие в таких форумах.
Таблица 1. Дополнительную информацию см. в I. Источник:
III) Количественный анализ – насколько велика база пользователей основных RLCF?
Чтобы оценить «базу активных пользователей» крупного RLCF, моей первой идеей было подсчитать участников, разместивших хотя бы одно сообщение в 2023 году. Этот подход, конечно, сомнительный, поскольку некоторые пользователи форума могут быть активными только в личных сообщениях и, таким образом, будут быть исключены из моей оценки. Более того, один человек может иметь несколько учетных записей и писать сообщения от каждой из них.
Альтернативная идея заключалась в том, чтобы опираться на статистику официальных форумов, а именно на подсчет зарегистрированных аккаунтов в течение 2023 года. После изучения этого метода оценки выяснилось, что в некоторых случаях он может быть еще более ненадежным. Например, в первой половине 2023 года РЛФ «Эксплойт» провел генеральную чистку, удалив около 30 000 аккаунтов, что на тот момент составляло более трети от общего числа зарегистрированных участников.
Я решил разрубить гордиев узел, выборочно используя оба метода, оставаясь при этом последовательным и пытаясь обеспечить надежную оценку активности каждого изученного RLCF.
Сообщества из категорий Киберпреступность, Кардинг и Мошенничество, такие как «XSS», «WWH-Club» или «DarkMoney», представленные в Таблице 2, сравнительно намного меньше, чем RLCF из категорий «Другое/Киберпреступность» и «Наркотики», таких как как «LolzTeam» и «RuTor», представленные в таблице 3. Таким образом, в таблице 2 размер сообщества оценивался путем подсчета активных пользователей, опубликовавших не менее одно сообщение в 2023 году. Напротив, подсчет активных пользователей на форумах с аудиторией, превышающей несколько сотен тысяч активных пользователей, представленных в таблице 3, был технически сложным, и я решил лучше посчитать количество новых аккаунтов, зарегистрированных в 2023 году. Величина расхождения в размерах пользовательской базы между основными RLCF из Таблицы 2 и Таблицы 3 настолько значительна, что эта разница наборов данных фактически практически не имеет значения.
Результаты, которые я обнаружил, очень похожи на данные, представленные Searchlight Cyber весной 2023 года . Однако важно иметь в виду, что методология, используемая этой компанией для анализа, остается нераскрытой. Поэтому я призываю читателей рассматривать эти цифры как ориентировочные, а не точные измерения.
Таблица 2. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение.
Источник:
Таблица 3. Источник:
Наблюдения за таблицами 2 и 3 дают некоторое представление о размерах каждого сообщества, однако этот подход ничего не говорит нам о том, кто «населяет» эти RLCF. Это подчеркивает необходимость принятия более комплексной стратегии оценки, охватывающей как количественные, так и в некоторой степени качественные факторы, чтобы получить более глубокое понимание роли RLCF в киберпреступной среде.
IV) Фокус на коммерческих направлениях – сочетание качественного и количественного анализа.
Подход, предлагающий более детальную и несколько качественную перспективу, предполагает анализ новых коммерческих тем, опубликованных в 2023 году. Подсчет тем, в которых злоумышленники занимаются продажей или покупкой чего-либо, является эффективным способом получить представление о специализации каждого сообщества. облегчение сравнения между ними.
Однако важно отметить, что этот подход не учитывает старые, но активные коммерческие темы, созданные до 2023 года. Оценка этих тем потребует индивидуальной проверки того, занимаются ли создатели тем торговлей предлагаемыми товарами или услугами, что выходит за рамки задачи. этого анализа. Кроме того, этот подход не дает понимания качества и сложности продаваемых товаров или услуг.
После сбора коммерческих потоков они были сгруппированы в восемь отдельных торговых категорий для анализа. Цифры, представленные ниже, хотя и информативны, их следует рассматривать как индикаторы, а не как идеальное представление о коммерческой деятельности на форумах. Обратите внимание, что контент, связанный с наркотиками, оружием или насилием, был намеренно исключен из этого исследования, хотя эти поделки представляют собой основную деятельность RLCF, как и «РуТор».
- Хакерство : темы, связанные с продажей вредоносного ПО, распространением похитителей информации, баз данных, доступом к корпоративным сетям, пентестом, DDoS, взломом хэшей, продажей украденных аккаунтов;
- Банковское мошенничество : коммерческие темы, включающие деятельность, направленную на банковское мошенничество с украденными кредитными картами и доходами от этого злонамеренного ремесла;
- Услуги по борьбе с мошенничеством : коммерческие темы, связанные с продажей поддельных документов, услугами поиска, торговлей SIM-картами, телефонными звонками, спам-услугами;
- Финансовые услуги : потоки, в которых злоумышленники продают услуги по отмыванию денег и криптовалюты, услуги по вводу и выводу наличных, поддельные личности для налогового мошенничества;
- Услуги хостинга : потоки, в которых злоумышленники продают виртуальные частные серверы, прокси и другие услуги, связанные с хостингом, включая пуленепробиваемые серверы и домены;
- Другие услуги : коммерческие темы с контентом, связанным с маркетингом в социальных сетях (SMM – продажа фейковой аудитории, лайков и комментариев на таких платформах, как YouTube), веб-разработкой и т. д.
Кроме того, были созданы две другие категории для учета неклассифицированного коммерческого контента, включая материалы, которые участники форума не знали, где публиковать, а также объявления о вакансиях и поиск работы. Эти категории помогают охватить контент, который не вписывается в заранее определенные торговые категории.
Таблица 4. *Для RLCF RuTor не учитывался контент, связанный с наркотиками, насилием и торговлей людьми.
Источник:
Таблица 5. *Для RLCF RuTor не учитывался контент, связанный с наркотиками, насилием и торговлей людьми.
Источник:
На основе статистики, представленной в таблицах 2, 3, 4 и 5, можно сделать несколько наблюдений. Даже самые активные RLCF с сообществами, специализирующимися на хакерстве, собирают всего несколько тысяч активных пользователей. И наоборот, RLCF, популярный среди потребителей наркотиков и молодежи, имеет тенденцию собирать большую аудиторию, в первую очередь ориентированную на низкоуровневый контент и схемы мошенничества. Несмотря на то, что не все члены групп продвинутой угрозы непосредственно присутствуют на RLCF, интересно отметить, что значительный ущерб, нанесенный русскоязычными группами вымогателей, разработчиками и распространителями вредоносного ПО или кардерами, может быть причинен преимущественно относительно небольшим числом лиц.
Более того, анализ таблиц 4 и 5 позволяет сделать несколько выводов. Примечательно, что с 2022 года на наркофоруме «РуТор» произошла эволюция: он расширился за счет введения разделов кардинга и мошенничества. Однако в целом становится ясно, что коммерческие темы (за исключением продажи наркотиков) немногочисленны даже на форумах с такими массовыми сообществами, как «LolzTeam» или «РуТор» (см. табл. 2 и 3). Это наблюдение подкрепляет аргумент, приведенный в Главе I, о том, что RLCF, отнесенные к категории «Другое/Киберпреступность» и «Наркотики», лишь незначительно вовлечены в ту же незаконную деятельность, что и форумы, отнесенные к категории «Кардинг», «Киберпреступность» или «Мошенничество», и не являются необходимыми для привлечения тех же самых типов угроз. .
Более тщательное изучение тем в категории должностей подтверждает эту оценку. Возможности трудоустройства, предлагаемые на RLCF, таких как «RuTor» и, в меньшей степени, «Probiv» или «DarkMoney», представляют собой в основном технические должности низкого уровня, ориентированные на такие задачи, как распространение вредоносного ПО и схемы мошенничества. Напротив, объявления о вакансиях на «Эксплойте» или «XSS» подразумевают более технически сложные роли, в которых злоумышленники способны создавать сложные вредоносные программы или выполнять сложные задачи проникновения в сеть.
Однако между всеми изученными RLCF также имеются сходства и связи. Анализ Таблиц 5 и 6 показывает постоянное присутствие финансовых и хостинговых услуг во всех RLCF. Фактически, детальное изучение услуг хостинга и отмывания криптовалюты показывает, что одни и те же субъекты, предоставляющие эти услуги, активно участвуют во всех основных RLCF.
Таблица 6. *Субъекты угроз, которые открыто заявляют о продаже надежных услуг хостинга и действовали хотя бы один раз с декабря 2022 года по март 2023 года.
Источник:
На текущий год запланирован углубленный анализ услуг хостинга и отмывания криптовалют. Что уже можно упомянуть, так это, например, наличие службы криптообмена AudiA6 как минимум на 44 RLCF. Этот аккаунт предлагает анонимную услугу обмена денег и криптовалют и действует уже более десяти лет (см. Рисунок 6). В сфере надежных хостинговых услуг стоит отметить случай с сервисом, продвигаемым под псевдонимом «Quahost», который зарегистрирован как минимум в 31 RLCF и поддерживает свою деятельность более пятнадцати лет (см. Рисунок 7).
Рисунок 6. AudiA6 упоминает в XSS все RLCF, куда он вносил деньги в качестве гарантии. Авто в переводе с русского.
Рисунок 7. Реклама пуленепробиваемых серверов Quahost на LolzTeam от 2018 года.
В заключение мы уже можем заявить, что каждое из этих сообществ играет особую роль и занимает свое место в более широкой экосистеме киберпреступников. Хотя RLCF качественно и количественно различны, тем не менее каждый из них по-своему важен для всей экосистемы. Например, «LolzTeam», который в основном фокусируется на низкоуровневом киберкриминальном контенте, служит отправной точкой для многих молодых русскоязычных людей, которые начинают свою киберпреступную деятельность на этом форуме, в частности, присоединяясь к командам трафикеров .
V) Качественный анализ основных RLCF.
В следующих разделах я представлю качественный анализ значительных RLCF. Мы кратко углубимся в различные известные сообщества, оценивая их репутацию, технические ноу-хау их участников и характер торговли, происходящей на этих форумах.
А) «XSS» и «Эксплойт»: основа русскоязычной киберпреступной экосистемы высокого уровня.
Основанные в 2004 и 2005 годах, XSS и Exploit являются одними из старейших и наиболее уважаемых RLCF. Эти форумы привлекают большее количество технически опытных киберпреступников по сравнению с другими RLCF и служат важными центрами незаконных услуг и возможностей трудоустройства, связанных с хакерством и вредоносным ПО.
Таблица 7. *Методология: пользователь считается активным в 2023 году, если он опубликовал хотя бы одно сообщение.
Источник:
1) XSS – «место, где могут быть» злоумышленники высокого уровня.
Рисунок 8. Сотрудники XSS в январе 2024 г.
а) Истоки ветерана RLCF – от DaMaGeLaB до XSS.
«XSS» является одним из старейших русскоязычных форумов киберпреступников и имеет богатую историю. По словам "Тохи", нынешнего администратора "XSS", форум был запущен под конец 2004 года под доменом "winux.net.ru". Тогда это был личный проект первого администратора форума, злоумышленника «Винукс». Позже к нему присоединились актеры-угрозы «Великий» и «Одинокий Волк», которые стали совместными администраторами .
Рисунок 9. Архивная версия форума, которая позже станет XSS.
В период с 2006 по 2018 год форум был известен под названием «DaMaGeLaB» и был доступен через домены «damagelab.org» и «damagelab.in». В то время одним из администраторов «ДаМаГеЛаБ» был белорусский злоумышленник Сергей Ярец, действовавший под псевдонимом «Ар3с» . Г-н Ярец был арестован за участие в технической поддержке загрузчика Andromeda, который на тот момент считался одним из крупнейших ботнетов в Интернете. В 2018 году его быстро отпустили, что породило слухи о возможном сотрудничестве господина Ярца с правоохранительными органами после того, как он якобы поделился важной информацией о других членах команды «Андромеда» .
Рисунок 10. Скриншот DaMaGeLaB за 2006 год.
После ареста «Ар3с» в ноябре 2017 года форум вскоре находился под контролем злоумышленника «Шококрем» вплоть до его закрытия. Падение не было окончательным, и в 2018 году появилась новая версия сообщества.
Рисунок 11. 21 ноября 2018 года новый администратор XSS объявляет о перезагрузке форума DaMaGeLab под новым названием XSS. Авто в переводе с русского.
Возрождение форума стало возможным благодаря резервной копии «DaMaGeLaB», созданной еще в 2015 году. Сообщается, что эта резервная копия была передана или продана г-ном Ярцем своему давнему знакомому, злоумышленнику, известному как «тоха», который позволил ему перезапустить форум под новым названием «XSS» в ноябре 2018 года . «Тоха» также известен в киберпреступном сообществе как бывший владелец еще одного известного RLCF под названием. "Эксплойт" Считается, что сотрудничество "Тохи" и господина Ярца началось на "Эксплойте", где "тоха" назначил господина Ярца модератором.
Интересно, что, похоже, «тоха» черпал вдохновение для названия «XSS» из домена xxs.ru, который был связан со старым российским форумом Web-Hack.ru, посвященным хакерам и экспертам по информационной безопасности. Этим форумом с 2001 по 2010 год управлял человек, известный как «Терабайт» , а модератором там также был «Тоха».
По данным исследователя «3xp0rt», настоящей личностью «Тохи» мог быть Антон Авдеев, и утверждается, что этот злоумышленник проживает в России .
Рисунок 12. Исследователь 3xp0rt разоблачает российских субъектов угроз с момента начала российского вторжения в Украину.
б) Доступ к XSS и особенности этого RLCF.
В настоящее время доступ к содержимому «XSS» требует регистрации учетной записи, и этот процесс обычно прост, если только регистрация не временно закрыта. Существует ограниченный раздел, доступный исключительно назначенным участникам. В настоящее время форум является одним из самых активных сообществ киберпреступников, предлагающим своим пользователям услуги автоматического депонирования. Примечательно, что он отличается наличием сервера XMPP, который обслуживает его сообщество под доменом «@thesecure.biz».
В целях собственной безопасности администрация «XSS» запрещает заниматься какой-либо деятельностью или продавать данные, которые могут негативно повлиять на страны бывшего СССР, за исключением стран Балтии.
в) XSS: форум, привлекающий известных злоумышленников.
Хотя «XSS» считается одним из наиболее значимых RLCF, размер его сообщества и объем сообщений относительно скромны по сравнению с другими русскоязычными форумами киберпреступников. Значимость форума заключается в нескольких ключевых аспектах, включая присутствие высокопоставленных участников угроз, его надежную базу знаний и воспринимаемую честность его администрации. Последний фактор имеет первостепенное значение в сфере киберпреступности, поскольку администраторы таких сообществ должны внушать доверие, беспристрастно расследуя споры и обеспечивая минимальный уровень защиты и анонимности для своих членов.
Известные злоумышленники, в том числе публичные представители группировок, занимающихся вымогательством, и администраторы других RLCF, поддерживают присутствие на «XSS». В число наиболее заметных фигур входят филиалы LockBit, ALPHV и других групп, занимающихся вымогательством, а также нынешний владелец форума RAMP, злоумышленник Столлман. Их участие в «XSS» удовлетворяет как их оперативные нужды, так и повышает их репутацию в киберпреступной экосистеме. «XSS» играет существенную роль для этих злоумышленников, поскольку служит платформой для продвижения партнерских программ, продажи незаконных услуг и вредоносного ПО и, конечно же, для общения с другими киберпреступниками. Кроме того, он служит жизненно важным пространством для разрешения споров и начала кампаний по дезинформации против конкурирующих игроков.
Рисунок 13. Примеры арбитражных потоков, открытых на XSS. Авто в переводе с русского.
Одна из таких кампаний дезинформации произошла в январе 2022 года и была нацелена на злоумышленника «KAJIT», который в то время был администратором RLCF «RAMP». Этот спор можно без преувеличения считать антологическим. В нем участвовали представители организации «Программы-вымогатели как услуга» (RaaS) LockBit, которые обвинили «КАДЖИТ» в том, что он внедрился в систему полицейского агента. «LockBitSupp» одержал верх, поскольку «KAJIT» был забанен, а администратор «XSS» посоветовал «KAJIT» продать свой форум «RAMP» злоумышленнику «Столлману», потому что ему больше никто не доверял.
Рисунок 14. Столлман, нынешний администратор RAMP, опровергает обвинения LockBitSupp в адрес KAJIT и подтверждает, что RAMP не находится под контролем полиции. Авто в переводе с русского.
г) XSS: важный рынок незаконных услуг и труда.
Как показано в Таблице 8, коммерческие темы, рекламируемые на «XSS» в 2023 году, показывают, что это универсальное сообщество киберпреступников, объединяющее специалистов по кардингу, брокеров первичного доступа, разработчиков MaaS и других специалистов по киберпреступности. Эти категории охватывают большую группу киберпреступных действий, которые могут дополнять друг друга.
Таблица 8. Источник:
Например, на XSS киберпреступник может приобрести чистую лицензию Cobalt Strike, купить уязвимости нулевого дня, настроенное вредоносное ПО или подписаться на MaaS и приобрести услугу обфускации для обхода антивирусов. В качестве хостинга для своих серверов управления и контроля (C2) киберпреступники могут выбирать из большого количества надежных хостеров. В конце концов, как только их деятельность будет монетизирована, злоумышленники смогут очистить свои криптовалюты или грязные деньги, обратившись в службы по отмыванию денег, представленные на форуме.
Рисунок 15. Злоумышленник johndoe7 продает лицензии Cobalt Strike. Авто в переводе с русского.
Рисунок 16. Продавец бэкдоров, злоумышленник, готов продать эксплойт RCE за 25 000 долларов.
Рисунок 17. Хакер-злоумышленникGPT готов купить эксплойт нулевого дня за сумму до 500 000 долларов.
Рисунок 18. Пример MaaS и других услуг, продаваемых на XSS.
