О работе русскоязычных киберпреступных форумов и последствиях их взлома рассказал “Ъ” бывший российский хакер Павел Ситников.
Фото: Из личного архива
— Когда и как появились русскоязычные хакерские форумы?
— Форумы появились в 1990-е годы для обмена информацией и общения между хакерами. Зарабатывать деньги на этих площадках они начали в 2000-е годы. Exploit изначально был открытым бесплатным форумом с технической направленностью: его участники обменивались информацией о способах взломов и уязвимостях. Позже форум стал более закрытым, а регистрация на нем стала стоить $100. Maza и Verified — закрытые площадки. На них в основном размещают мошеннические схемы. Регистрация на Maza стоит $1 тыс., для нее нужно иметь трех поручителей из числа участников форума.
— В утекшей базе Maza более 2 тыс. пользователей. Это реальное число участников форума?
— Думаю, реально на форуме общалось меньше чем 2 тыс. человек. В основном там сидели те, кто зарегистрировался с самого его основания. В последние годы на Maza редко появлялись новые посты. Но участники продолжали вести дела и обмениваться контактами в личных сообщениях. Они и представляют основную ценность при взломе форума. Денег на этой информации не заработаешь, но для органов это интересно.
— Как повлияют взломы форумов на хакерский бизнес?
— Главным последствием станет пополнение «доски почета» «Most wanted FBI» («Разыскивается ФБР»). Влияние взломов на хакерский бизнес и сообщество очень болезненно. Участники форумов десятилетиями вели на этих площадках бизнес, а после взломов об этом узнает общественность. Хакеры боятся быть раскрытыми.
— Могут ли подняться цены на киберкриминальные услуги?
— Думаю, цены на «пробив» поднимутся. Но связано это скорее с ужесточением политики Роскомнадзора и МВД против утечек персональных данных: требованием закрыть ботов-пробивщиков в Telegram, повышением штрафов за нарушения при обработке таких данных.
— Сколько может стоить взлом хакерского форума?
— От $1 млн за форум средней руки до бесконечности.
— Часто происходят такие взломы?
— Атаки на хакерские форумы были всегда, но успешные — практически всегда пытаются скрыть всеми возможными способами. На Exploit и раньше часто случались атаки. Обычно это происходит из-за внутренних разборок, например, кого-то из участников заблокировали или удалили и они мстят админам.
— Могут ли атаки на форумы быть ответом на атаки русскоязычных хакеров OldGremlin на российские же компании в прошлом году?
— У русскоязычных хакеров не принято работать по доменной зоне .ru. Это связано с тем, что, во-первых, нехорошо гадить там, где живешь, а во-вторых, заработать на атаках за рубежом можно гораздо больше. Я не думаю, что взломы форумов были ответом на прошлогодние атаки на российские компании, потому что я сомневаюсь в том, что это были атаки именно со стороны OldGremlin.
— С чем тогда могут быть связаны атаки на форумы?
— Нынешние атаки хакерских площадок — это показательная казнь. Работает одна группа, кто, пока неясно, но есть подозрения. Причина — передел сфер влияния. Стоят за этим те, кто имел или имеет непосредственное отношение к площадкам или их обслуживает. Маловероятно, практически невероятно, что это зарубежные хакерские группы или спецслужбы.
Темная сторона даркнета
К чему готовиться добропорядочным компаниям, когда хакеры начинают передел рынка