特里尔”网络碉堡“案关于地下计算机中心作为暗网犯罪业务平台的审判，一直以其数字给人留下深刻印象。 据说有近25万起刑事犯罪通过在特拉本-特拉巴赫的一个旧地堡中的400台服务器中运行暗网服务时发生，涉及毒品、假币或网络攻击的交易价值几百万美元。而调查人员对此案进行了五年的调查，直到2019年9月数百名警察破获了这些经营者。 近一年来，八名被告一直在特里尔地区法院受审。”在德国迄今为止最大的网络犯罪审判之一”——这是国家网络犯罪中央办公室所属的科布伦茨总检察长办公室在2020年10月19日审判开始时给诉讼程序的标题。这七名男子和一名妇女被指控成立了一个犯罪组织，并协助和怂恿25万起刑事犯罪。 经过100多名证人、数千页档案、数十个审判日——有时一周两次——审判现在正慢慢接近尾声。至少是取证的问题。主要被告荷兰人的辩护律师Michael Eichin说，法庭希望在9月底结束其审批。然后，辩方将提出要求提供证据的动议。最后，将提出抗辩：八名被告每人将有两名辩护律师。该审判计划到2021年底结束。 律师Sven Collet估计，审判可能在11月中旬结束。“我预计，我们肯定会在今年年底前通过。” 他代表Calibour GmbH公司，该公司经营的数据中心被宣传为“防弹主机”（“防弹”，防止警察进入），其唯一代表是主要被告。 庞大的审判中的一个核心问题是：是否有可能证明被告协助和教唆——也就是说，他们是否知道其客户的非法阴谋？并说他们放任他们这样做？在Eichin看来，有许多迹象表明，”协助和教唆的事情可能不会发生。但是，现在仍然悬而未决的，当然是犯罪组织的形成“。即使他不认为这是合理的。 Collet 还说：“你必须为每个个案证明协助和教唆的行为。他说，这很难，因为计算机中心实际上不过是一个保险箱。”只要我们不能自己打开它，看里面的情况，我们就不知道人们在里面放了什么。他说，对于犯罪团伙的指控，人们必须看一看这可能适用于谁。“不是对每个人都是如此。” 当被问及诉讼情况时，法院不大愿意透露。新闻办公室说，“取证工作仍在进行中“。审判时间如此之长的事实是”由于审判材料的范围“。调查人员在大多数情况下都听到了。然而，这可能不是特里尔地区法院最长的一次审判。 听证会9月27日及28日继续进行，结果还没公开。新闻办公室补充说：”诉讼程序的进一步发展和持续时间将特别取决于被告人的辩护行为。被告是四名荷兰人、三名德国人和一名保加利亚人。“ Eichin律师批评说，”调查中的严重缺陷“在审判过程中一再暴露出来。例如，在对服务器的评估中。”他们声称，这些服务器上没有任何合法的东西。然后发现只有5%的数据被分析了。” 他的客户应该知道这一切是”荒谬的“。 就个人而言，他对检察院的调查”真的非常、非常片面“感到困扰。”他们真的只看有犯罪嫌疑的东西，开脱罪责的证据被完全忽略了”。他说，“狩猎的本能”很清楚，他们想完成他们已经工作了五年的方案。“但你必须想象。在某些情况下，人们已经被审前拘留了两年”。 Eichin说，最终该审判不会在特里尔进行裁决。“无论结果如何，它肯定会进入联邦最高法院。” 他说，随后可能会提出宪法申诉。“这都需要时间。然后也许在四到五年内，我们会知道它到底是怎样的。只有这样，才不会有人记得。”曼海姆的律师说。

众所周知，强大的恶意软件可以在暗网上购买并相对轻松地使用。思科Talos网络安全研究团队的一份新报告说明了开箱即用的远程访问木马恶意软件的危险程度：自2020年12月以来，一场名为“Armor Piercer”的活动一直在攻击印度政府。 Armor Piercer具有被称为APT36或Mythic Leopard的高级持续威胁（APT）组织的许多特征，据信该组织在巴基斯坦境外开展活动。特别是，该报告引用了与Mythic Leopard使用的类型“非常相似”的诱饵和策略。 另一方面，该报告说，此次发现的RAT木马让人觉得Armor Piercer活动可能不是一个熟练的APT攻击：“发现两个商业RAT系列，称为NetwireRAT（又名NetwireRC）和WarzoneRAT（又名Ave Maria）”是对印度政府和军队发动袭击的幕后黑手。 “与许多犯罪软件和APT攻击不同，该活动使用相对简单、直接的感染链。攻击者没有开发定制的恶意软件或基础设施管理脚本来执行他们的攻击，但使用的暗网购买的RAT并没有降低杀伤力。”Talos在其报告中说。 Talos说，可以在暗网上购买的RAT木马具有广泛的功能集，其中许多允许完全控制受感染的系统，并能够建立立足点以部署其他恶意软件，就像从GUI仪表板部署包和模块一样简单。 与现代恶意软件活动一样，Armor Piercer活动使用恶意的Microsoft Office文档进行感染。该文档带有恶意的VBA宏和脚本，一旦被毫无戒心的用户打开，它就会从远程网站下载恶意软件加载程序。安装程序的最终目标是在系统上放置一个RAT，它可以保持访问，允许进一步渗透到网络中并窃取数据。 Armor Piercer背后的攻击者使用的RAT具有广泛的功能。 NetwireRAT能够从浏览器中窃取凭证，执行任意命令，收集系统信息，修改、删除和创建文件，列举和终止进程，记录密钥，等等。 WarzoneRAT以其令人印象深刻的功能概述为例，这些功能来自暗网广告，可在上面链接的Talos报告中找到。它能够独立于.NET运行，提供对受感染计算机的60FPS远程控制，隐藏的远程桌面，UAC绕过权限提升，从受感染的计算机上传输网络摄像头，从浏览器和邮件应用程序中恢复密码，实时和离线键盘记录器，反向代理，远程文件管理等。 现成的RAT和其他恶意软件不一定是懒惰、缺乏经验或时间短的操作的标志。“现成的产品，例如商品或破解的RAT和邮件程序，使攻击者能够快速实施新的活动，同时专注于他们的关键战术：诱使受害者感染自己。”Talos说。 不知道这次特定的攻击是否可能会转移到印度以外的地方，或者世界其他地方是否正在使用类似的策略。开箱即用的恶意软件的威胁仍然存在，无论组织位于何处：它很容易获得，相对便宜，如果它足够好以蠕虫进入政府计算机系统，它很可能对你的计算机系统做同样的事情。

DeSnake回来了，并承诺这次将保持AlphaBay的正常运行。 四年多前，美国司法部宣布捣毁AlphaBay，这是历史上最大的黑暗网络市场。泰国警方在曼谷逮捕了该网站26岁的管理员亚历山大-卡泽斯（Alexandre Cazes），联邦调查局查封了AlphaBay在立陶宛的中央服务器，消灭了一个每年向40多万注册用户出售价值数亿美元的硬性毒品、黑客数据和其他违禁品的市场。联邦调查局称对该网站的破坏是一次“具有里程碑意义的行动”。 但是，这一大规模暗网交易市场摧毁计划中一个关键人物的命运从未得到解释。AlphaBay的前二号管理员、安全专家和自称的联合创始人，他的名字是DeSnake。现在，在他的市场消亡四年后，DeSnake似乎又回到了网上，并在他自己独自的领导下重新启动了AlphaBay。 DeSnake最近接受媒体采访，透露了他是如何从AlphaBay的倒闭中毫发无损地走出来的，为什么他现在又重新出现，以及他对这个复活的、曾经占主导地位的在线暗网市场有什么计划。他通过加密短信与媒体交流，这些短信来自一系列频繁变化的假名账户，此前他用DeSnake的原始PGP密钥签署了一份公开信息，证明了自己的身份，多个安全研究人员对此进行了验证。 “我回来的最大原因是要让人们记住AlphaBay的名字，而不是那个被捣毁的市场和创始人被说成是已经自杀的。”DeSnake写道。被捕一周后，Cazes在被捕一周后被发现死于泰国监狱的牢房中；与暗网社区中的许多人一样，DeSnake认为Cazes是在监狱中被谋杀的。他说，“在阅读了FBI关于Cazes被捕情况的介绍后，他被迫重建 AlphaBay，他认为这是不尊重的行为。突袭后，AlphaBay的名字被曝光了，我来这里是为了弥补这一点。” “在这场游戏中，没有矫枉过正。” DeSnake传递的信息中弥漫着一种实际的偏执，无论是在个人层面还是在他对AlphaBay改造后的技术保护的计划中。例如，恢复的AlphaBay版本只允许用户用加密货币门罗币Monero进行买卖，Monero的设计远比比特币更难追踪，而比特币的区块链已经证明可以进行链上追踪。AlphaBay的暗网网站现在不仅可以像原来的AlphaBay一样通过Tor访问，还可以通过I2P访问，这是一个不太流行的匿名系统，DeSnake鼓励用户转而使用。他反复描述了他对Tor可能受到监视的警惕，尽管他没有提供证据。 DeSnake说，他的安全实践——无论是他在AlphaBay内应用的还是在个人层面上的——都远远超出了他的前任Cazes的安全实践，他在网上的名字是Alpha02。Cazes被抓，部分原因是通过比特币区块链分析，确认了他作为AlphaBay老板的角色，这种伎俩对于Monero来说要困难得多，甚至不可能。DeSnake认为，像这样的新保护措施将使这次AlphaBay更难从暗网中移除。“我给了Cazes许多匿名的防范方法，但他选择只使用某些东西，而他将其他方法/方式称为‘矫枉过正’。”DeSnake写道，他的英语似乎带着外国口音，偶尔会拼写错误。“在这场游戏中，没有矫枉过正。” DeSnake将他持续的自由归功于接近极端的操作安全方案。他说他的工作计算机运行着一个“失忆”操作系统，比如Linux的以安全为中心的Tails发行版，旨在不存储任何数据。事实上，他声称根本不会在硬盘或USB驱动器上存储任何有罪的数据，无论是否加密，并拒绝进一步解释他如何实现这一明显的魔术。DeSnake还声称已经准备了一个基于USB的“终止开关”设备，旨在擦除他计算机的内存，并在电脑离开他的控制时在几秒钟内将其关闭。 为了避免在他登录AlphaBay时他的电脑被抓住的风险，DeSnake说他每次离开它时都会完全关闭它，即使是去洗手间。“在这方面最大的问题是人类的需求……我会说这是最大的不便。”DeSnake写道：“虽然你做出牺牲，一旦你习惯了，它就会变成第二天性。” 毕竟，执法部门没收了Alexandre Cazes和Ross Ulbricht的笔记本电脑——后者因经营名为丝绸之路的暗网毒品交易市场而被判无期徒刑——当时他们正在开放、运行，并登录到他们所监督的暗网网站的管理员账户。相比之下，DeSnake非常大胆地声称，即使被扣押，他的工作PC也不会牵连到他。 但所有这些技术和操作保护可能都没有简单的地理保护那么重要。DeSnake声称位于一个非引渡国家，超出了美国执法部门的范围。AlphaBay的新老板描述了他曾在前苏联生活过，而且他以前在原来AlphaBay的论坛上给用户写过俄语信息。 长期以来，一直有传言称AlphaBay与俄罗斯或俄罗斯人有某种联系。它的规则一直禁止出售从前苏联国家的受害者那里窃取的数据，这是俄罗斯黑客的共同禁令，旨在保护他们免受俄罗斯执法部门的审查。当Alexandre Cazes在暗网网站上以Alpha02绰号写作时，他有时会用俄语短语“保持安全”作为签名。但后来在泰国追踪到 Cazes时，许多人认为AlphaBay的俄罗斯指纹是为了误导调查人员。 然而，DeSnake现在声称，他和其他参与最初AlphaBay的人实际上仍然超出了西方执法部门的范围。他在谈到AlphaBay禁止出售前苏联公民被盗数据的规定时写道：”你不会在你睡觉的地方拉屎”。”我们这样做是为了其他工作人员的安全。Cazes决定接受它，作为保护自己的一种方式。” 无论如何，DeSnake 声称他“在过去的 4 年里去过几个大洲”并且“没有任何问题”，这让他相信他多年的自由不仅是因为他的位置，而且是在技术上战胜了追踪他的执法机构。当然，有可能DeSnake告诉媒体的一切本身可能都是误导，旨在帮助他进一步逃避这些机构。 虽然 DeSnake 的说法几乎没有得到证实，但他至少在暗网市场运营商中享有不寻常的长寿。安全公司 Flashpoint 表示，至少自 2013 年以来，它已经看到了 DeSnake 以同一个笔名运作的证据和描述——首先是在 Evolution 和 Tor Carder Forum 等网站上以信用卡为重点的网络犯罪分子，然后自己成为市场管理员。 DeSnake于2014年秋季首次出现在最初的AlphaBay论坛上，他是一个信用卡欺诈（也称为 “刷卡”）工具和指南的供应商，在Evolution的管理员在所谓的 “退出骗局 “中带着用户的钱潜逃后寻找一个新家。他说他很快就通过一种非正统的方法与Alpha02成为朋友：他声称他在AlphaBay上“弹出了一个shell”，入侵了该网站并获得了权限，可以在其服务器上运行自己的命令。他说，他没有利用该漏洞，而是帮助管理员修复它，并很快成为该网站的第二大管理员和安全负责人。“我负责安全和某些管理工作。”DeSnake说，“剩下的，他都负责。” 近三年后，Cazes被捕，该网站被下线，部分原因是AlphaBay创始人在其论坛上向新用户泄露了欢迎消息元数据中的个人电子邮件地址。DeSnake说他很早就通过切换网站的论坛软件修复了这个问题，这就是证据的线索。“直到今天我仍然不相信他把他的个人电子邮件放在那里。”DeSnake说。“他是一个很好的搬运工，他更了解 opsec。” 自从AlphaBay回归以来，暗网买家和供应商并没有完全蜂拥而至。重新启动几周后，它的挂牌量不到500件，而AlphaBay2017年高峰时的挂牌量超过350,000 件。这些低数字可能源于DeSnake坚持只接受门罗币、持怀疑态度的暗网用户等着看新的AlphaBay是否权威，以及源于一连串的分布式拒绝服务攻击，这些攻击使该网站自推出以来一直处于离线状态。但DeSnake认为，暗网市场通常只有在另一个受欢迎的市场关闭或被执法部门捣毁时才会涌入新用户；自从AlphaBay回来后，这两种情况都没有发生。 与此同时，DeSnake希望通过一个他称之为AlphaGuard的仍未被证实的系统来吸引用户，该系统旨在让用户提取他们的资金，即使当局再次查封运行AlphaBay基础设施的服务器。 正如DeSnake所描述的那样，AlphaGuard会在检测到AlphaBay离线时自动租用和设置新服务器。他甚至声称AlphaGuard会自动入侵其他网站并在他们的服务器上植入数据，为用户提供“提款代码”，他们可以用来保存他们存储在AlphaBay上的加密货币，以防万一。“这是一个系统，可以确保用户可以提取资金、解决纠纷，并且如果发生突袭，通常不会损失一分钱。”DeSnake 写道，“即使它同时发生在所有服务器上，它是不可阻挡的。” “除了推出市场之外，他并没有真正展示任何东西。” 如果AlphaGuard的功能听起来还不够理想的话，DeSnake说他还处于一个长期计划的早期阶段，即实施一个完全去中心化的市场系统，本质上是对目前黑暗网络市场的Napster的BitTorrent。在这个雄心勃勃的计划中，独立运行数百或数千台服务器的开源程序员和服务器运营商将获得部分利润，以托管市场，形成一个巨大的暗网网络，没有单一的故障点。DeSnake说，AlphaBay将是该网络上托管的“品牌”之一，但任何供应商或市场都可以选择建立自己的品牌，其加密功能将使每个市场或商店处于管理员的控制之下，即使其代码在大量机器上被复制。 DeSnake自从他最早在AlphaBay论坛上发帖以来就一直在讨论这个去中心化项目，他承认这还需要几年的时间。但他认为这是一种让AlphaBay在未来执法行动中无懈可击的方式，并可以补偿暗网用户在原始AlphaBay服务器被查封时损失的数百万美元。“说到赚钱，这是对AlphaBay未来的投资。”DeSnake 写道。“说到意识形态，我认为这很清楚。原因是为了让AlphaBay名声大噪……这是我们对暗网领域所发生的事情进行补偿的方式。” 但是，密切关注暗网市场的Flashpoint分析师伊恩-格雷（Ian Gray）说，DeSnake描述的所有防御魔法——无论是AlphaGuard还是去中心化项目——在很大程度上仍是未经证实的言论。例如，去中心化计划将需要大量开发商和网络运营商的集体支持，以支持可能被视为本质上非法的项目。Gray指出，DeSnake没有为该系统或AlphaGuard发布任何代码，并质疑为什么他会在AlphaBay被关闭四年后重新启动，而他的去中心化梦想没有任何实际进展。“除了推出市场之外，他并没有真正展示任何东西，”格雷说。“我不信任 DeSnake，而且我认为整个社区都普遍不信任。” 格雷指出了主要是俄罗斯网络犯罪论坛XSS上的一个帖子，其中许多评论者对DeSnake的回归表示怀疑，有些人暗示他正受到执法部门的控制。“哈哈，DeSnake现在要交多少诚实的同志才能离开惩戒室？” 一位评论者用俄语问道。另一位写道：“这是假的，99.9% 肯定，联邦调查局又开始了。” 一位不愿透露姓名的参与最初AlphaBay调查的美国前执法官员也表示怀疑。“如果我是这个网站的供应商或用户，我会非常担心它被设置为出境骗局或某种类型的蜜罐行动。”这位前官员说，并指出他们不知道任何正在进行的可能针对该网站的执法行动。 卡内基梅隆大学(Carnegie Mellon University)专注于暗网的计算机科学家尼古拉斯-克里斯廷(Nicolas Christin)对照他自己的信息档案中发现的副本，验证了DeSnake的PGP密钥。但他说，那把钥匙可能在执法机构的控制之下，DeSnake本人也可能成为执法合作者。毕竟，在AlphaBay2017 年下线的同时，荷兰警方接管并控制了当时第二大暗网市场Hansa。“这不太可能，”克里斯汀在谈到 DeSnake受到损害的理论时说，“但并非不可能。” DeSnake反驳说，如果执法部门找到他并推出新的AlphaBay作为蜜罐，他们就会简单地重复使用原始AlphaBay的代码。相反，他说，他从头开始重写。他指出，与仅接受比特币的网站相比，该网站的仅限门罗币的限制将使其在诱捕毫无戒心的暗网买家方面的效果要差得多。 他在暗网市场论坛Dread上给用户的一封邮件中写道：“说了这么多，你自己决定是否与我们一起乘风破浪，走向巅峰。如果你决定不这样做，我可以理解，但随着时间的推移，你将被证明我们是最初的 AB，我们从未在任何形式或形式上‘妥协’过。”

俄罗斯联邦安全局（FSB）公共关系中心周五告诉塔斯社，俄罗斯联邦安全局已经摧毁了一条用于在暗网上供应和销售合成药物的庞大管道，在四个地区拘留了一个贩毒团伙的五名成员。 FSB指出：“联邦安全局已经清理了通过暗网交易市场供应和销售特别大规模合成毒品的最大渠道之一。” 一个全国性犯罪团伙的五名成员在莫斯科、罗斯托夫、阿斯特拉罕和克拉斯诺达尔地区被捕。“被捕者中包括毒品生产和分销渠道背后的策划者，以及协调来自土耳其的非法活动组织者，其负责协调土耳其境内毒品贸易的毒品生产和分销。”FSB说。 要知道，此类任务具有相当的技术复杂性，“暗网”是一个不受政府控制的网络空间。最受欢迎的暗网技术——Tor 网络——最初是由美国情报机构之一为其自己的特工开发的，爱德华·斯诺登（Edward Snowden）在他的回忆录中写道。 早些时候，联邦机构挫败了一个地下实验室的活动，该实验室每月在莫斯科地区生产超过500公斤的毒品。查获非法贩运的甲氧麻黄酮60余公斤、液体麻醉品6000升、前体1500公斤、化学试剂22000公斤。FSB表示：“调查当局正在提出指控并已立案，被拘留者已被还押。” 今年夏天，俄罗斯联邦安全局与联邦海关总署、国防部和国民警卫队一起开展了里海之星2021行动。此次行动的目的是切断通过里海盆地各国走私毒品、武器和弹药的渠道。在行动过程中，有200多人被捕。

网络犯罪分子是下一代强盗。当黄金和装满现金的金库通过火车运输时，盗贼也随之而来。现在钱是数字的，罪犯也是数字的。过去的歹徒试图通过涌入简陋的酒馆来躲避执法者，而21世纪的暴徒则躲在暗网的掩护下。 暗网几乎无法追踪，而且隐藏在公众视野之外，是建立阴暗关系的完美场所。充足的犯罪论坛保证了他们能够稳定地接触到愿意合作的同伙、新的勒索技术和骗子。然而，他们不知道的是，这些人中有冒牌货。他们是好人，在数字世界的黑暗面收集有关暗网的情报。 他们反过来对我说，我们会找到写这篇文章的人，然后杀了他们。 这项任务既不容易，也不安全。即使是最轻微的怀疑也可能引起警报。失去对有价值论坛的访问权限只是暴露身份可能给暗网研究人员带来的问题的冰山一角。正是出于这个原因，我们同意不披露来自暗网数据提供商和情报公司DarkOwl的研究人员的个人信息，该研究人员已同意与我们交谈。 “我试图弄清楚他们在哪里活动，他们与谁有关，他们参与了哪些团体，我成了目标。他们对我说，我们会找到写这篇文章的人，并来杀了他们。”研究人员告诉Cyber​​News。 深入观察暗网有其好处。一旦您的公司网络访问出现在犯罪论坛上，最好迅速采取行动。一旦勒索软件集团掌握了这个漏洞，要防止漏洞发生可能就太晚了。 根据我们的对话者的说法，成为网络罪犯从未如此简单。密码专家是唯一设计勒索软件的人的时代已经一去不复返了。毫无顾忌，有犯罪心理，再加上几百块钱，是尝试在暗网开始职业生涯所需要的全部。 我们打了一个电话，讨论网络犯罪分子多年来发展的支持系统，对黑客的误解，以及我们应该如何看待这一切。 在对话之前，我们已同意不提及您的姓名或任何其他标识符。这是为什么？你的工作有哪些危险？ 在我们的工作中，匿名是无价的。没有人知道谁在现实生活中是谁，每个人都被化名和代理所隐藏。我不想引起别人的注意，无论是在外面还是在现实世界。几年前，当我积极追捕在这一领域相当深入的几个犯罪威胁者和团体时，我变得更加认真了。 我一直在追捕一个特定的犯罪分子，试图弄清楚他们在哪里经营，他们与谁有关，他们隶属于什么团体。我成了目标。他们转向我说：“我们会找到写这篇文章的人，然后杀了他们，摧毁他们。” 起初，我并没有太当真，但是我的一个亲密且人脉广泛的朋友告诉我，写这封信的人是认真的，他情绪不稳定，执意要发现我的身份。我的朋友建议我改变我的实际位置并搬家。 我突然意识到这很严重，我有孩子要考虑和保护。那次经历让我非常意识到我们工作环境的严重性。我们在这里有点像在狂野的西部地区，很难区分什么是真实的，什么是虚构的。 这听起来很不祥。我的意思是，身体伤害的威胁一定非常令人痛苦。 这是精神上的消耗。虽然大多数用户可能永远不会采取行动，但暗网中也有很多心理不稳定的人。它变成了一种游戏，就像拖钓一样，一种一个人认真打算摧毁另一个人的痴迷。 让我们换个角度，看看你的事业给你带来的启示。最近，有很多人在谈论支持暗网生态系统。作为一个直接关注黑暗中心的人，你认为这个生态系统是否像它被描述的那样重要？ 是的，这很关键。看看勒索软件即服务(RaaS)。第一代和第二代勒索软件是由非常聪明的恶意软件开发人员、密码学家和加密专家开发的。如果您想给他们贴上标签，那么设计和使用此类软件的人是一些最复杂的恶意软件开发人员或周围的“精英”黑客。 但是通过RaaS附属模式，他们让其他人有机会以每年几百美元的价格“租用”勒索软件，这取决于他们使用的压力。任何有兴趣涉足勒索软件业务的人都可以进入市场，而无需具备任何关于如何对网络进行企业级攻击的先验知识或专业知识。 一些团伙，如Lockbit2.0几乎完全自动化，他们的附属机构不需要对他们正在做的事情有丝毫的了解。您只需按一下，即插即用。识别受害者，将其放到网络上，剩下的就交给他们了。 生态系统的另一个方面是网络访问。勒索软件会锁定网络，但不给附属机构直接访问权。与RaaS一起运行的最大的生态系统被称为IAB或初始访问经纪人。这些经纪人为突破网络提供便利，要么是网络漏洞，要么是泄露的凭证，让人可以访问服务器。这可能是一个简单的开放服务器，或端口，或管理账户。 RaaS附属机构并不总是认识在他们想要入侵的公司工作的人。这就是为什么他们需要IAB。一些RaaS组织正在从他们的受害者网络中招募员工，例如内部威胁。还有一个顾问网络，为受害者谈判提供支持并协调受害者的付款。 此外，许多这些暗网犯罪分子并不是最具社会意识的人。他们不一定知道如何与世界之外的人互动。他们中有一半人的母语不是英语。他们甚至雇佣了一些客户服务代表类型的顾问，与高价值的受害者互动，让他们尽可能多地支付赎金并完成交易。 我最近进行了这项研究，显示生态系统内的一些人并不完全知道他们在帮助犯罪团伙。你对此有什么看法？你认为人们是否有可能不知道他们把自己放在什么地方？ 有一小部分暗网用户是超级智能用户。这些人吃喝拉撒睡都是科技，他们热衷于构建代码和解决难题。我和他们交流过，他们的天赋超群。 他们是我所遇到过的最聪明的人之一。在这种智慧中，他们也略显天真，对他们建立的任何东西被用于犯罪的可能性视而不见。 但大多数在暗网论坛上编写恶意软件并与这些玩家互动的人并不傻。他们知道你要么是执法人员，要么是罪犯。他们敏锐地意识到，他们提供的服务或信息将被用于某些犯罪活动或打击犯罪活动。 在Colonial Pipeline和JBS黑客攻击之后，有一些遏制生态系统的尝试，一些论坛禁止讨论勒索软件。你有没有注意到这些禁令以某种方式实现了？ 是的，在某种程度上。来自RaaS团伙的帖子已经消失了，这些团伙曾经宣传他们有一种新的勒索软件毒株并正在寻找合作伙伴和目标。但这并不能阻止对话的发生。你只需要知道现在的语言是什么。 我不是在谈论口语，而是代码。是的，信息在某种程度上受到审查，但这并不意味着讨论没有发生。犯罪集团也迁移到Telegram和其他交流渠道。这些对话的其他场所不一定有那么严格的审核，也不一定有那么多的执法力量。 总的来说，围绕勒索软件和网络犯罪有很多神秘主义色彩。您是否注意到一般人群对网络犯罪分子的一些误解？ 最常见的误解是，在一个昏暗的房间里，满是戴着头罩的黑客，在黑屏和绿色文本的显示器前。这是不可能的。对于勒索软件，它实际上是即插即用的那种东西。他们在Windows上运行这些脚本，并使用图形用户界面。它不像“黑客帝国”那样看起来很酷。 另一方面是有些人认为攻击是随机的，纯粹是为了经济利益。我们内心产生了这种程度的恐惧，这让我们怀疑自己是否是下一个。但实际上，攻击更具针对性，尤其是像Colonial和Kaseya这样的攻击。 当然，许多附属机构只是想利用受害者，抓住机会，尽可能多地打击目标，获得尽可能多的加密货币，然后消失。但有一小部分人更值得关注。 我认为美国政府、情报界、国际执法界都在关注这里有什么更大的戏。我们所忽略的更大的故事是什么？它是间谍活动吗？它是对基础设施的控制吗？这一切的下一个方向是什么？这也是误解之一，因为人们常常认为这完全是随机的，而实际上不是这样。 这些暗网威胁者中的一些人只是为了获得权力。他们喜欢被恐惧，他们也喜欢快速赚钱。在黑暗网络中，有很多犯罪分子都有这种简单的动机。 但它还有另一个组成部分，特别是对于那些规模较大的团伙来说，其运作的复杂程度与民族国家一致。他们工作的复杂程度表明，他们所服务的主人比简单的金钱更重要。 如果你现在列出所有不同的活跃的RaaS团伙，你可以将业余者与那些有更重要的目标有关的人区分开来，如关键基础设施。这可能是间谍活动和网络恐怖主义。这是比你们这些人甚至包住脑袋的任何东西都要大的东西。

由DarkLeaks泄露的Chainalysis演示文稿显示，Chainalysis宣传其使用附属的区块链浏览器作为收集IP信息的手段以协助警方调查。DarkLeaks是一个暗网网站，只能通过Tor等匿名浏览器访问，CoinDesk已验证了该文件的真实性。 根据泄露文件，最大的区块链追踪公司Chainalysis拥有并运营walletexplorer.com。与其他区块浏览器一样，该服务允许任何人查看公共加密货币钱包地址的历史记录。文件称，Chainalysis认为，恶意攻击人员会使用其网站来检查交易，而不必担心在加密货币交易所“留下足迹”。 据称来自意大利执法部门的介绍，指出该公司使用WalletExplorer.com收集有关访问该网站的加密货币用户的有用IP信息： “使用此数据集，我们能够向执法部门提供与相关加密货币地址相关的IP数据的有意义的线索。还可以对任何已知的IP地址进行反向查询，以确定其他BTC地址。它还可以收集数据来自尚未通过区块链的数据表单地址——即作为绑架或危及生命调查的一部分提供的BTC地址——如果嫌疑人检查他们的地址。” 目前尚无演示日期，也没有创建材料的时间。最初的泄漏涉及据称从意大利金融管理局的Nucleo Speciale Frodi Tecnologiche的暗网团队获得的文件缓存。 泄露的材料表明，该演示文稿是对Berlusconi Market进行调查的一个组成部分。贝卢斯科尼市场是一个暗网市场，意大利当局在2019年将其取缔。 Chainalysis引用了2020年6月的一个案例，其中walletexplorer.com截获了勒索软件嫌疑人的IP地址——在他们涉嫌通过加密货币交易所火币的场外交易 (OTC) 平台存入资金数小时后。 文件还显示，Chainalysis认为它​​可以追踪门罗币 (XMR) 中的交易，许多人认为门罗币是具有最强隐私防御的加密货币。 “在Chainalysis与执法部门合作处理的案件中，我们能够在大约65%的涉及门罗币（monero）的案件中提供可用的线索。”文件说。 Chainalysis拒绝发表评论或确认其真实性。 虽然Chainalysis没有做广告，但该网站本身在其开发商Aleš Janda和分析公司之间建立了联系，这家分析公司长期以来一直在加密社区的某些方面引发争议。据LinkedIn称，Janda于2015年加入Chainalysis，担任开发人员和研究员，WalletExplorer.com底部发布的一条说明为区块链分析服务做广告。 The Wayback Machine存档的快照表明，提及Chainalysis的文本早在2016年1月就已上线。 Janda在该公司的工作在探索者的信息页面上也有讨论：“自2016年以来，名称数据库没有更新（除了一些非常罕见的情况），所以现在已经很长时间了。原因是我在空闲时间创建了WalletExplorer及其数据库。然后我加入了Chainalysis.com，基本上是这样相同的产品（但更先进），我因发现名称而获得报酬。虽然我为此付费，但我不能公开披露名称。如果您想要具有更新名称的数据，请询问Chainalysis。” 然而，该网站的内容并未提及其作为Chainalysis服务的一部分的用途，更不用说其对警方执法调查的所谓贡献。 Chainalysis是主要区块链分析公司中最大的一家，政府客户求助于Chainalysis来帮助追踪节点。美国财政部的外国资产控制办公室 (OFAC) 就是这样的合作伙伴之一：它在2021年初申请许可，以利用Chainalysis的“Rumker”技术来制裁加密货币参与者。美国财政部宣布对一家位于俄罗斯的加密货币交易所进行制裁，将Chainalysis帮助识别的钱包地址列入黑名单。 完整泄露的文档地址：

ProPublica成立于2007年，为一间总部设在纽约市曼哈顿区的非盈利性公司，自称是一个非政府、非盈利性的在线新闻网站，为公众利益进行调查报导。ProPublica的名称出自拉丁语“pro publica”，意指“为了人民”，彰显其“致力于公众利益的新闻”的定位。 自从2010年成为第一家获得普利策奖的网络媒体以来，ProPublica已经六次获得普利策奖（含合作），成为美国这项最高新闻奖的获奖常客，其深度原创能力不输美国任何一流新闻媒体。 ProPublica表示，其新闻调查是由全职调查记者的工作人员进行的，所产生的故事将分发给新闻合作伙伴以供出版或广播。在某些情况下，ProPublica及其合作伙伴的记者会共同撰写一篇报道。ProPublica与90多个不同的新闻机构合作，包括60分钟，美国有线电视新闻网，今日美国，纽约时报，洛杉矶时报，亚特兰大宪法日报，圣迭戈联合论坛报，泰晤士报的奥尔巴尼联盟，纽瓦克明星纪事报，纽约太阳，赫芬顿邮报，政客Salon.com，板岩，MSNMoney上，MSNBC.com的，读者文摘，商业周刊，和Newsweek.com等。 ProPublica新闻网站具有以下特点： 1.网站页面的设计简洁专业 2.创立全新的“众包模式”用户关系 3.数据资本公开化分享 4.以提供信息内容为主的盈利模式 ProPublica是第一个获得普利策奖的网络媒体也是第一个拥有暗网.onion域名的主要新闻媒体。ProPublica于2016年初就推出了“Tor隐藏服务”，让用户可以更安全、更匿名地浏览其网站。ProPublica称“推出此功能的部分原因是我们对媒体审查、数字隐私和监控以及私人医疗信息泄露等问题进行了大量报道、写作和编码。” ProPublica的技术人员Mike Tigas透露：除了在ProPublica工作之外，他也是Onion Browser的开发者，这是一个非官方的Tor浏览器适用于 iOS。 ProPublicaV3域名： http://p53lf57qovyuvwsc6xnrppyply3vtqm7l6pcobkmyqsiofyeznfu5uqd.onion 明网： https://www.propublica.org v2域名： http://www.propub3r6espa33w.onion

如果不想向DNS解析服务器透露自己的IP地址，可以选择使用Cloudflare的Tor onion服务。通过Tor网络解析DNS查询保证了比直接发出请求提供了更高级别的匿名性。这样做不仅可以防止DNS解析服务器看到记录用户的IP地址，还可以防止ISP提供商知道用户尝试解析与访问的具体域名。 Cloudflare在此博客文章中介绍了有关此服务的更多信息，暗网下/Anwangxia也曾经转载过此文章。这里继续跟进下其具体的配置。 设置Tor客户端 使用所有其他DNS模式与此模式之间的重要区别在于，数据包路由不再使用IP地址，因此所有连接都必须通过Tor客户端进行路由。 在开始之前，请前往Tor项目网站下载并安装Tor客户端。如果你使用Tor浏览器，它会自动启动一个SOCKS代理在：127.0.0.1:9150。 如果从命令行使用 Tor，请创建以下配置文件： SOCKSPort 9150 然后你可以运行tor： tor -f tor.conf 此外，如果你使用Tor浏览器，你可以前往解析器的地址，看到通常的1.1.1.1页面： https://dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion/ 请注意，HTTPS证书指示符应显示“Cloudflare, Inc. (US)”。 提示：如果您忘记了dns4torblahblahblah（长地址）.onion地址，请使用cURL： ​curl -sI https://tor.cloudflare-dns.com | grep -i alt-svc 使用socat设置本地DNS代理 当然，并非所有DNS客户端都支持连接到Tor客户端，因此将任何使用DNS的软件连接到隐藏解析器的最简单方法是在本地转发端口，例如使用socat. ​基于TCP、TLS和HTTPS的DNS 隐藏的解析器设置为在TCP端口53和853上监听基于TCP和TLS的DNS请求。设置Tor代理后，socat以特权用户身份运行以下命令，适当替换端口号： PORT=853; socat TCP4-LISTEN:${PORT},reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:${PORT},socksport=9150 从这里开始，你可以按照设置1.1.1.1的常规指南，除了你应该总是使用本地地址127.0.0.1而不是1.1.1.1。如果你需要从其他设备访问代理，只需将socat命令中的本地IP地址127.0.0.1替换为你的网络IP地址，如192.168.X.X。 ​UDP上的DNS 请注意，Tor网络不支持UDP连接，这就是需要进行一些黑客技巧的原因。如果你的客户端只支持UDP连接，解决方案是使用下面的socat命令，将发送到本地主机UDP:53端口的数据包封装为TCP数据包： socat UDP4-LISTEN:53,reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:253,socksport=9150 基于 HTTPS 的 DNS 如博客文章中所述，我们最喜欢使用隐藏解析器的方式是使用DNS over HTTPS (DoH)。要设置它： 按照“通过HTTPS客户端运行DNS”指南下载cloudflared。 启动Tor SOCKS代理并用于socat将端口TCP:443转发到本地主机： socat TCP4-LISTEN:443,reuseaddr,fork SOCKS4A:127.0.0.1:dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion:443,socksport=9150 指示你的机器将.onion地址视为localhost本地主机： $ cat << EOF >> /etc/hosts 127.0.0.1 dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion EOF 最后，启动一个本地DNS over UDP守护进程： cloudflared proxy-dns --upstream "

大型跨国公司奥林巴斯（Olympus）9月11日在一份简短声明中表示，该公司“目前正在调查影响其欧洲、中东和非洲计算机网络的潜在网络安全事件”。 “在检测到可疑活动后，我们立即组织了一个包括取证专家在内的专业响应团队，我们目前正在以最高优先级解决这个问题。作为调查的一部分，我们已暂停受影响系统中的数据传输，并已通知相关外部合作伙伴。”声明说。 被感染计算机上留下的赎金说明声称来自BlackMatter勒索软件组织。“您的网络已加密，目前无法运行，”它写道。“如果您付费，我们将为您提供解密程序。”赎金说明还包括一个只能通过Tor浏览器访问的暗网网址，已知BlackMatter使用该网站与受害者进行通信。 Emsisoft的勒索软件专家和威胁分析师BrettCallow称，勒索信中的网站与BlackMatter组织有关。 BlackMatter是一个勒索软件团伙，它被认为是现已退役的DarkSide、LockBit 2.0和REvil勒索软件团伙的继任者。但SophosLabs的分析表明，虽然DarkMatter和DarkSide勒索软件之间存在相似之处，但代码并不相同。 自该团伙于6月出现以来，Emsisoft已记录了40多起归因于BlackMatter的勒索软件攻击，但受害者总数可能要高得多。 BlackMatter等勒索软件团伙通常会先从公司网络中窃取数据，然后再对其进行加密，然后威胁如果不支付用于解密文件的赎金，就会在线发布文件。另有一个与BlackMatter相关的暗网网站，用来宣传其受害者并兜售被盗数据，但目前该网站还没有奥林巴斯的数据条目。 奥林巴斯是一家跨国公司，在全球拥有31,600多名员工，为医疗和生命科学行业生产光学和数字复印技术。它在过去以模拟和数码相机的先驱而闻名，但在1月份出售了其陷入困境的相机部门。 奥林巴斯公司在9月14日更新声明称： 我们可以确认，2021年9月8日发生的事件是恶意软件攻击未遂，影响了我们在EMEA（欧洲、中东和非洲）的部分销售和制造网络。我们立即暂停了这些区域的数据传输，并通知了相关外部各方。我们向所有客户和合作伙伴保证，我们的日常业务运作正常，确保为患者提供不间断的服务。 我们已将事件报告给相关政府部门。我们将继续采取一切必要措施，以安全的方式为我们的客户和业务合作伙伴提供服务。 根据迄今为止的调查结果，没有发现我们的数据丢失、未经授权使用或披露的证据。也没有证据表明网络安全事件影响了EMEA地区以外的任何系统。 保护我们的客户和合作伙伴并保持他们对我们的信任是重中之重。我们非常重视数据的安全和保障，并将继续采取措施加强我们的IT安全。 对于由此事件造成的任何不便，我们深表歉意。

新的研究表明，随着消息应用程序作为暗网的替代品出现，Telegram已成为网络犯罪分子寻求购买、出售和共享被盗数据和黑客工具的中心，也是暗网中犯罪分子交流最常用的聊天软件。 Telegram于2013年推出，允许用户通过“频道”向关注者广播消息，或创建其他人可以轻松访问的公共和私人群组。用户还可以直接通过应用程序发送和接收大型数据文件，包括文本和压缩文件。根据SensorTower的数据，该平台表示其拥有超过5亿活跃用户，8月份下载量突破10亿次。 网络犯罪分子多年来一直在使用Telegram，因为它是加密的，容易访问。根据《金融时报》和网络情报组织Cyberint最近进行的一项调查，最近“网络犯罪分子对Telegram的使用增加了100%以上”。英国《金融时报》表示，在WhatsApp的隐私政策发生变化后，用户纷纷涌向该应用程序后，该应用程序上的犯罪活动有所增加。 如果你还记得，今年早些时候，WhatsApp要求其用户接受一项修订后的政策，允许其与母公司Facebook共享数据。用户感到愤怒，WhatsApp不得不澄清，它仍然不能阅读他们的私人通信。即便如此，人们还是迁移到了提供类似安全信息功能的竞争对手那里–对于Telegram来说，这显然导致了通过该应用进行的犯罪活动的增加。 根据调查人员的说法，有一个不断膨胀的黑客网络，他们在拥有数万名用户的频道中分享和出售数据泄露。据报道，在过去一年中，“Email:pass”和“Combo”在该应用程序中被提及的次数增加了四倍。该应用程序上流传的一些数据转储包含30万至60万个游戏和电子邮件服务的电子邮件和密码组合。网络犯罪分子还通过该应用程序出售金融信息，如信用卡号码、护照副本和黑客工具。 vpnMentor发布报告称，Telegram上流传的数据转储来自Facebook、营销软件提供商Click.org和约会网站Meet Mindful等公司之前的黑客攻击和数据泄露。大多数数据泄露和黑客攻击似乎只有在暗网上出售后才会在Telegram上共享，或者黑客未能找到买家并决定公开或共享信息。 Cyber​​int的网络威胁分析师 Tal Samra表示，网络犯罪分子从暗网过渡到Telegram的部分原因是该加密聊天工具提供了匿名性。但他指出，其中许多团体也是公开的。暗网论坛内部共享的Telegram群组或频道的链接从前一年的172,035个跃升至2021年的100万个以上。 Samra解释说：”Telegram的加密信息服务在进行欺诈活动和出售被盗数据的网络犯罪分子中越来越受欢迎……因为它比暗网使用起来更方便”。萨姆拉说，除了比暗网更方便之外，Telegram也不太可能被警方监控。 在《金融时报》通知该公司后，Telegram已经删除了出售带有电子邮件和密码组合的大量数据集的渠道。在一份声明中，Telegram还表示，它“有删除未经同意分享的个人数据的政策”，并且它有一支“不断壮大的专业版主队伍”，每天删除1万个违反其服务条款的公共社区。今年早些时候，在美国国会大厦遭到袭击后，这些版主不得不监控数百个频道，以留意暴力的呼声。