在俄罗斯入侵乌克兰之后,“暗网”上的黑客组织正在为自己定位,支持或反对俄罗斯。本文将告诉您谁支持谁以及发生了哪些攻击。
2022年2月24日,俄罗斯入侵乌克兰。然而,在此之前,网络上已经有了一些动向。事实上,网络内的黑客组织被分为3个派别。网络中最黑暗的部分(被称为“暗网”)分为支持俄罗斯的团体、支持乌克兰的团体和第三类机会主义者。
大多数黑客组织支持乌克兰,而与勒索软件有关的参与者则支持俄罗斯。而另一群机会主义者试图利用处于战争中的国家和受战争影响的国家的弱点来做他们的生意和他们的罪行。
我们所看到的增长和观察到的最繁荣的业务之一是与出售受损账户的凭证有关的业务。这就是为什么自2021年12月以来,我们观察到有关乌克兰公民的数据泄露和该国公司和服务的账户被破坏的信息是如何增长的。在入侵开始之前,这种类型的拍卖几乎每月翻倍。
俄罗斯对暗网的战争 其中一些攻击行为和转储是:
与乌克兰最大银行PrivatBank的客户相关的4000万条PII(个人身份信息)记录;
750万个乌克兰护照记录和210万个该国国民的PII记录;
一个未指明类型和大小的数据库,其中包含与乌克兰边防警察有关的汽车登记、车牌和数据;
2800万份乌克兰公民的护照和驾驶执照记录,包括完整的扫描件和照片;
100万条与乌克兰私人邮政和快递服务公司Nova Poshta相关的记录;
1000万条记录,其中包含沃达丰(Vodafone)乌克兰公司的乌克兰客户信息;
300万条关于乌克兰电信公司lifecell客户的数据,以及另外1300万条与该国另一家电信公司Kyivstar相关的数据。
乌克兰战争中的暗网和俄罗斯:谁支持谁? 为了完整起见,在互联网上出售的最大的数据库转储是两个数据库,分别拥有5300万和5600万乌克兰公民的个人数据。一个从2006年就已经知道,但第二个是从2020年开始的。
在开展这些暗网业务的同时,来自一方或另一方的志同道合者和批评者的组成影响了网络犯罪和黑客活动组织。
最著名的勒索软件组织之一,例如Conti,在入侵后的第二天就宣布全力支持俄罗斯政府。几天后,该组织扩大了声明的范围,宣布对试图攻击俄罗斯关键基础设施的疑似西方战争贩子进行报复。
2月27日,Conti的一名成员泄露了该组织聊天室的对话,揭示了该组织的内部分歧,即支持俄罗斯和支持乌克兰的分歧。
另一个勒索软件组织CoomingProject宣布支持俄罗斯政府,并表示将应对任何针对俄罗斯的网络攻击。另一个组织”反对西方”(AgainstTheWest)在推特上发推回应说,它已经将前者的身份传给了法国警方:法国的六个年轻人据称是操作者。
2月26日,另一个勒索软件组织LockBit 2.0发布了更为中立的声明。该组织宣称自己不涉及政治,并表示不打算参与对任何国家关键基础设施的攻击或参与国际冲突。
暗网中将自己定位为反对俄罗斯的团体 另一方面,基辅一家科技公司的联合创始人叶戈尔·奥舍夫(Yegor Aushev)表示,乌克兰政府官员曾要求他征集黑客和黑客志愿者,帮助在网上保卫国家。
在网上活动中,一个据称来自匿名者组织的公告一直很突出。2月25日,有人代表该组织宣布公布了包含俄罗斯国防部数据库的几个文件。
然而,对匿名者组织所发布的信息的审查并不能真正确认这个组织的可信度。因为在其公布的文件中,只有1个文件可以包含任何可用的凭证,而其他文件都是之前已经泄漏的。
其他不太知名的在线活动组织,如GhostSec,声称攻击了两个IP,影响了100多个俄罗斯军事域名。然而,这一点无法得到证实。
此外,他们还泄露了一个新数据库,结果发现该数据库与匿名者组织发布的数据库完全相同。
由于入侵乌克兰而对俄罗斯实体进行的攻击 也许最活跃的团体是“反对西方(AgainstTheWest)”,一个泄露了含有机密信息的源代码数据库的组织。
他们还被指责为拒绝服务(DoS)攻击,安装恶意软件,各种网络攻击等,以回应俄罗斯对乌克兰的入侵。这些攻击针对俄罗斯和白俄罗斯的实体。
事实上,受到攻击的一些最著名的机构是俄罗斯联邦交通部或俄罗斯航空公司。几乎每天,该组织都在展示据称对俄罗斯政府各类公司和实体发起新攻击的证据。
另一个名为Ghostsec的组织声称对托管在2个IP上的100个俄罗斯军事子域的攻击负责。
他们声称共享了gov(.ru)和mil(.)ru等域名的泄露凭据。然而,这次泄密事件被证明与匿名组织的泄密事件相同。
同样的情况也发生在26日该组织泄露的新的泄露事件上。他们声称是针对与俄罗斯政府有关的两个团体:Ghoswriter和Gamaredon的所谓网络攻击的作者,暴露了他们使用的部分基础设施。
分布式拒绝秘密(DDoSecrets)等其他团体公布了200GB的白俄罗斯武器制造商Tetraedr的电子邮件,表明他们对俄罗斯的反对
乌克兰数字化转型部长费多罗夫于2月26日宣布成立一支由志愿者组成的“网络军队”。此外,Telegram频道显示了对俄罗斯天然气工业股份公司等俄罗斯公司、Yandex等服务和各种俄罗斯机构网站的各种网络攻击。
2月27日,这支军队似乎参与了针对克里姆林宫自己的网站等目标的各种DDoS攻击。
所有这些动作在某种程度上超出了一般公众的能力范围,但作为网上安全情报和预防的一个主要部分,应该对它们进行监测和跟踪。
事实上,我们必须对可能的网络攻击保持高度警惕,无论是勒索软件、网络钓鱼还是其他类型的攻击,因为任何这些积极参与网上冲突的团体,或者试图利用这种情况的犯罪分子,都应该随时采取行动,不能视而不见。
根据暗网使用情况,它既是福音也是祸根。一方面,它保护持不同政见者免受报复,并使举报人能够不受约束地开展业务。另一方面,它是非法活动的推动者,包括交易非法商品和服务。正是后一种功能吸引了非法比特币(BTC)持有者。
根据最近的一项研究,暗网在已知的非法比特币中占有最大份额。tradingplatforms.com的数据显示,暗网拥有超过36万个比特币,占已知非法比特币的66%。这意味着暗网的数据在过去180天内上升了57%。
tradingplatforms.com的Edith Reads说:“有一种说法是加密货币交易是匿名的,但事实并非如此。加密货币是匿名的,但也意味着任何人都可以通过你的钱包地址追踪你。坏人知道这一点,并正在寻找更复杂的方法来掩盖他们的踪迹。这解释了他们对暗网市场的偏爱。”
已知非法比特币持有量的分布 虽然占主导地位,但暗网市场并不是唯一持有已知非法比特币的地方。被盗资金占这些资金持有量的第二大份额。在撰写本报告时,这些已知的非法比特币约有11.2万个。
紧随其后的是比特币骗局,通过诈骗持有了近6.2万个已知非法比特币。最后,其他非法活动占用了另外1.2万左右的比特币。
除了持有非法比特币外,不良行为者还放置这些比特币。放置是洗钱过程的第一个阶段。它需要将非法资金输送到合法的平台来“清洗”它们。
“清洗”非法比特币 tradingplatforms.com的分析表明,骗子们更喜欢比特币交易所,而不是自己的钱包。截至发稿时,这些平台已帮助放置了价值超过500万美元的比特币。
其他参与者青睐比特币混合器,也称为混币工具。在撰写本报告时,这些工具在过去七天内帮助处理了近96万美元的比特币。最后,其他非法服务帮助处理了价值约130万美元的比特币。
比特币是犯罪的助推器吗? 比特币和其他加密货币因教唆洗钱和其他金融弊端而受到审查。怀疑论者说,它们的去中心化性质使它们成为实施邪恶行为的完美工具。
但是,市场数据显示,与犯罪活动有关的比特币只占整个比特币交易量的3%。同样,法定货币支持的金融犯罪数量也相对较多。
根据联合国的数据,传统金融体系每年产生非法活动的金额达4亿美元。相比之下,与犯罪有关的加密货币交易在2021年达到了约210亿美元。
Chainalysis报告显示,大约3.7%的加密货币大鳄是犯罪分子,他们的大部分收入似乎来自暗网,他们拥有约250亿美元的总资产。然而,随着执法变得更有效率,合法的加密货币采用仍然领先于非法使用。
区块链分析公司Chainalysis在2022的加密犯罪报告显示,网络犯罪分子占加密货币大鳄的3.7%。该区块链分析公司指出,在过去一年中,犯罪活动随着市场的增长而上升。
犯罪分子持有超过250亿美元 根据新的Chainalysis报告,通过链上的分析,大约有4068个犯罪分子控制的加密货币地址,占所有加密货币大鳄的3.7%。报告显示,这些犯罪分子持有约250亿美元的加密资产。
Chainalysis在其报告中透露了他们识别这些犯罪分子的过程。该公司指出,只有持有超过100万美元的私人加密货币地址,且其持有量的10%以上是从非法来源获得的,才被归入这一类别。
根据该报告,这些地址中有1361个从已知的犯罪地址获得了90%至100%的持有量。犯罪分子获得的资金来源的细分显示,暗网交易市场是违法资金的主要来源,占比为37.7%,其次是加密货币诈骗,占比为32.4%,而被盗资金、欺诈商店和勒索软件攻击弥补了其余部分。勒索软件攻击仅占1.9%,是列表中最小的来源。
利用从这些犯罪分子中的768个获得的数据,Chainalysis能够使用时区来尝试对其纵向位置进行强有力的估计,该公司估计,这768头犯罪分子的大部分活动可能来自南非、沙特阿拉伯和伊朗等国家。
Chainalysis还指出,尽管非法加密货币交易的数量仍处于最高水平,但2021年非法加密货币交易仅占加密货币总交易的0.15%。该公司指出,“非法活动在加密货币交易量中的份额从未如此低过。”然而,该公司承认,这些活动的庞大数量仍然令人担忧,并对无辜的个人和加密货币空间构成威胁,因为监管可能变得不利。
执法部门在处理加密犯罪方面做得越来越好 在报告中,Chainalysis赞扬了执法部门迄今为止所做的努力,并指出他们的能力正在“不断发展”。该报告引用了2021年CFTC和FBI打击加密货币犯罪活动的例子来支持这个观点。
在他们的报告中,Chainalysis试图详细说明这些加密犯罪是如何进行的以及正在蓬勃发展的新方法。他们希望执法部门能够利用这些发现,更好地打击加密货币犯罪。
需要值得注意的是,就在上周,在美国司法部查获与2016年黑客攻击相关的价值36亿美元的比特币之后,一对夫妇因涉嫌洗钱和欺诈在纽约被捕。
专家称,虽然一些大市场已经退休,但新玩家争夺主导地位。
在罗斯·乌布利希(Ross “Dread Pirate Roberts” Ulbricht)推出开创性的在线暗网市场“丝绸之路”11年后,新一代的地下市场继续在网上销售非法物质、恶意软件、枪支等,通常是通过暗网网站。
然而,暗网市场管理者、买家和卖家继续面临许多挑战,包括被捕的风险。但是,虽然个别暗网市场来来去去,但商业模式似乎不仅继续存在,而且还在蓬勃发展。
威胁情报公司Digital Shadows的研究人员在解释暗网市场持续存在的原因时说:“这里有两个主要原因:缺乏替代品和市场的易用性。”
以色列网络安全公司Kela的威胁情报分析师Victoria Kivilevich说,暗网市场是指通常只能通过匿名的Tor浏览器访问的网站,这些网站提供“由网络犯罪分子提供和向网络犯罪分子提供的各种商品、产品和服务”。但她表示,区分两种主要类型很重要:以毒品为中心的市场和提供“与网络相关的东西,例如登录、数据库、恶意软件等”的市场。
两者都存在在线替代方案。潜在的暗网市场买家和卖家总是可以尝试将他们的业务转移到其他地方——例如,使用加密的消息传递应用程序。但对许多人来说,市场提供的东西似乎继续超过使用它们的缺点。好处包括市场作为买家和卖家连接的集中地点,卖家和商品的评级有助于引导买家和清除诈骗者,市场提供托管资金,直到订单得到履行,以及争议纠纷的解决服务。
最长期和最受欢迎的暗网市场之一仍然是俄语的Hydra,它不欢迎非俄语使用者或不在俄罗斯境内或周边的任何人。
营业额持续增长 然而,许多其他无地域的暗网市场继续来来去去,其原因可能会有所不同,正如区块链分析公司Elliptic在其研究报告中强调的那样:“为什么数十亿美元的暗网市场正在退休?”
在过去的12个月中,多个大型市场已经退出,通常是在运营多年之后做出的选择。它们包括:
信用卡市场Joker’s Stash——2014年至2021年1月;
通用商品市场White House——2019年2月至2021年10月;
以大麻为重点的市场Cannazon——2018年3月至2021年11月;
通用商品和毒品市场Torrez——2020年4月至2021年12月;
信用卡市场UniCC——2013年至2022年1月;
UniCC附属网站Luxsocks——2014年5月至2022年1月。
但其他众多新旧暗网市场仍然存在,包括Bohemia、MGM Grand、Tor2door、World Market和重新启动的AlphaBay等。
为什么暗网市场会消失 Elliptic确定了暗网市场管理者通常退出历史舞台的五个原因:
财富自由:他们已经赚了很多钱,可以退休了。
风险意识:感觉到的逮捕风险太大。
勒索攻击:市场运营者经常受到网络犯罪分子的打击,包括通过分布式拒绝服务攻击,除非他们支付等值的在线保护费,也就是赎金。
个人原因:管理员有时会以环境变化为理由,例如他们的身体健康状况。
警方逮捕:管理员可以而且确实会被识别和逮捕,他们的市场会被接管或破坏。
暗网市场走向黑暗的另一个原因是“退出骗局”。同样,许多活跃市场提供托管系统,以确保买家和卖家在订单得到履行之前不会受到欺诈。但由于暗网市场有时会托管价值数百万美元的加密货币,许多管理员会选择放弃他们的网站,倾吞所有比特币、门罗币和其他数字货币。
然而,Elliptic指出,至少在过去六个月中,无论出于何种原因,退出骗局似乎都没有以前那么普遍了。
“我们并不年轻” 一些市场似乎可能因为不止一个原因而消失。上个月,在Joker’s Stash宣布退休后,UniCC是当时全球最大的被盗支付卡数据市场,UniCC的匿名管理员在论坛帖子中宣布自己退休。“我们并不年轻,我们的健康不允许再这样工作。”它写道。
从各方面来看,该网站已经非常成功。“UniCC自2013年以来一直很活跃,在此期间,它收到的加密货币付款总额为3.58亿美元,涉及比特币、莱特币、以太币和达世币。”Elliptic在当时的一份报告中说。“每天有数以万计的新卡在市场上挂牌出售,而且它以拥有众多不同的供应商而闻名——激烈的竞争使价格保持在相对较低的水平。”
蒙特利尔大学的犯罪学家戴维·德卡里·赫图告诉BBC,以这种有序的方式关闭被称为“日落”或“自愿退休”。
他说:“现在它似乎发生得更多,暗网交易市场优雅地退出并说‘我们已经赚了足够的钱,在我们被抓住之前,我们将退休并进入日落。’”这得益于较大的市场,例如Torrez,通过每笔交易获得的佣金,每天为他们的管理员赚取10万美元——甚至更多。
暗网市场:健康的前景 但在过去一年中至少有六个主要市场停止运营,这是否意味着暗网市场本身正在走向衰落?
Kela的Kivilevich在谈到以网络为重点的暗网市场时说:“我们认为,过去两年并没有从根本上改变市场格局,几个大的市场关闭了,UniCC是最后一个例子;然而,新的市场不断出现。”
一个市场的退出仍然是另一个市场的机会。Kivilevich说:“当一个市场关闭时,它的用户正在积极寻找替代品,而竞争对手则在宣传自己,渴望填补一个空白。例如,当Joker’s Stash退出时,UniCC对其客户进行了竞标,随后似乎获得了可观的利润。”
总体而言,Kivilevich说发展的方向继续朝着在暗网社区中被称为“汽车商店”的方向发展,指的是以高度自动化的方式销售商品和服务的网站。Kela将通过高度自动化的专用网站不仅是销售商品而且还有服务和成果称为“服务化”,其“旨在帮助网络犯罪业务大规模增长。”
更多的网站正在以这种方式建立,“我们预计这种趋势将继续下去,”她补充道。
一个例子是log市场,它以单独的单元出售成批的信息——例如支付卡数据、加密货币钱包的凭证和保存在浏览器中的密码——每个单元都称为“机器人”。占据市场高端的是Genesis,其次是Russia Market,另一个名为2easy的网站最近才首次亮相。所有这些都旨在以高度自动化的方式(机器人)实现轻松买卖。
俄罗斯逮捕被指控的UniCC管理员 但这并不意味着提前退休是暗网市场运营者的万全之策。
例如,尽管UniCC管理员以健康原因退出,但俄罗斯新闻社塔斯社(TASS)于1月22日首次报道,在该帖子发布后不久,俄罗斯联邦安全局(FSB)逮捕了该市场的所谓管理员安德烈·谢尔盖耶维奇·诺瓦克(Andrey Sergeevich Novak),并软禁了三名涉嫌犯罪的黑客共犯。
据Elliptic报道,大约在同一时间,隶属于UniCC的一个名为Luxsocks的市场也下线了,其网站现在被解析为俄罗斯内务部发布的明显删除提醒通知。
被指控的UniCC的管理员在该网站宣布退出之前是否知道FSB对他们的活动感兴趣——以及他们是否也可能参与了Luxsocks——尚不清楚。但塔斯社报道称,根据俄罗斯刑法,所有四名嫌疑人都面临两项指控:“非法获取计算机信息”(第272条)和“非法流通支付手段”(第187条)。
Novak也被美国当局通缉,,并因被指控为Infraud组织的创始人而被起诉,该组织是一个以金融为重点的网络犯罪集团,于2018年被捣毁,检察官将其与5.3亿美元的损失联系起来。然而,俄罗斯从不引渡其公民。
网络犯罪破坏的节奏加快 四名嫌疑人被捕的消息是在俄罗斯联邦安全局逮捕14名涉嫌参与REvil(又名Sodinokibi)勒索软件行动的人一周后发布的。
接下来是否会逮捕更多涉嫌网络犯罪的人,包括暗网市场运营者,还有待观察。但对所有相关人员来说,逮捕的风险仍然是真实的,而且有时会在几个月甚至几年后发生。
执法机构可以耐心地收集所有相关人员的情报,让他们最终揭开“丝绸之路”的乌布利希这样的人的面纱,他于2013年在旧金山的一家图书馆被联邦调查局逮捕。随后,AlphaBay在2014年12月推出后成为世界上最主要的暗网市场。但它也在2017年7月被联邦调查局关闭,与此同时,在泰国经营该网站的加拿大公民也被逮捕。
从捣毁暗网市场中收集到的信息为进一步调查提供了依据。本周,加拿大国民斯拉瓦·德米特里耶夫(Slava Dmitriev)被判三年徒刑。去年在美国法庭上承认交易被盗个人信息以及与黑暗霸主(The Dark Overlord)黑客和勒索集团互动。检察官指控德米特里耶夫通过AlphaBay交易被盗的身份信息,包括社会安全号码,至少净赚了10万美元。
Dmitriev于2020年9月在希腊旅行时被捕,并于2021年1月被引渡到美国。美国司法部表示,对他的指控包括至少从2016年5月到2017年7月的活动。
这表明暗网市场对所有相关人员构成的风险。虽然它们可能在短期内促进非法商品的在线买卖,管理员会赚取丰厚的佣金,但运营或使用它们是否值得承担长期风险?
几周前,任何访问Torrez平台的人似乎都在打开一个普通的购物网站,其中包含数千种产品的分类目录、按星级划分的卖家评级和运输信息。
唯一和根本的区别是在这个暗网交易平台上出售的物品:假钞票、电击武器、秘鲁鱼鳞可卡因、粉色香槟摇头丸、蓝色惩罚者摇头丸……
这些不是您在亚马逊和eBay等主要购物网站上可以找到的产品。
为了了解在暗网上销售毒品的运作方式,英国BBC记者Joe Tidy和Alison Benjamin通过Torrez平台和另一个网站购买了摇头丸和可卡因。
很快,记者成为了Torrez最后的客户之一:这个受欢迎的暗网销售平台在12月宣布自己的关闭决定,这种“自愿退出”的做法在暗网市场中很常见。
产品不如承诺的有效 有一种说法认为在暗网上购买毒品就像点披萨一样简单,,但实际上使用加密货币进行购买,并与卖家进行加密聊天,需要花费数小时。
几天后,“超强”药丸果然通过邮局寄到了。
这三颗小的摇头丸装在一个超大的盒子里——这是隐形包装(类似于“谨慎包装”)的一个例子,用包装来掩饰内容。
从另一个网站订购的一包可卡因附有一家草药保健品公司的假发票。
英国广播公司在实验室分析了这些药物,然后将其销毁。它们远没有我们相信的那么有效。
不断变化的虚拟(和非法)市场 联合国(UN)估计,暗网市场仅占全球毒品交易总额的一小部分,可能不到1%,尽管这一比例正在增长。
但在去年对全球数万名吸毒者进行的一项调查中,全球毒品调查描绘了一幅不同的画面。2021年,北美近四分之一的受访者表示在暗网上购买了毒品。在大洋洲和欧洲,这一比例为六分之一。
在俄罗斯,这一比例为86%;在芬兰和瑞典,超过40%;而在英格兰、苏格兰和波兰,超过30%。
在暗网上销售毒品的世界是混乱的,并且在不断变化。
有时,网站关闭,运营者因客户或供应商的资金而消失,这被称为“退出骗局”。这些暗网市场也可能被黑客攻击或被警方打击。
但这个市场出现了一个新的趋势,即销售平台有计划地放慢运营速度,即所谓的“日落”或“自愿退出”。
一个大的暗网交易市场,白宫市场,在2021年10月做到了这一点;然后另一个,Cannazon,紧随其后。
然后是Torrez,其上个月在其主页上发布了一封信,宣布关闭,并表示“很高兴与大多数供应商和用户合作”。
Torrez网站的管理员mrblonde向客户表示感谢,并承诺该平台将保持“至少两到三周的开放状态,直到所有订单完成”。
“感谢如此优雅的退出,”一位客户回复说。另一位补充说:“感谢您们以专业和诚实的方式处理这件事。”
根据蒙特利尔大学的犯罪学家和教授David Décary-Hétu的说法,这种自愿退出是一种趋势。
“这种情况似乎越来越多。交易市场会温和地走出去,说‘我们赚了足够的钱,在被抓之前,我们要退休了’。”Décary-Hétu解释道。
这位犯罪学家说,像Torrez这样的大型暗网市场的经营者每天可以赚取超过10万美元的佣金。
改变游戏规则的人 对于希望让罪犯面对正义的警察来说,这样的高出镜率让人百感交集。
英国国家犯罪局(NCA)暗网情报部门负责人亚历克斯·哈德森(Alex Hudson)说:“当任何人也许意识到他们从事的是一种犯罪的职业,决定不再深入研究时,我总是感到庆幸。”
“如果说有什么遗憾的话,那就是我们需要让他们为此负责。而这些人需要明白,他们仍然会被追究责任。”
尽管目前日落西山是一种时尚,但对BBC数据的分析表明,暗网市场在退出骗局后仍然更有可能关闭。
警察的打击甚至更少见,尽管也有值得注意的成功行动。
美国人罗斯·乌布利希(Ross Ulbricht)因经营2011年至2013年的第一个大型暗网交易市场“丝绸之路”(SilkRoad)而被判2个无期徒刑,40年内不得假释。
10月,150名嫌疑人被捕,NCA称其为此类行动中规模最大的一次,源于2021年1月对名为DarkMarket的网站的禁令。
有几个国家参与了这次行动,在美国、德国、英国等地进行了逮捕。
但是,即使关闭了非法交易市场,也可能对卖家影响不大,他们可能会简单地迁移到另一个站点。
BBC分析的数据显示,今天至少有450名在互联网上活动的经销商——这是一个保守的估计——在之前的警方打击行动中幸存下来。
其中一个是名为“Next Generation”的经销商,它在六年的时间里出现在21个不同的销售平台上。
据估计,这个犯罪分子或犯罪团伙在此期间至少进行了14万次销售,提供大麻、可卡因和氯胺酮等产品。
“Next Generation”在一封加密的电子邮件中表示,警方面临着“一项不可能完成的任务”。
“通常,被抓的原因归结为一个简单的用户错误。这不是说简单的警察和调查员有一天醒来,’破解一个密码’,然后逮捕人。”
皮格马利翁集团(Pygmalion Syndicate)是一个自称为 “嬉皮士集体 “的英国和德国毒贩,他们还告诉BBC,他们不担心被抓,因为它非常小心——充当“敌方领土的秘密特工”。
“基于法律的打击并没有对我们的业务造成多大影响,我们相信其他大多数供应商也不介意。”该集团表示。
NCA的亚历克斯·哈德森承认,警方一直比犯罪分子落后一步,但他表示新技术会有所作为。
“即使与几年前的情况相比,我们也能够更快地提取信息和识别犯罪分子。”哈德森告诉BBC。
“我认为我们真的看到了游戏规则的改变。”
经常有人问起,Tor、I2P哪个安全,还有哪些安全的网络,Tor还有没有替代方案。当在网上搜索Tor的替代方案时,会搜到很多的选项。经过大量的研究和测试,以下五个替代Tor暗网的方案效果相对较好。因此,对它们进行了深入描述。
1、I2P Invisible Internet Project (I2P) 是一个完全加密的私有网络层,其设计目的是保护隐私和安全,以便为您的活动、位置和身份提供保护。该软件附带一个路由器,可将您连接到网络和应用程序以进行共享、通信和构建。
I2P被认为是访问暗网的最佳Tor替代方案。它通过使用公钥和私钥对互联网流量进行层层加密。通过这样做,确保没有人可以跟踪或侵犯用户的在线隐私。
I2P对用户隐藏服务器,对服务器隐藏用户。所有I2P流量都在 I2P网络内部。I2P内部的流量不直接与Internet交互。它是位于Internet之上的一层,从而成为网络流量的中心和Tor网络的最佳替代方案。
2、ZeroNet ZeroNet是另一个流行的暗网替代方案,通过P2P网络工作。这意味着没有中央服务器,但网络数据仍然从用户到用户传输。它也使用BitTorrent网络和比特币加密技术,而且网站是用公钥而不是IP地址来识别。
这个网络最好的一点是,你甚至可以在没有互联网连接的情况下使用它。另外,它一开始就像一个论坛,但你可以从一个网站跳到另一个网站,找到任何主题的网页。
你可以在Windows、macOS和Linux上从其官方网站下载ZeroNet。
3、Freenet Freenet是一个完全分布式的P2P匿名发布网络,提供安全的数据存储方式,以及一些试图解决洪泛负载的方法。虽然Freenet的设计目的是分布式的数据存储,但是人们也在Freenet之上建立了一些应用程序,使得更通用的匿名通信成为可能,如静态网站和留言板等。
相比于I2P,Freenet提供了一些实质性的好处——它是一个分布式的数据存储网络,而I2P并不是,Freenet允许用户检索已发布的内容,即便内容的发布者已经离线了。此外,Freenet应该能够高效地分发流行数据。
你可以在Windows、macOS和Linux上免费下载它。
4、GNUnet GNUnet是一个用于安全和匿名的对等网络的框架,它不使用任何集中的或以其他方式受信任的服务。
GNUnet通过蓝牙、WLAN、HTTPS、TCP和UDP端口提供分散的点对点通信。它通过尽可能地减少你的PII数量来保护敏感信息。
5、Subgraph OS Subgraph是一款基于Tor的开源匿名浏览器,它与Tor或I2P不同的是,SubgraphOS是一种操作系统,而并非单独的浏览器。Subgraph OS引入了内核增强功能,MetaProxy、沙盒系统、数据包安全机制、应用程序网络策略、代码完整性和文件系统加密来构建其强大的安全保护性。
通过沙盒系统,它可以帮助我们创建完全隔离的上网环境,并且会在检测到恶意软件时脱离当前实例。此外,Subgraph OS还带有一个名叫CoyIM的即时通信功能以及一个名叫Icedove的邮件客户端,以消除客户端通信中的安全隐患。
暗网是互联网的加密部分,主要是作为网上贩毒的门户而闻名。自2011年“丝绸之路”(一个交易毒品和其他商品的暗网市场)出现以来,已经建立了几十个类似的市场。承诺总是相同的:非法货物和服务,如毒品、非法药品和计算机病毒的匿名交易的可能性。虽然并不总是奏效,因为全球警方和法院经常设法进行干预。但是仍然有一个世界可以获利,因为也存在许多盲点。
第一个盲点与荷兰的毒品出口有关。我们因生产和出口XTC、speed等合成毒品以及近年来的冰毒而闻名世界。据犯罪学家和独立研究员珊娜-梅尔鲍姆(Shanna Mehlbaum)说,来自荷兰的大多数毒品都是为了出口:“估计比例在70%到90%之间。”
出口 研究员Mehlbaum说:“我认为,当涉及到毒品以及荷兰在其中的作用时,仍然存在不少盲点。我们知道我们生产了很多,部分原因是发现了大量的毒品实验室。而且这个数字还在增加。2019年发现了90个药物实验室,而去年已经有108个。我们真正不太了解的是毒品的去向,中间贸易是如何进行的,以及谁参与其中。”Mehlbaum认为,这是有问题的,“因为这表明我们对荷兰的犯罪网络实际上仍然知之甚少”。
多年来,外国政府一直在向荷兰施压,要求其遏制邮寄出口毒品的行为。本周早些时候,海关数据显示,今年截获的毒品邮件数量比2020年增加了一倍多。去年有5204个毒品包裹和信件被拦截,今年截获12712个。一位发言人说:“不可能监控所有外发邮件。这一定是冰山一角。”其中一些邮件来自于一个暗网交易市场。
暗网 暗网在毒品出口中扮演着重要的角色,但它所起的作用有多大还很难说。我们知道XTC,地下交易网站30%的供应都标有荷兰XTC,也是从这里发送的。“这确实表明,暗网是荷兰出口毒品的一个重要手段。”代尔夫特理工大学网络犯罪研究员罗尔夫-范-韦格伯格(Rolf van Wegberg)说。
盲点在于其余的毒品,因为那更难研究。我们在荷兰自己不生产可卡因,但其中很多是从荷兰出口的。“XTC来自荷兰的事实被用作质量标志,所以会用它做广告,但可卡因并非如此。”van Wegberg解释说:“这使得对此的研究变得更加困难。”对于大麻,数字上会有扭曲。当提供大麻时,有时声称它来自荷兰的咖啡馆,“而它根本不是从荷兰运来的”。
并非总是可以访问 只要有一点技术知识,在暗网中旅行并自己在这些市场上订购毒品并不十分困难。互联网上到处都是有关如何尽可能安全地执行此操作的指南。但是暗网的范围不仅仅是这些市场,还有很多特定的网站。例如,您无法使用Google等搜索引擎搜索暗网,但您不能简单地在浏览器中输入网址进行访问。暗网上的URL由许多不同的随机数字和字母组成,并以.onion结尾。这使得犯罪分子非常容易对某些网站进行保密,只在某些圈子里传播。
这也造成了另一个大盲点。大多数市场仍然有某种道德准则,这意味着并非所有事情都是允许或可能的。“尽管犯罪商品的供应量很大,但也存在限制。”van Wegberg,“像芬太尼这样非常重的毒品可能不会被允许出售,另外比如说武器,往往也不允许出售。”但暗网上也存在很多类似谷歌的搜索引擎网站,Tordex就是其中之一。在Tordex页面的右侧,你可以实时看到人们正在搜索的内容,他们经常搜索与儿童色情有关的词汇。“这在许多暗网市场上也不允许交易,但在暗网的其他地方,这又是允许的。如果你在谈论暗网的盲点,那么这确实是一个。
执法 荷兰警方的网络犯罪小组(TCEC)曾经成立,以遏制暗网的犯罪。近年来,该团队只关注其他形式的犯罪。“在刑事调查方面,重点在于确定优先级。如果你把你的能力用在一项研究上,你就不能再用在另一项研究上。”TCEC团队负责人Nan van de Coevering说,“就个人而言,我确实觉得我们未能专注于暗网而感到沮丧,但当我看到荷兰警方所取得的其他成就时,我对此感到无比自豪。现在,我们看到暗网犯罪率再次上升,警方再次认识到调查暗网的重要性。”
一个名为“2easy”的暗网市场正在成为销售从大约60万台感染了“信息窃取”恶意软件的设备中收集的被盗数据“日志”的重要参与者。
“日志”是从受感染的Web浏览器或存在恶意软件的系统窃取的数据档案,其中最重要的方面是它们通常包括帐户凭据、cookie和保存的信用卡信息。
2easy于2018年推出,自去年以来经历了快速增长,当时它仅销售来自2.8万台受感染设备的数据,被认为只是小角色,但是一年间就从2.8万台感染设备快速增长到60万台。
根据以色列暗网情报公司KELA研究人员的分析,突然的增长归功于市场平台的发展和稳定的产品质量,这些产品在网络犯罪界获得了好评。
廉价而有效的日志 该市场是完全自动化的,这意味着如果有需求的人,可以自己创建一个帐户,将钱添加到他们的钱包中,并在不直接与卖家互动的情况下进行购买。
这些日志的购买价格低至每件5美元,大约比Genesis平均价格低5倍,比俄罗斯市场上机器日志的平均成本低3倍。
此外,根据来自多个暗网论坛的参与者反馈分析,2easy日志始终如一地提供有效凭据,为许多组织提供网络访问权限。
除了成本和有效性之外,2easy的图形用户界面同时也很友好和强大,使行为者能够在网站上执行以下功能:
查看受感染机器登录的所有URL
搜索感兴趣的URL
浏览受感染机器的列表,从这些机器中窃取了所述网站的凭据
查看卖家的评分
查看卖家分配的标签,大多数时候包括机器被感染的日期,有时还包括卖家的附加说明
获取选定目标的凭据
与其他平台相比,唯一的缺点是2easy不会向潜在买家提供已售商品的预览,例如数据被盗的设备的经编辑的IP地址或操作系统版本。
RedLine恶意软件 在2easy上购买的每件商品都包含一个存档文件,其中包含来自所选机器的被盗日志。
内容类型取决于用于工作的信息窃取恶意软件及其功能,因为每个木马都有不同的关注点。
然而,在50%的案例中,卖家使用RedLine作为他们选择的恶意软件,它可以窃取密码、cookie、存储在Web浏览器中的信用卡、FTP凭据等。
在2easy上活跃的18名卖家中,有5名专门使用RedLine,而另外4名将其与Raccoon Stealer、Vidar和AZORult等其他恶意软件结合使用。
为什么这很重要 包含凭据的日志本质上是打开大门的钥匙,无论这些大门通向您的在线帐户、财务信息,还是通往公司网络的入口。
威胁行为者以每条低至5美元的价格出售这些信息,但对受感染实体造成的损害可能以数百万计。
KELA的报告解释说:“通过2021年6月披露的对电子游戏公司EA的攻击,可以观察到这样一个例子。”
“据报道,这次攻击始于黑客以10美元的价格购买了在线销售的被盗cookie,然后黑客继续使用这些凭据访问EA使用的Slack频道。”
“一旦进入Slack频道,这些黑客就成功地诱骗了EA的一名员工提供了多因素身份验证令牌,这使他们能够窃取EA游戏的多个源代码。”
最初的访问代理市场正在上升,并且与灾难性的勒索软件感染直接相关,而像2easy这样的日志市场是同一生态系统的一部分。
数以百万计的帐户凭据可供在暗网上购买,因此需要采取适当的安全措施来保护账户。
这些安全措施有:多因素认证,经常更换密码,以及对所有用户应用最小特权原则等等。
暗网是互联网的一个子集,不能被传统的网络浏览器访问,也不被谷歌等搜索引擎收录,听起来当然是阴暗和邪恶的。但它是非法的吗?
从广义上讲——本文不提供法律建议——访问暗网并不违法,但有些用户确实将暗网用于非法活动。计算机安全公司诺顿(Norton)明确指出,在暗网上访问某些网站和进行某些购买是违法的。
国际货币基金组织的《金融与发展》报告说:“关于暗网的真相是,除了提供极端隐私和保护免受某些政府的监视外,它还促进了日益增长的地下市场,老练的犯罪分子利用该市场来贩卖毒品、被盗身份、儿童色情制品和其他非法产品和服务。”
2015年的一项研究发现,57%的可分类暗网网站是非法的 在2015年对Tor暗网上的2700多个网站进行分类后,伦敦国王学院的研究人员Daniel Moore和Thomas Rid发现57%的网站包含非法内容。研究人员补充说:“结果表明,Tor隐藏服务上的网站最常见的用途是犯罪,包括毒品、非法金融和涉及暴力、儿童和动物的色情内容。”
但是,暗网具有合法用途。它为用户提供在线隐私,并允许权威机构中的公民访问互联网的被封锁部分。正如F&D报道的那样,暗网还为举报人提供保护,免受报复。
在接受VICE采访时,Rid指出,政府官员推动解密此类网站以进行刑事调查。加密倡导者经常忽视暗网上被滥用的可能性。Rid补充道:“我们想引入一个更细微的讨论,并在这两个极端之间找到中间地带,因为显然他们不可能都是正确的。”
2018年的一次卧底行动导致35人被捕 2018年6月,美国司法部、美国移民和海关执法局的国土安全调查(HSI)、美国特勤局、美国邮政检查局和美国缉毒署披露了“为期一年的全国性协调行动,针对暗网非法商品的供应商使用了第一次全国性的卧底行动”。
根据司法部发布的消息,通过这次行动,35名被指控的暗网供应商被逮捕,并缴获了超过2360万美元的武器、毒品和其他“不义之财”。
HSI时任代理执行副董事德里克·班纳(Derek Banner)当时表示:“暗网是不断变化的,而且越来越复杂,使得定位和锁定那些在这个平台上销售非法物品的人变得更加复杂。”
“但在这种情况下,HSI特工能够在网络黑社会中穿行,找到那些出售高度成瘾毒品以牟利的供应商。面纱已经被揭开。HSI已经渗透到暗网中,并与全国的执法伙伴一起,再次证明每一个罪犯都在法律的范围之内。”
根据近期发布的一项研究,暗网的犯罪分子创建了地下法院系统,用于解决涉及付款失败、产品问题和服务虚假陈述的纠纷。
威胁情报公司Analyst1的研究人员最近分析了暗网中几个主要网络犯罪论坛的运作情况,发现其中至少有两个论坛拥有非正式的法院系统,犯罪分子可以在那里提出申诉并解决与同行的争端。Analyst1的研究表明,每天都有数十起来自暗网的案件发布到这些法院,等待论坛管理人员解决纠纷。
网络安全公司Analyst1的首席安全策略师、该研究报告的作者Jon DiMaggio表示,这个非官方的司法系统旨在为那些认为自己被骗的犯罪分子讨要说法。
法院主要在暗网的俄语在线论坛上开庭,暗网是谷歌等传统搜索引擎无法访问的加密网络。在类似于在线留言论坛Reddit的网站上,只有受信任的人员可以看到案件,一般会持续一个星期。
一个典型的案件涉及一个勒索软件集团,该集团被指控通过不支付服务费或通过出售对目标公司在线基础设施的访问权来欺骗黑客,而该基础设施并不像声称的那样脆弱。一个匿名的论坛版主充当法官,听取投诉,要求提供聊天记录和付款信息等证据,然后作出裁决。在某些情况下,他们可能会涉及裁决赔偿金,这些赔偿金一般通过论坛的支付系统转移。
DiMaggio说,这些案件进展很快——开放和关闭,经常在一周之内,你通常会看到整个过程完成。有时会要求巨额赔偿,最高可达100万美元,但很少全额赔偿。赔偿金平均低于2万美元。在一个特定的论坛上,他注意到每月有三到六个与勒索软件有关的案件。
DiMaggio指出,勒索软件和其他黑客组织资助在线司法论坛,使其犯罪伙伴看起来更值得信赖。如果黑客看到某个勒索软件集团通过法院系统支付赔偿金,他们也可能相信该集团更值得信赖。当他们想要雇用黑客时,他们希望最好的黑客为他们工作,而在勒索软件中存在着大量的竞争。
最近几个月,随着执法部门越来越多地宣传勒索软件攻击,大多数网络犯罪论坛已经禁止了所有与勒索软件有关的话题、交易和仲裁。在线司法论坛告诉当事人在提起和讨论他们的案件时不要使用“勒索软件”一词。执法部门在网上查找这些案件变得更加困难。
虽然勒索软件法庭相对较新,但他们中的大多数人都在已经存在多年的俄罗斯黑客论坛上开会。其他国家的暗网世界里似乎不存在类似的法庭,这些国家的勒索软件社区要小得多。
虽然公司在阻止勒索软件法庭方面无能为力,但企业应该知道它们的存在。就像在真实的法律案件中一样,在黑暗法庭的“发现”过程中,有关公司的泄露信息可能会出现在网上。
Analyst1统计了600多个与提交到这些法庭的案件有关的主题。这些案件的争议金额通常从几百美元到几千美元不等,但也有少数案件的争议金额要高得多。例如,2021年4月,一家隶属于Conti勒索软件集团的运营商和渗透测试机构被起诉,要求赔偿200万美元,因为他们没有履行涉及黑客攻击和加密美国学校系统数据的协议。经过一个半月的“审判”程序,该案以有利于两个Conti附属公司的结果告终。但在许多其他情况下,提出争议的罪犯赢了。
Analyst1发现,威胁行为者可以出于各种原因相互提起诉讼。Analyst1举了一个例子,一个威胁行为者可能从一个访问代理处购买了一个被破坏的网络的访问权,但发现它之前已经被卖给了另一个威胁行为者。在这种情况下,威胁行为者会在一个专门的子论坛(通常名为“法庭”或“仲裁”)上提供事件的细节,从而对经纪人发起行动。
在这里,“原告”将提供索赔的详细信息,例如经纪人的昵称、他们在Jabber和Telegram等服务上的联系信息的链接,以及包括聊天记录、屏幕截图和其他涉及涉嫌违规交易在内的证据。然后为该案件指派一名仲裁员,审查细节并听取被指控的违规者的反诉。黑客法庭给予每个论坛成员参与这一过程的权利,但只有仲裁员做出最终决定。
当决定有利于原告时,“被告”有一定的时间来弥补,否则将面临被禁止在论坛上进行任何未来活动的前景。通常情况下,成熟的网络犯罪运营商会将比特币存入一个托管账户,作为他们支付服务能力的证明。当争端以对他们有利的方式解决时,威胁行为者就会从这个账户中得到报酬。
在大型地下论坛中运作的威胁参与者通常会迅速遵守地下法庭的裁决,因为他们想保护自己的声誉。
DiMaggio说,犯罪分子努力在这些论坛上建立自己的声誉,这些论坛是勒索软件附属机构招募的地方,也是恶意软件销售、漏洞和利用的地方,甚至还提供黑客服务。失去信任或被禁止进入一个论坛,会对威胁行为者在网络地下运作的能力产生巨大的负面影响。
Analyst1表示,在某些极端情况下,威胁行为者会暴露欺骗他们的网络犯罪分子的真实身份——包括实际地址、社交媒体资料和电话号码。
Huntress的高级安全研究员John Hammond说,几乎每个网络犯罪论坛或社区都有一种司法系统,或者是一个“人民法院”来处理罪犯之间的纠纷。这是一种奇怪的体育精神或行为准则,黑客、小偷和诈骗者不应该相互冲突。通常处理纠纷的仲裁者会根据原告提出的证据,以及论坛上更广泛的社区的一般意见来决定判决。如果被判有罪,被告可能会被禁止进入社区,被放在公开的耻辱墙上,并在其他地下集团中分享他们的不良声誉。