Один старейших теневых форумов Maza был взломан, узнал “Ъ”. В результате атаки данные более 2 тыс. элитных русскоязычных хакеров оказались в свободном доступе. Взлом могли заказать конкурирующее сообщество или власти, считают эксперты. Но информация о пользователях ресурса будет не слишком полезна правоохранительным органам: на атаки с участием таких киберпреступников, по экспертным оценкам, сейчас приходится не более 3% от всех атак в сети.
Фото: Ирина Бужор, Коммерсантъ / купить фото
Известный русскоязычный хакерский форум Maza был взломан 18 февраля, обнаружила американская компания по кибербезопасности Flashpoint Intel. “Ъ” ознакомился с ее отчетом. Речь идет о сообществе элитных киберпреступников и финансовых мошенников, многие из которых начали криминальную деятельность еще в середине 1990-х годов. Злоумышленники разместили на форуме сообщение о том, что площадка взломана и данные пользователей утекли.
В утекшей базе содержатся логины, пароли, электронные почты пользователей и альтернативные способы связи с ними, например контакты в ICQ, Skype, Yahoo и Msn.
Сообщения взломщиков переведены на русский язык в онлайн-переводчике, отмечают в Flashpoint. Это, по мнению, экспертов, может свидетельствовать о том, что форум был взломан не русскоязычными преступниками. «Либо это попытка направить аналитиков по ложному следу»,— считают в компании.
За взломом может стоять антихакерская группировка TeaMp0isoN, говорит основатель компании «Интернет-Розыск» Игорь Бедеров. По словам господина Бедерова, утекшая база содержит данные более 2 тыс. профильных киберпреступников. Несмотря на стремительный рост числа атак, хакерской «элитой» организованы лишь 3% из них, указывает эксперт.
База позволит идентифицировать часть инициаторов киберпреступлений, считает господин Бедеров.
В руки правоохранительных органов попала бесценная информация и при должном оперативном применении утечка может способствовать снижению общего уровня киберугроз в мире, согласен технический директор Trend Micro Россия и СНГ Михаил Кондрашин.
Даже если на форуме не было хакерского программного обеспечения (ПО) и исходных кодов, полученная информация может оказаться очень ценной для борьбы с кибератаками, считает эксперт управления информационной безопасности Softline Илья Тихонов. «Переписка и учетные данные пользователей тоже будут полезными»,— отмечает он.
Вряд ли подобный «слив» повлияет на судьбу хакеров, сомневается основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его мнению, раскрытие почтовых адресов на форуме не является доказательством того, что они участвовали в незаконной деятельности.
Взломы хакерских форумов — это нетипичный вид атак, так как риски в случае провала очень высоки, считают эксперты.
Maza тратил большие ресурсы на защиту приватности пользователей, хотя его уже взламывали десять лет назад, отмечает господин Кондрашин. «Но это не пошатнуло оплот киберпреступного андерграунда»,— говорит эксперт. По его мнению, за нынешней атакой стоит очень подготовленный и мотивированный человек или группа. «Возможно, злоумышленник был одним из пользователей этого ресурса»,— предполагает он.
Атаковать форум могли и «белые» хакеры, работающие по заказу властей, предполагает господин Тихонов. «В пользу этого говорит тот факт, что полученные в результате взлома данные уже начали появляться у крупных организаций по борьбе с фродом»,— объясняет он.
Скорее всего, причиной атаки стал личный или финансовый интерес, предполагает господин Бедеров. «Возможно, кого-то из участников оскорбили или недоплатили обещанные от мошеннической схемы деньги»,— рассуждает он.
Обычно хакерские форумы ломают конкуренты, говорит господин Оганесян. По его мнению, этот взлом может быть предупреждением для владельцев Maza как раз со стороны конкурентов. «Но "улов" в данном случае невелик, поскольку в базе всего 3 тыс. строк, и присутствующие хеши (значения в закодированном виде.— “Ъ”) паролей частично скрыты»,— отмечает эксперт. По его мнению, основным объектом конкурентной борьбы может быть комиссия за незаконные сделки, которые проводятся на форуме, а также эксклюзивный доступ к публикуемым там уязвимостям и файлам утечек.