Один из старейших теневых хакерских форумов Maza (он же Mazafaka) был взломан в конце февраля — об этом сообщила в своем отчете американская компания по кибербезопасности Flashpoint Intel. В результате атаки в Сеть утекли данные более 2 тысяч киберпреступников — в отчете их называют «элитными русскими хакерами». Кто и зачем украл информацию — пока не установлено.
В открытом доступе оказались:
- имя пользователя на сайте;
- адрес электронной почты;
- аккаунты в мессенджерах и онлайн-сервисах (ICQ, Skype, Yahoo и Msn);
- хешированные (закодированные) пароли.
В Flashpoint Intel отметили, что неизвестным удалось полностью скомпрометировать внутреннюю базу данных Maza. На его главной странице появилась надпись «Этот форум был взломан. Ваши данные были пропущены». Авторы сообщения под словом «пропущены» имели в виду, вероятнее всего, «похищены».
Maza взламывают уже не в первый раз. В феврале 2011 года в результате атаки на ресурс данные более 2 тыс. его пользователей были скомпрометированы, а их переписка на форуме оказалась в открытом доступе. По некоторым данным, за взломом стоял конкурирующий хакерский форум — DirectConnection.
Детали
Эксперты по кибербезопасности представили несколько версий причин случившегося и того, кто может стоять за атакой.
- В Flashpoint Intel сообщили, что киберпреступники, укравшие данные Maza, пользовались онлайн-переводчиком, и русский язык, вероятно, для них не родной. Это говорит о том, что за взломом стоит группировка не из России, либо это попытка запутать расследование.
- Основатель компании «Интернет-Розыск» Игорь Бедеров считает, что ко взлому может быть причастна антихакерская группировка TeaMp0isoN.
- Эксперты также не исключают, что форум по заказу властей могли взломать «белые хакеры». Данные, полученные в результате атаки, начали появляться у крупных организаций по борьбе с телефонным и интернет-мошенничеством.
- Также вероятной причиной атаки мог быть личный или финансовый интерес, а организовать атаку могли конкуренты, считают некоторые специалисты.
Относительно ценности украденной информации эксперты по кибербезопасности во мнении расходятся.
- Некоторые из них считают, что теперь у правоохранительных органов есть информация, которая позволит снизить общее количество киберугроз в мире.
- Другие полагают, что раскрытие почтовых адресов — не доказательство того, что их владельцы — хакеры.
- Специалисты по кибербезопасности признают, что украденные с форума данные позволят идентифицировать часть киберпреступников, но при этом уточняют, что на долю хакерской «элиты» сейчас приходится не более 3% всех атак в мире.
Сами пользователи Maza утверждают, что произошедшая атака не представляет особой опасности, потому что украденные данные либо неполные, либо неактуальные.
Что обсуждают на форуме Maza
Maza, или Mazafaka, — закрытый русскоязычный форум с большим количеством ограничений на вход.
- Веб-ресурс действует как минимум с 2003 года, его аудитория — русскоязычные хакеры, интересующиеся продажей или покупкой украденной платежной и финансовой информации.
- На онлайн-площадке обсуждаются темы, связанные с вредоносным программным обеспечением, уязвимостями сайтов, мошенническими схемами, методами отмывания денег.
Другие утечки с хакерских сайтов
С середины января были взломаны четыре русскоязычных онлайн-форума, где общаются киберпреступники, данные с некоторых попали в открытый доступ или были выставлены на продажу. В начале марта стало известно о компрометации еще одного форума хакеров — Exploit. В конце февраля взлому подвергся прокси-сервер, которым пользовались его администраторы для защиты от DDoS-атак. Как отмечают участники Exploit, за атаками на теневые форумы киберпреступников могут стоять правоохранительные органы разных стран мира.
В 2020 году дважды за первые полгода был скомпрометирован один из популярных хакерских форумов в интернете OGUSERS (он же OGU).
- На форуме продавались украденные учетные записи на самых разных платформах и сервисах, таких, как Twitter, Instagram, PlayStation Network, Steam, Domino’s Pizza.
- Неизвестный хакер похитил данные 200 000 пользователей, воспользовавшись уязвимостью в софте сайта.
- Украденная информация практически сразу же обнаружилась на конкурирующих хакерских форумах.
Весной 2020-го в даркнете появилась в продаже база данных более нефункционирующего хакерского форума WeLeakData.com.
- Этот ресурс был внезапно закрыт, а база данных —похищена. Она содержала в себе логины пользователей, электронные адреса, хэши паролей, IP-адреса, с которых делались публикации на форуме, и личные сообщения.
- На самом сайте WeLeakData.com пользователи продавали и покупали базы данных, похищенные в результате утечек, логины и пароли, использующиеся для атак с подстановкой учетных данных.