Глава II. Русскоязычные киберпреступные форумы – не всегда подпольные, но всегда нацеленные на получение максимальной прибыли.
Добро пожаловать во вторую часть серии OSINT-расследований о русскоязычной киберпреступной экосистеме и форумах. В главе мы исследовали истоки этой экосистемы и узнали, как появились, развивались русскоязычные форумы киберпреступников (RLCF) и в каком нынешнем состоянии они находятся. Если вы пропустили эту часть, не стесняйтесь ее прочитать, потому что многие методологические концепции, такие категории RLCF обсуждаются там и полезны для понимания этой главы.
Наше внимание теперь переключится на «подземную» природу RLCF и их экономического функционирования. Мы оценим, насколько эти сообщества труднодоступны для постороннего человека, как их администраторы защищают их от атак и поймем, как монетизируются RLCF.
Далее, в третьей мы определим наиболее известные RLCF, проанализируем их ключевую роль в более широкой экосистеме и рассмотрим их взаимодействие с сообществами Telegram.
Наконец, в главе IV мы углубимся в геополитические влияния, формирующие эти сообщества. Здесь мы проанализируем, как недавние глобальные события и политическая динамика повлияли на русскоязычные форумы киберпреступников, предоставив всестороннее понимание их текущего состояния и потенциального будущего.
Если вы хотите ознакомиться со списком 94 изученных RLCF, вы можете найти его .
Выводы второй главы:
- Хотя прилагательное «подпольный» часто используется для определения RLCF, оно не всегда отражает реальность. Действительно, большую часть RLCF можно найти через обычные поисковые системы, что позволяет даже новичкам заниматься киберпреступной деятельностью. Труднодоступные RLCF существуют, но их меньшинство.
- Администраторам RLCF приходится сталкиваться с частыми DDoS-атаками и попытками взлома. Чтобы ограничить влияние DDoS и эксплуатацию уязвимостей, они в основном используют известные и изученные пакеты программного обеспечения для интернет-форумов и CDN, такие как Xenforo или Cloudflare.
- RLCF — это не только места, где субъекты угроз могут общаться и вести свой бизнес, они также предоставляют широкий спектр дополнительных, но не менее важных услуг. Наиболее продвинутые сообщества предлагают такие услуги, как миксеры криптовалют или серверы Jabber (XMPP).
- Успешные RLCF приносят своим владельцам значительный доход. Однако сложная среда киберпреступности, в которой работают эти форумы, усложняет задачу управления форумами и вынуждает администраторов вкладывать значительные средства в кибербезопасность.
- RLCF применяет разнообразные подходы к рекламе и монетизации своих форумов, что обычно зависит от их конкретной деятельности и положения в экосистеме.
- Наркофорумы агрессивно рекламируют себя на улицах стран СНГ, в то время как авторитетные нишевые хакерские сообщества, такие как «XSS» или «Эксплойт», не тратятся на рекламу.
- Что касается доходов, отдельные сообщества, относящиеся к категории киберпреступности, похоже, в основном получают доход за счет услуг условного депонирования и депозита. Напротив, популярные форумы, посвященные наркотикам, мошенничеству и кардингу, также приносят существенный доход за счет продажи рекламного места на своих страницах.
I) «Трудно быть Богом» — и еще труднее быть администратором RLCF.
В начале этой главы я хочу поделиться историей, которая, на мой взгляд, прекрасно отражает бремя администраторов RLCF. В августе 2022 года The Record взяла интервью у Михаила Матвеева , известного участника угроз, участвовавшего как минимум в восьми группах по вымогательству и действующего по сей день . Известный в том числе под псевдонимами «Вазавака» и «Оранжевый», россиянин рассказал о непредвиденных трудностях, связанных с развитием и поддержанием форума киберпреступников, с которыми ему пришлось столкнуться.
Рисунок 1. Фотографии г-на Матвеева. Источник: Федеральное бюро расследований.
В 2021 году г-н Матвеев был видным членом группы «Вымогатели как услуга» (RaaS) «Бабук». Главным боевым подвигом «Бабука» и, как ни парадоксально, одним из последних его подвигов стал взлом столичного управления полиции в апреле 2021 года . Опасаясь последствий этого нападения, группа распалась, предположительно, после того, как внутренние споры между ее филиалами и г-ном Матвеевым подорвали сплоченность банды. Параллельно в мае 2021 года крупные русскоязычные форумы киберпреступников, обеспокоенные последствиями атаки программы-вымогателя DarkSide на Colonial Pipeline в США, публично запретили темы, связанные с RaaS, чтобы оградить себя от западных разведывательных и правоохранительных органов (это была временная мера). обман, как мы увидим в главе III).
Рисунок 2. В мае 2021 года администратор XSS запрещает на своих форумах любые темы и обсуждения, связанные с программами-вымогателями.
Напротив, г-н Матвеев, владеющий доменом Onion с высоким трафиком, ранее связанным с несуществующим блогом Babuk RaaS, воспринял эту развивающуюся ситуацию как возможность. Наш антигерой действительно был одним из бывших филиалов DarkSide, его, похоже, не испугали действия правоохранительных органов, и он решил создать свой собственный форум, ориентированный исключительно на операторов программ-вымогателей и брокеров первичного доступа. Форум, получивший название «RAMP» от Anonymous Market Place, был открыт в июле 2021 года.
Запуск этого проекта не был мирным и простым. 22 июля 2021 года злоумышленник оставил на «РАМПе» сообщение с просьбой о выкупе в размере 5000 долларов и пригрозил, что начнет спам-атаку через 24 часа, если его требования не будут выполнены. Г-н Матвеев, похоже, проигнорировал это требование, что привело к нападению на следующий день, когда несколько фейковых участников разместили порнографические GIF-изображения .
До атаки количество пользователей форума составляло около 350, и было опубликовано более 100 сообщений, что указывает на значительный интерес к этой новой платформе обмена . Однако к 26 июля, после очистки и переписывания движка форума FluxBB, в списке осталось только 59 участников. Новые регистрации на форуме были приостановлены до августа, а условия доступа ужесточены.
Тем не менее, на этом злоключения не закончились: после того, как уязвимости форумов были исправлены, «RAMP» стал объектом перманентных распределенных атак типа «отказ в обслуживании» (DDoS), которые требовали постоянного внимания для ограничения их воздействия. Более того, по мере присоединения к форуму новых участников деятельность некоторых злоумышленников стала разрушительной для сообщества, что вынудило г-на Матвеева нанимать и платить модераторам. Одним из таких модераторов стал злоумышленник КАДЖИТ, который стал следующим владельцем форума в последние месяцы 2021 года. После своего ухода с поста администратора RAMP г-н Матвеев якобы решил подорвать форум по неизвестным причинам, распространяя слухи через представителей LockBit и BlackMatter RaaS, а также администратор известного RLCF «XSS», предполагая, что KAJIT был агентом правоохранительных органов.
Рисунок 3. Злоумышленник требует выкуп в размере 5000 долларов у администратора RAMP.
История г-на Матвеева весьма иллюстрирует общий опыт и проблемы, о которых администраторам RLCF приходится думать и с которыми приходится сталкиваться ежедневно. Русскоязычная киберпреступная экосистема, как и любое другое преступное сообщество, представляет собой высококонкурентную и агрессивную среду. Взаимные атаки, иногда спонсируемые конкурирующими форумами, могут быть нацелены на инфраструктуру форума посредством взлома или DDoS-атак или на его репутацию посредством кампаний по дезинформации. Это объясняет, почему в случае с RAMP этот форум обошелся господину Матвееву дороже, чем он на нем заработал. Тем не менее, как мы вскоре обнаружим, не все RLCF с трудом справляются со своими сложными условиями; некоторые форумы адаптируются и процветают.
II) Прочная основа для успешного RLCF.
Администраторы RLCF постоянно сталкиваются с проблемой поиска баланса между защитой своих сообществ от внешних угроз путем обеспечения их эксклюзивности и необходимостью привлечения достаточного количества активных членов для поддержания активности этих сообществ. Следовательно, хотя большинство наблюдаемых RLCF легко доступны для более широкой аудитории, избранные и эксклюзивные сообщества высокого уровня зависят от значительных сборов за регистрацию и условное депонирование для обеспечения своей финансовой жизнеспособности.
А) Действительно ли RLCF являются «подпольными» сообществами?
Хотя термин «подполье» обычно используется для описания форумов киберпреступников, предполагая элемент сокрытия или сложность доступа к ним, эта характеристика не полностью отражает фактическое состояние большинства RLCF. Среди 94 выявленных активных форумов 64 доступны только через открытые веб-ссылки, а 26 доступны как через открытые веб-домены, так и через сеть TOR. Примечательно, что большинство RLCF можно найти с помощью обычных поисковых систем, таких как Google или Яндекс. Основная задача заключается в отслеживании частых изменений домена, которые происходят на многих форумах.
Обычно RLCF, которые предоставляют членам возможность подключения через ссылку TOR, в основном делают это для того, чтобы привлечь пользователей, стремящихся поддерживать высокий уровень операционной безопасности (OPSEC), а не для сокрытия своего сообщества. Однако есть заметные исключения, такие как форумы по наркотикам и некоторые сообщества кардинга. Эти группы часто оказываются под прицелом правоохранительных органов, что приводит к частой блокировке их доменов, что приводит к необходимости использования TOR для доступа и продолжения работы.
До недавнего времени форум RAMP, ориентированный на программы-вымогатели, был доступен исключительно через ссылку TOR, и новые участники должны были внести комиссию в размере 500 долларов США за активацию учетной записи. Хотя этот сбор по-прежнему применяется к новым участникам, не имеющим авторитетного присутствия на таких форумах, как «XSS» или «Exploit», в апреле 2023 года произошло существенное изменение. Администратор RAMP создал четкий веб-домен, предположительно в качестве стратегического шага по расширению круга участников форума. база пользователей. Более того, нынешние владельцы этого форума явно преследовали потенциальных китайскоязычных субъектов угроз, включив китайский перевод форума.
Рисунки 4 и 5. Примеры ограничения доступа. Эксплойт RLCF слева не позволяет лицам, не являющимся участниками, видеть содержимое форума, в то время как LolzTeam доступен без регистрации.
Таблица 1. Источник: Дневники киберпреступности – январь 2024 г.
Если администратор RLCF хочет скрыть содержимое своего форума, он может использовать различные методы для ограничения доступа. Однако решение об ограничении доступности форума не применяется повсеместно, поскольку может отрицательно повлиять на его популярность. Только некоторые эксклюзивные сообщества склонны принимать эту стратегию, которая может преследовать несколько целей. Наркотики RLCF часто доступны только через ссылки TOR, потому что их чистый домен был бы просто постоянно запрещен правоохранительными органами. Чтобы помочь потенциальным клиентам найти их, владельцы Drugs RLCF создают или используют специальные веб-сайты, доступные в открытой сети, и рекламируют «сообщества и торговые площадки даркнета», делясь своими ссылками на TOR и доменами. Менее радикальный, но все же эффективный подход к ограничению доступа предполагает сокрытие содержания форума от лиц, не являющихся его участниками, и препятствование поисковым системам индексировать форум. Обычно злоумышленнику достаточно создания бесплатной учетной записи, чтобы получить доступ ко всей информации форума.
По состоянию на январь 2024 года всего 10 форумов требуют оплату за создание учетной записи или за возможность взаимодействия с другими пользователями. Это относится к таким RLCF, как «Омерта», «Клуб WWH» или «Coockie Pro». И наоборот, свободные сообщества, стремящиеся поддерживать определенную степень избирательности, иногда ограничивают регистрацию новых учетных записей в определенные периоды. В последнее время RLCF, такие как «XSS», стали очень популярны, особенно после закрытия известных англоязычных форумов в 2022 году. Это привлекло много новых англоязычных пользователей, что обеспокоило администрацию форума и русскоязычных участников. Администратор этого форума решил предотвратить резкий приток новых участников или отдельных лиц, имеющих несколько учетных записей, открывая регистрацию новых учетных записей только на короткие периоды времени.
Наконец, промежуточное решение — создать премиум-сообщество внутри самого сообщества. В настоящее время 4 RLCF имеют эксклюзивные разделы, доступные только наиболее авторитетным участникам, определяемым администрацией и участниками-коллегами. Такая практика наблюдается на таких форумах, как «Проверено» или «Эксплойт», где доступ предоставляется на основе репутации и положения в сообществе или определенного количества опубликованных сообщений.
Рисунок 6. Автоматический перевод. Пример закрытого раздела, доступного только избранным участникам Exploit.
Б) Из чего состоят RLCF?
По своей сути конфиденциальная и незаконная деятельность, осуществляемая в рамках RLCF, требует строгого подхода к их собственной практике кибербезопасности. Экономическая конкуренция между форумами и соперничество между сообществами киберпреступников часто становятся причиной взаимных атак. Таким образом, форум киберпреступников, ставший жертвой искажения, кражи данных или ставший недоступным после DDoS-атаки, может столкнуться с подрывом авторитета и доверия среди своих участников. Критические нарушения безопасности не только ставят под угрозу операционную целостность форума, но и значительно подрывают его авторитет в сообществе киберпреступников.
Таким образом, ключевой задачей является выбор известных пакетов программного обеспечения для интернет-форумов, на которых построены RLCF. Xenforo, vBulletin или IPB очень популярны, поскольку обеспечивают удовлетворительный пользовательский опыт и, что наиболее важно, хорошо изучены исследователями безопасности и хакерами, что ограничивает риски обнаружения и эксплуатации уязвимости нулевого дня.
Злоумышленники активно используют недостатки программных пакетов форумов, чтобы навредить репутации и нарушить работу конкурирующих форумов, как это было летом 2022 года, когда форум по наркотикам «РуТор» был взломан конкурентами с торговой площадки под названием «Кракен». ». Новые слабые места можно обнаружить не только в самом программном обеспечении интернет-форумов, но и в плагинах форумов . Например, уязвимый плагин стал причиной утечки данных на форуме «Эксплойт» в 2017 году.
Рисунок 7. Летом 2022 года RLCF RuTor был скомпрометирован его конкурентом Kraken.
Сеть доставки контента (CDN) — еще один инструмент, обеспечивающий безопасность и доступность RLCF, поскольку они являются важным компонентом защиты от DDoS-атак. Администраторы в основном полагаются на Cloudflare CDN как на один из инструментов, предотвращающих обнаружение реальных IP-адресов их форумов.
Рисунок 8. Примеры обсуждений DDoS-атак на русскоязычные наркофорумы и маркетплейсы.
Таблица 2. Источник: Дневники киберпреступности – январь 2024 г.
В) Другие услуги, предоставляемые RLCF – Создание рабочей среды для киберпреступников.
Русскоязычные форумы киберпреступников — это не только места, где злоумышленники общаются или ведут бизнес, но они также предоставляют им доступ к полезной рабочей среде. Например, все встреченные RLCF предлагают своим членам услугу условного депонирования. Хотя мы углубимся в особенности системы условного депонирования позже, на этом этапе важно понимать, что она действует как механизм безопасности. Эта система позволяет злоумышленникам уверенно участвовать в покупке и продаже услуг и товаров с уверенностью, что форум вернет им деньги, если транзакция не пройдет должным образом. Естественно, эта услуга не является бесплатной; комиссии обычно переводятся через биткойн-кошельки форума и сохраняются до успешного завершения транзакции.
Еще одна популярная услуга, предлагаемая расширенным RLCF, — это возможность создать адрес Jabber/XMPP (служба обмена сообщениями), размещаемый на серверах форума. Действительно, анонимность и конфиденциальность общения за пределами форумов — важная потребность киберпреступников, мессенджеры Jabber — один из инструментов, который помогает киберпреступникам защитить свои обмены. XMPP или расширяемый протокол обмена сообщениями и присутствия — это открытая технология XML для связи в реальном времени. Она поддерживает широкий спектр приложений, таких как мессенджер Jabber. Этот мессенджер до сих пор популярен среди русскоязычных киберпреступников, хотя был создан еще в 1999 году. Обнаружение в мае 2023 года уязвимости удаленного выполнения кода в мессенджере qTOX — инструменте одноранговой связи, очень популярном среди русскоязычных киберпреступников. , вызвал возрождение популярности Jabber.
Одним из недостатков протокола XMPP и мессенджера Jabber является необходимость наличия или использования сервера, через который будет проходить общение. Таким образом, злоумышленникам приходится выбирать: создавать собственный сервер или использовать уже существующий, на котором якобы не регистрируются логи. Самыми известными из этих якобы анонимных серверов, принадлежащих RLCF, являются @thesecure.biz и @exploit.im, принадлежащие соответственно «XSS» и «Exploit». В целом только 9 RLCF имеют собственный XMPP-сервер.
Более частым явлением является наличие ссылки на официальный канал Telegram. С тех пор, как Telegram приобрел известность, почти половина RLCF создали официальный канал Telegram. Последние могут принимать несколько форм: самые сложные имеют канал с несколькими ветками, похожий на настоящий форум, менее продвинутые Telegram-каналы, принадлежащие RLCF, просто имеют ленту новостей и чат.
Рисунки 9 и 10. RLCF часто имеет собственный Telegram-канал.
Слева форум программирования r0 создал в своем канале несколько разделов.
Справа: официальный новостной канал SkynetZone, форума по борьбе с мошенничеством.
Наконец, в некоторых случаях некоторые форумы открыто демонстрируют свою связь с другими сообществами и рынками. Эти партнерские отношения часто видны на форумах через рекламу на торговых площадках или через специальные темы, связанные с аффилированными форумами и веб-сайтами. Кроме того, некоторые RLCF, такие как WWh-Club, ориентированный на кардинг, включают в себя финансовые услуги, в том числе миксеры криптовалют. Примечательно, что известные и продвинутые форумы по наркотикам, такие как RuTor, разработали для своих участников мобильное приложение (Android и iOS) для упрощения операций с наркотиками. В некоторых исключительных случаях RLCF также предлагает уникальные инструменты, такие как средства проверки уязвимостей и анонимности, а также системы обмена файлами для своих пользователей. Интересный случай наблюдался на форуме Dark2web, запустившем собственную операционную систему, якобы ориентированную на анонимность (см. d2wos[.]net) .
Рис. 11. Рекламный пост об операционной системе «D2W_OS», опубликованный на Dark2web в июле 2023 г.
Таблица 3. Источник: Дневники киберпреступности – январь 2024 г.
Рисунок 12. Пример сервисов, аккаунтов в социальных сетях и способов доступа к RLCF.
III) RLCF и их экономическая система – дорогостоящие инвестиции ради потенциально важного вознаграждения.
Как вы уже догадались, мало кто приложил бы столько усилий для создания и поддержания форума киберпреступников, если бы целью этой деятельности не было получение прибыли. Однако существует несколько методов достижения этой цели. Мы рассмотрим различные стратегии монетизации, используемые администраторами RLCF. Понимание этих стратегий имеет решающее значение для понимания экономических основ, которые поддерживают и продвигают финансово успешные форумы, иллюстрируя, как они конвертируют свою незаконную деятельность в финансовую прибыль.
Ограничением этого исследования является отсутствие точных данных о расходах, связанных с рекламой, зарплатой персонала или расходами на инфраструктуру, например хостинг. Эти затраты не распределяются прозрачно и имеют тенденцию варьироваться в зависимости от каждого конкретного случая, что затрудняет получение точной финансовой информации для каждого RLCF. Хотя надежные хостинг-провайдеры открыто раскрывают свои тарифы для злоумышленников, стоимость их услуг для RLCF специфична и непостоянна. На это изменение цен влияют такие факторы, как объем трафика каждого сообщества, локализация серверов и дополнительные опции, что затрудняет единую оценку. Заработная плата сотрудников — еще один неизвестный параметр, поскольку модераторы могут быть как волонтерами, так и оплачиваемыми сотрудниками.
Напротив, источники доходов RLCF поддаются определенной оценке и иногда открыто обсуждаются их руководителями. По словам создателя LolzTeam, его форум сейчас приносит доход в размере 15 миллионов рублей в год (около $190 000 на момент подачи претензии в апреле 2023 года). Администратор квалифицировал эти деньги как «серые» и сказал, что не может сообщить о них в российские налоговые службы.
А) Цена славы – неизбежные траты и рискованные инвестиции.
Как показывает случай с господином Матвеевым и его форумом RAMP, расходы, связанные с поддержанием и развитием киберпреступного сообщества, значительны, а успех не гарантирован. Они включают в себя надежный хостинг, защиту от DDoS и спама, техническое обслуживание движка форума, модерацию и, наконец, что не менее важно: время. Наблюдения за другими RLCF также показывают, что затраты, связанные с созданием контента и рекламой, могут быть значительными. Последние две категории особенно важны для новых форумов или для сообществ, которым приходится конкурировать за сохранение верности своей пользовательской базы.
1) Реклама – необязательна для доминирующего RLCF, важна для форумов по наркотикам и новых RLCF.
Анализ рекламных объявлений, принадлежащих различным RLCF, свидетельствует о разнообразном подходе к рекламе среди русскоязычных киберпреступных сообществ. Не все из них инвестируют в рекламу, а те, кто это делает, используют разные стратегии. Нишевые форумы типа «Эксплойт» или «XSS», например, не выделяют средства на рекламу, так как они уже известны и не хотят привлекать к себе слишком много внимания. Напротив, новые RLCF, стремящиеся расширить свое сообщество и репутацию, такие как кардинговый форум «DarkClub», активно и агрессивно продвигают свою деятельность.
Удивительное явление наблюдалось: «DarkClub» начал публиковать на каналах Telegram рекламу, не имеющую никакого отношения к кибербезопасности, что подчеркивает стремление некоторых RLCF привлечь новых участников за пределами хакерского сообщества. Эту стратегию также реализуют несколько русскоязычных форумов по наркотикам, которые решили ориентироваться на потенциальных клиентов, размещая свои рекламные баннеры на улицах и рекламных щитах российских городов, таких как Москва . После смерти нескольких человек, которым RLCF и торговые площадки заплатили за развертывание баннеров на крышах зданий, похоже, что новой тенденцией стало использование проекторов для показа рекламы.
Стоимость покупки рекламы на веб-сайтах, каналах Telegram или других форумах киберпреступников для продвижения RLCF может быть значительной. Это было подчеркнуто арестом ФБР администратора DeepDotWeb, который показал, что этот человек заработал более 8 миллионов долларов на размещении на своем сайте ссылок на торговые площадки и форумы киберпреступников .
Рисунок 13. RLCF DarkClub рекламирует свою деятельность даже на каналах Telegram, не связанных с кибербезопасностью.
