Погружение в «темную сеть»
Даркнет (darknet) представляет собой скрытую часть глобальной сети интернета, доступ к которой невозможен через стандартные и известные поисковые системы. «Темная сеть» не регулируется государством, что позволяет пользователям сохранять анонимность благодаря специальным методам шифрования и маршрутизации. Это делает даркнет привлекательным для различных киберпреступников. Особенность анонимности в нем также означает, что пользователи могут избежать ответственности за свои действия, это способствует распространению незаконных операций. Теневые ресурсы включают различные форумы, собственные поисковые системы и сайты, на которых предлагается широкий спектр товаров и услуг: от продажи украденных данных и вредоносного программного обеспечения (ВПО) до взломов на заказ.
Аудитория подполья: мотивация и цели
По мере того как технологии развиваются, «открытый интернет» становится все более контролируемым, что порождает рост интереса к альтернативным пространствам, таким как дарквеб. В этом темном уголке интернета можно встретить разных пользователей: от преступников до просто интересующихся людей. Каждого из них привлекают особенные черты этой сети.В широком смысле участников теневого рынка можно разделить на две категории — это продавцы и покупатели. Продавцы имеют важное значение в мире преступных рынков, закрывая высокий спрос своими предложениями. Играя по тем же правилам, что и в легальном бизнесе, они нацелены на удержание и привлечение новой аудитории и, соответственно, повышение своих доходов. Покупатели же являются теми, кто создает спрос, и часто их мотивация тоже — финансовая прибыль. И тех и других можно назвать киберпреступниками.
Киберпреступность охватывает широкий спектр незаконных действий, осуществляемых с помощью цифровых технологий, например фишинг или атаки с использованием вредоносных программ. Цели таких атак могут варьироваться: от получения финансовой выгоды до вывода из строя систем по личным или политическим мотивам. Существуют различные типы киберпреступников (хактивисты, начинающие злоумышленники, APT-группировки и другие), и у каждого из них — свои уникальные способы действия и причины.
Хактивисты
Киберпреступники, которые используют кибератаки для выражения своих политических, идеологических или социальных убеждений, а также для привлечения внимания к различным проблемам. Их деятельность выходит за рамки личной выгоды и направлена на изменение общественного мнения или политических процессов. Эта группа лиц часто выступает против правительств и организаций, которых они считают нарушителями в тех или иных аспектах. Используя теневые ресурсы и некоторые легальные (в том числе Telegram), они организовывают атаки на правительственные системы, публикуют украденные данные или распространяют компрометирующую информацию о целевых объектах. Хактивисты также предлагают свои курсы (например, по deface: злоумышленники изменяют контент сайта с целью политического протеста и прочих мотивов) или DDoS-услуги.
Начинающие злоумышленники
Неопытные злоумышленники используют уже созданные и доступные инструменты для проведения кибератак. В отличие от профессионалов начинающие киберпреступники не имеют глубоких технических знаний, но, несмотря на это, могут получать доступ к различным вредоносным программам, которые распространяются на теневых рынках. Это позволяет им участвовать в кибератаках с минимальными усилиями. Используя дарквеб, они могут покупать или скачивать вредоносные инструменты для атаки на сайты, сети и другие ресурсы, а затем хвастаться своими «успехами». Для новичков подполье является платформой, на которой они общаются с более опытными киберпреступниками, самопрезентуются перед ними. Для многих подобных злоумышленников участие в кибератаках является способом развлечения, а не целенаправленной вредоносной деятельностью.
APT-группировки
APT-группировки (advanced persistent threat) — это организованные и хорошо финансируемые группы хакеров, которые занимаются долгосрочными и целенаправленными кибератаками. Группировки часто связаны с государственными структурами или получают поддержку от национальных правительств, что позволяет им использовать передовые технологии и ресурсы для достижения своих целей. Важно отметить, что APT-группировки часто остаются незамеченными в сети жертвы на протяжении месяцев или даже лет. Основными целями их атак является: сбор информации в рамках шпионажа, нарушение работы систем КИИ, повреждение корпоративных систем. Вот некоторые примеры таких группировок: , . На теневых ресурсах представители этих группировок могут приобретать различные доступы (о них мы поговорим ниже) для проникновения в корпоративные сети и другие услуги.
Группировки-вымогатели
Банды-вымогатели — это киберпреступные группировки, специализирующиеся на атаках с использованием вредоносного ПО, которое зашифровывает данные жертв, с последующим требованием выкупа за восстановление доступа. Дарквеб является ключевой платформой для таких группировок, на которой они публикуют имена жертв, выкладывают украденные данные, ведут поиск аффилированных лиц и продают шифровальщики по подписке (RaaS, Ransomware-as-a-Service).
Разработчики ВПО
Разработчики вредоносного программного обеспечения занимают чуть ли не главное место в теневой экосистеме, создавая необходимый софт для проведения кибератак. Такие разработчики стремятся к написанию программ, которые будут пользоваться коммерческим успехом в подпольном мире. А также они нацелены на приобретение авторитета и репутации на теневых площадках или среди других злоумышленников, что положительно влияет на увеличение спроса на предоставляемый продукт.
Различные интересующиеся лица
Несмотря на то, что теневые ресурсы обычно ассоциируются с преступной деятельностью, ими пользуются и те, кто не преследует незаконные цели. В этот круг лиц входят специалисты по ИБ, студенты и разные исследователи. Каждый из них преследует свои цели, но все сводится к сбору и изучению данных. Например, некоторые люди заходят на теневые форумы, чтобы удовлетворить личный интерес к кибербезопасности и хакерской культуре. Они могут быть энтузиастами, которые хотят узнать больше о методах атак, но не имеют намерений применять полученные знания для преступной деятельности. И их цель не более чем расширение знаний или просмотр обсуждений и дискуссий.
Дарквеб как источник прибыли
Как и любая сфера, где покупаются и продаются товары и услуги, теневой рынок является прибыльным бизнесом, но нелегальным. Рынки «темной сети» — питательная среда для киберпреступников, которая стимулирует развитие спроса и предложения на незаконные товары и услуги. Способы получения дохода в дарквебе включают в себя не только их прямую продажу, но и такие способы заработка, как партнерские программы, схемы обмана, создание вредоносного ПО на заказ, а также продажу инструкций и консультаций по проведению различных кибератак.Так, например, в последнем исследовании, что, хотя доходы рынков даркнета от криптовалюты значительно снизились после пика 2021 года, в 2023-м они начали восстанавливаться. Несмотря на закрытие крупнейшего дарквеб-рынка Hydra в 2022 году, другие нелегальные магазины и площадки увеличили свои доходы почти до двух миллиардов долларов в 2023-м, что почти на 25% больше, чем в 2022-м. Рост связан с появлением новых игроков, которые начали заполнять вакуум после закрытия Hydra, а также с агрессивными маркетинговыми методами и интеграцией анонимных криптовалютных платежных процессов, например UAPS (Universal Anonymous Payment System, универсальная анонимная платежная система).
По сути, эти платежные процессоры предоставляют услугу white label для даркнет-рынков, обеспечивая бесшовное оформление покупок для клиентов этих сервисов.
Рисунок 1. Доходы даркнет-магазинов (2021–2023)
Кроме того, в июле 2024 компания TRM Labs, специализирующаяся на анализе и обеспечении безопасности в области криптовалют, опубликовала . В нем говорится, что три крупнейших русскоязычных даркнет-маркета обработали транзакции на сумму 1,4 миллиарда долларов, в то время как на западных площадках за тот же период было совершено сделок на 100 миллионов долларов.
Рисунок 2. Обработанные транзакции даркнет-маркетов (2022–2023)
Теневая экосистема
В дарквебе существует своя уникальная экосистема теневых ресурсов, которая позволяет пользователям обмениваться информацией, продавать и покупать нелегальные товары, а также координировать кибератаки. Эта экосистема состоит из специализированных форумов, где преступники могут обсуждать новые методы атак, маркетплейсы, которые функционируют как онлайн-рынки, и мессенджеры вроде Telegram. Совокупность этих ресурсов формирует фундамент теневой экономики, скрытой от глаз обычных пользователей интернета.Форумы
Форумы дарквеба являются платформами, на которых пользователи могут общаться, обмениваться информацией и предлагать различные нелегальные товары или услуги. Например, там можно найти данные украденных платежных карт, вредоносное программное обеспечение, инструменты для взлома, а также доступ к скомпрометированным аккаунтам. Кроме этого, обсуждают различные новости, методы атак на компьютеры и сети, делятся опытом в области анонимности (в частности, как дольше оставаться незамеченным). Теневые форумы скрыты от обычных поисковых систем и требуют специального ПО для доступа к ресурсам. Однако некоторые площадки, посвященные обсуждению хакерской деятельности, могут существовать и в «открытом интернете» (clearnet — клирнет).
Рисунок 3. Обсуждение новости на теневом форуме
Многие подобные ресурсы организованы в виде разделов и тем, чтобы пользователям было удобнее ориентироваться. Там есть и «Уязвимости веб-приложений», и отдельный раздел для ВПО, и другое.
Рисунок 4. Разделы на форумах в дарквебе
Форумы живут и зарабатывают благодаря комиссии, например с системы автогарантов при совершении не особо крупных сделок, или предоставляют своих «живых» гарантов, когда речь идет о более крупном масштабе операций. Еще немаловажным финансовым потоком является размещение рекламы. Таким образом, злоумышленники могут более эффективно продвигать свои услуги, например с помощью криптомиксеров, пробивов и прочего. Стоимость таких рекламных объявлений может начинаться от 50 $ за месяц.
Рисунок 5. Реклама на теневом форуме
Еще одним прибыльным потоком является повышение привилегий учетных записей участников форума. За оформление такой подписки пользователи могут получать различные бонусы в виде открытия всех скрытых сообщений на форуме, возможности поднимать коммерческие темы в топ, открытия возможности выставлять продукты на торговой площадке. Есть и более продвинутая подписка (2000 $ в год), обеспечивающая возможность собирать данные с форума без блокировки аккаунта.
- Стоимость подписки варьируется от форума к форуму и начинается от 10 $ в месяц.
Рисунок 6. Варианты повышения привилегий аккаунта
Важно отметить, что на некоторые форумы можно попасть только оформив платный доступ или имея хорошую репутацию на других признанных площадках (в противном случае придется заплатить). В свою очередь, это позволяет отсеивать «случайных пользователей» и создавать сообщество только из заинтересованных личностей, настроенных на участие в незаконной деятельности.
Рисунок 7. Платная регистрация на теневом форуме
Структура подпольных форумов
Как и в любой другой коммерческой экосистеме, на теневых площадках имеется своя структура и иерархия, которая обеспечивает их функционирование. В основе стоят администраторы, гаранты и арбитры (о них поговорим ). Первые являются «верхушкой» подпольных форумов. Они владеют платформой и несут ответственность за ее техническую и организационную работу. Их задача — поддерживать доверие к площадке, ведь этот аспект напрямую влияет на ее популярность. Затем идут модераторы — доверенные лица администраторов, которые следят за соблюдением правил на форуме, модерируют контент, проверяют сообщения на наличие мошенничества. Кроме того, они могут вступать в различные дискуссии, например в обсуждения рекомендаций по анонимности.Те, кто создают спрос и предложение, — продавцы и покупатели. Верифицированные продавцы получают статус одобрения площадки, внося депозит на счет. Покупатели же являются ядром подполья. Новички и опытные злоумышленники создают спрос на предлагаемые товары. Следом идут привилегированные участники и обычные пользователи. Привилегированные участники зарабатывают особый статус на форуме благодаря высокой вовлеченности и высокой репутации (или просто оплачивают повышение аккаунта). Стоит отметить, что они могут получать доступ к закрытым разделам форумов. В свою очередь, обычные пользователи составляют основную часть аудитории теневых площадок.
Рисунок 8. Структура подпольных форумов
Последнее редактирование модератором:
