俄罗斯

当俄罗斯在2月入侵乌克兰时，一个名为Conti的臭名昭著的网络犯罪集团宣布“全力支持”总统弗拉基米尔·普京(Vladimir Putin)。三天后，Conti的一名亲乌克兰成员泄露了日志，详细说明了该组织的后续行动计划，称Conti的领导人“已经失去了所有的狗屎”。 这些日志揭示了世界上最大的网络犯罪集团之一的演变的一个惊人的新维度：这些集团正在沿着地缘政治路线分裂——民族主义议程正在渗透到一个网络犯罪活动中，直到现在，这个活动一直是无情的以利益驱动。 这使得所谓的暗网市场的阴暗世界——犯罪分子在这里交易计算机黑客工具、窃取的数据、毒品和洗钱服务——变得更加危险和难以控制。网络犯罪集团正在放弃管理这些市场的规则，并利用他们在这些平台上交易的恶意软件来攻击与他们认为是敌人的国家的关键基础设施和政府服务有关的更敏感的计算系统。 网络安全技术公司CrowdStrike负责情报的高级副总裁亚当迈耶斯（Adam Meyers）说：“有一种意识形态的网络行动，发生在我称之为自愿参与者之间。我们看到进攻性网络行动向越来越多的民族国家扩散。” 9月，谷歌和IBM的研究人员注意到了同样的动态。Conti的黑客工具被用于针对乌克兰的网络攻击，研究人员称之为“前所未有的模糊界限”。 在暗网上，这种新环境的出现，部分归功于执法的成功。4月，德国当局关闭了Hydra——当时世界上最古老、最大的暗网市场，也是Conti买卖数据和黑客工具的地方之一，根据日志显示。 像Conti这样的集团一直是相对不依赖平台的，愿意跳到下一个大平台并继续他们的业务。当FBI于2013年10月关闭世界上第一个现代暗网市场丝绸之路（Silk Road）时，这为AlphaBay铺平了道路，这个暗网市场的规模比其前身大10倍。 但当Hydra消失后，它的前任管理者迅速用多个新的、较小的暗网市场和论坛填补了这一空白，为网络威胁情报公司Flashpoint的高级分析师András Tóth-Czifra所说的俄语暗网的”市场之战“创造了条件。 而这些市场不仅与法律有冲突，而且彼此之间存在意识形态上的冲突，以亲克里姆林宫和亲乌克兰的路线划分。 华盛顿担心这些团体，但也在努力寻找解决办法。 众议院国家安全、国际发展和货币政策小组委员会主席、众议员吉姆·海姆斯（Jim Himes）表示，利用暗网的犯罪分子特别危险，因为他们需要相对较少的资源来入侵和破坏美国的大规模计算系统。 “这是最终的不对称威胁，”海姆斯说。 他说，当我们谈论技术复杂的暗网世界时，监管尤其困难。 “每个人都了解桥梁，对吧？没有人了解门罗币（Monero），”海姆斯说，他指的是难以追踪的加密货币，这种货币正在成为暗网市场的默认货币。 而警察和执法机构也仍在追赶，在技术和外交方面存在重大障碍，阻碍了打击大规模、分散的网络犯罪活动的努力。 与此同时，这些平台上的网络犯罪分子也在不断提高操作安全性。许多较新的市场已强制使用Monero，并越来越多地使用加密通信工具。 网络犯罪的地缘政治 Conti泄密事件只是Hydra垮台后这些团伙在新市场上的第一次政治对峙。 8月，直言不讳的亲克里姆林宫黑客活动组织Killnet攻击了一个名为RuTor的亲乌克兰暗网讨论论坛，声称它是由乌克兰特勤局特工运营的。 Flashpoint的Tóth-Czifra说，到目前为止，这种行为在网络犯罪黑社会中几乎是被禁止的——攻击一个隶属于前苏联国家的暗网行为者。例如，Alphabay的指导方针称该平台禁止针对俄罗斯、白俄罗斯、哈萨克斯坦、亚美尼亚或吉尔吉斯斯坦的任何活动。 这在一定程度上是因为保持暗网市场的运行总是有一定的政治意义，而这通常涉及与执法不严的政府友好相处。 “俄罗斯和其他一些国家所做的是睁一只眼闭一只眼，”海姆斯说，他将Conti这样的团伙描述为政府允许其运作的“准国家行为者”，因为他们对敌对国家的攻击满足了这些政府的政治目标。 在俄罗斯入侵乌克兰之前，美国和俄罗斯之间至少有过一些解决跨国网络犯罪的提议。2021年7月，美国总统拜登（Joe Biden）与普京通了一次电话，试图说服他打击设在俄罗斯的黑客组织。尽管拜登威胁要采取“任何必要的行动”来保护美国的关键基础设施，但他还表示，两国已就此问题建立沟通渠道。 但俄罗斯特工最后一次在暗网执法行动中甚至名义上与他们的美国同行合作是在4月——在Hydra被逮捕10天后，在乌克兰遭受入侵后不到两个月。俄罗斯当局以大规模贩毒罪名逮捕了德米特里·巴甫洛夫。巴甫洛夫承认作为中介提供服务器出租，但否认直接参与该网站的管理。 与此同时，利用这些市场的犯罪团伙变得更加肆无忌惮，利用他们在平台上购买的黑客工具对更大的目标进行网络攻击，从而使政府陷入困境。 到2017年，CrowdStrike的迈耶斯（Meyers）看到了“我们称之为大型游戏狩猎或企业勒索软件”的出现——指的是黑客用来阻止对计算机系统的访问，直到他们获得赎金。这些网络犯罪分子已经意识到，如果他们的目标离线几个小时的成本很高，或者如果泄露的数据特别敏感，他们的赎金要求就会得到更好的满足。“这确实是他们正在寻找的最佳方法。”迈耶斯说。 Flashbpoint的Tóth-Czifra表示，这些较高知名度的攻击意味着他们也不太担心政府会来找他们。 “我们认为，由于害怕报复，他们不会将关键基础设施或工业系统作为目标。然后Colonial Pipeline发生了，”他说，指的是2021年5月东欧组织DarkSide对东海岸一条主要燃料管道发动的网络攻击，迫使该公司停止运营六天。但DarkSide表示这次袭击不是政治性的。 监管和执法的问题 在Hydra倒下的那天，美国财政部长珍妮特耶伦向该平台的用户发出了不祥的警告。“你不能躲在暗网或他们的论坛上，你也不能躲在俄罗斯或世界其他任何地方，”耶伦说。“在与德国和爱沙尼亚等盟友和伙伴的协调下，我们将继续破坏这些网络。” 然而，到目前为止，Hydra的大多数网络犯罪用户群（供应商、买家和管理员）都逃脱了起诉。 批评人士说，这是因为执法部门适应缓慢，机构之间和政府之间的协调充其量也是零散的。 在美国国内，联邦机构尚未确定一项统一的战略来应对暗网上的网络犯罪活动——即使是非法毒品，执法部门重点关注的领域之一。 这是因为在加密货币主导的世界中，“追踪金钱”的传统方法越来越难。 自2015年以来，前DEA探员Elizabeth Bisbee一直在推动联邦执法部门学习如何在毒品调查中监控加密货币交易——这些市场的主要支付方式之一。 Bisbee现在是私营区块链分析公司Chainalysis的美国调查负责人，她表示，在她任职DEA期间，内部倡导在DEA的调查中提供更多的网络支持“遇到了犹豫”。 她说，在传统的执法环境中，数字支付和加密货币等概念仍然陌生。Bisbee回忆起她经常从努力适应的执法人员那里听到的说法：“我们管理电话号码，我们在街上进行监视。你的意思是，我们现在必须在计算机上进行监控？那有什么意思？” 调查人员有时会依靠传统技术，例如在个别暗网市场供应商试图兑现其加密货币收益时，分析他们的电话记录。 但这有其缺点。使用传统调查技术追踪单个供应商需要花费大量时间。Hydra在其服务器被没收时拥有19000多家活跃供应商。 由于技术挑战和这些调查的跨辖区性质，协调跨国执法行动以打击暗网上的网络犯罪活动可能需要数年时间。Hydra在其服务器被查封之前不受约束地运行了七年。 近年来取得了进展。在美国，DEA制定了多项举措来应对在线毒品交易，包括2018年成立的联合犯罪阿片类药物暗网执法小组。同年，美国司法部领导了一个多机构团队，摧毁了一个出售儿童色情制品的庞大暗网市场。在国际方面，经过美国司法部和国务院近四年的谈判，美国于5月签署了打击网络犯罪的国际执法合作协议。 但全球网络犯罪网络也升级了其游戏规则。 除了使用Monero等加密货币和更强大的加密技术之外，新的暗网市场正在转向内置的加密货币“混合器”，通过掩盖付款的来源来增加用户的匿名性。 缺乏监管继续帮助暗网市场的交易。世界各地对加密货币的监管差异很大，这意味着只要有一个国家进行打击，市场就可以转移到一个新的国家。美国于2022年8月对其中一个加密货币混合器——Tornado Cash的制裁所引起的反弹，凸显了监管支持用户匿名的技术是多么困难。 当联邦监管机构对如何监管区块链感到困惑时，Monero在8月宣布了加密升级，以提高用户匿名性。 适应变化的环境 因此，最新一代的暗网市场是庞大的网络犯罪企业，他们从前辈的操作安全错误中吸取了教训，具有阴暗的民族主义动机。 而且他们只会变得更加活跃。仅在2022年上半年，全球就报告了超过2.36亿次勒索软件攻击。 前FBI网络调查员Keith Mularski说：“你必须明白，你是一个目标，无论是来自有组织的网络犯罪集团、勒索软件，还是来自试图窃取你的知识产权的民族国家。” 随着这些团体动机的改变，打击他们的方法也可能必须改变。 Mularski说，归根结底，解决这些隐蔽的网络威​​胁的关键是了解“键盘末端的人”。

本文来源自乌克兰网站texty.org.ua，euromaidanpress.com在其基础上进行改编深华。 俄罗斯对据称在黑市上出售的西方武器的“调查”，是基于据称在暗网上提供购买反坦克武器标枪导弹系统（FGM-148 Javelin）和其他美国制造武器的广告截图。暗网是需要特殊软件才能访问的匿名网络，除了预期的合法用途外，犯罪分子通常可以利用这些网络出售非法的数字或实物物品。 假冒俄罗斯暗网广告表面上提供购买美国制造的标枪（存档——Tor洋葱链接是通过Tor到Web网关之一打开并存档在Web存档上）。该页面有希腊语、波斯语、土耳其语和波兰语的正面“客户评价”。 最初，一些由俄罗斯宣传人员运营的多个Telegram频道几乎同时开始传播此类截图，随后俄罗斯宣传网站开始传播这些截图。最后，各种极右翼和极左翼反全球主义者、阴谋论者和简单的“真相斗士”的英语资源开始传播所谓的暗网广告截图。 早在6月，当所谓的暗网市场的屏幕截图首次出现在俄罗斯的宣传资源上时，很多消息来源如Mirror显示，这些宣传者分享的屏幕截图“可能是假的，是俄罗斯宣传活动的一部分，目的是阻止西方向乌克兰的保卫者输送武器。” 根据该网站的一张截图，目前可以追踪到的有关暗网交易市场的首次提及出现在2018年，然后在2021年，它有许多非法商品的报价，但没有一个与乌克兰有关： 2021年底的假市场外观（截图的文件名表明日期为2021-12-03，文件名中的俄语单词 “скриншот “表明是一个讲俄语的人发布的截图），来源 为什么俄罗斯暗网市场是假的 俄罗斯宣传人员采取了一种彻底的方法来发起虚假宣传活动，因为他们使用了一个暗网网络资源，该资源模仿了一个据称销售违禁产品和阴暗服务的真实市场。 根据奥尔堡大学的丹麦网络安全研究人员的说法，就像在常规网络上进行交易一样，在暗网上进行交易主要基于信任，为了达到所需的信任级别，市场的所有者使用了许多帮助买卖双方的技术，确保买家和卖家不会被骗： “[暗网市场]提出了一些机制，如供应商信誉系统、托管、通信加密（如PGP）、评论系统、带有讨论的综合论坛部分和客户支持功能，所有这些都是为了在买家、卖家和市场所有者之间建立一个信任链。” 首先，一个暗网市场必须是知名的。非法交易的网站不多，正规互联网上的许多导航网站都列出了它们的名称、描述和链接。乌克兰网站Texty仅在一个仓促制作的网站上发现了俄罗斯暗网网站的提及，该网站几乎没有与其他知名市场的链接。其他提及该网站的内容出现在一些看起来像SEO优化的垃圾克隆网页上，还有几个主要是俄语的网页上。 真实暗网交易市场的所有者使用复杂的验证码（CAPTCHA）来保护他们的暗网站点免受DDoS攻击以及从他们的资源中自动爬取数据。这些验证码比常规互联网上的检查要复杂得多——暗网市场的所有者为他们的用户提供时钟、谜语、谜题、小游戏和数学方程式——通常一次会出现几个问题。在俄罗斯的平台上没有这些东西。最后，真正的市场平台使用安全的PGP协议。这可以保护用户免受欺诈，并验证平台的真实性。同样，俄罗斯的模拟市场也没有使用这种保护。 假冒的“乌克兰武器黑市”暗网市场被糟糕的乌克兰语法击倒 尽管缺乏正常的暗网保护技术，但俄罗斯的假市场有一个相当高质量的外观和感觉。它包含针对卖家和买家的说明、注册表单以及来自平台用户的所谓评论的部分。对于一个没有经验的访问者来说，他来到这里是为了核实乌克兰人销售西方提供的武器的信息，它可能看起来像一个真正的暗网市场。 “但是，如果俄罗斯人没有通过尝试用乌克兰语写作而放弃游戏，他们就不是俄罗斯人了” 在俄罗斯暗网网站上注册了几家诋毁乌克兰的商店。他们的地理位置被标记为“基辅”。其中三个表面上出售武器，两个提出伪造军事文件以躲避动员，还有一个显然可以提供乌克兰武装部队的秘密文件。 假冒的俄罗斯暗网网站被说成是乌克兰暗网市场，提供武器、秘密文件、伪造的文件以逃避动员。 然而，最搞笑的服务是由PROVIDNYK（“指南”）商店提供的，据称您可以花15000美元购买“跨境转移”，这实际上是“跨境转移/运输”从俄语翻译成乌克兰语的糟糕机器翻译，即提供非法穿越乌克兰边境，该边境对具有军事能力的乌克兰男性关闭。 据称由PROVIDNYK的客户发布的评论是用糟糕的乌克兰语写的。所谓的“客户”抱怨乌克兰的纳粹政府，歌颂他们对俄罗斯的热爱，不想为北约而战。 俄罗斯宣传人员在一个虚假的暗网网站上用糟糕的乌克兰语发表的评论 “当你不被允许用我们为这些土地而战的祖父母的[俄罗斯]语言说话时，这不是自由，”该网站的客户wullwDykKZ表面上用乌克兰语写道，另一位网站用户PegDDM932y也用乌克兰语写道，他来自乌克兰东部，“我在俄罗斯有很多朋友，我想自己选择应该说什么语言。” 两人都重复了俄罗斯的宣传叙述，说他们不想与“法西斯”/“纳粹”并肩作战，在第二条评论中，俄文原文中的一个错字“тому”暴露了机器的翻译，乌克兰语“петаму”被错误拼成了俄语“потому”。 euromaidanpress.com编者称： 这不是第一次俄罗斯的宣传试图伪造乌克兰语的东西而失败：几乎所有俄罗斯人作为乌克兰犯罪证据的照片处理过的文件都包含语法和文体错误，并且经常显示出机器翻译的迹象。这种低级趣味的努力表明，这种假证据的目标是不讲乌克兰语的受众，如俄罗斯公民和西方人。

据一份公布的报告称，北约正在调查据称从一家欧洲导弹系统公司窃取的数据泄露事件，黑客已在暗网上出售这些数据。 泄露的数据包括乌克兰在当前与俄罗斯的战争中使用的武器蓝图。 总部位于法国的综合防务公司MBDA导弹系统公司承认，在似乎是勒索软件攻击之后，来自其系统的数据是攻击者在黑客论坛上出售的缓存数据的一部分。 MBDA表示，与网络攻击者在他们的广告中的说法相矛盾的是，没有任何待售信息是机密信息。它补充说，这些数据是从一个被破坏的外部硬盘上获得的，而不是公司的内部网络。 与此同时，北约官员周一称，北约正在“评估与据称从MBDA窃取的数据有关的勒索”。 这位官员说：“我们没有迹象表明任何北约的网络已经被破坏了。” 双重勒索 MBDA于8月初在其网站上的一篇帖子中承认，这是“这个企图敲诈的对象是一个犯罪团伙，该团伙谎称入侵了该公司的信息网络。” 该帖子称，该公司拒绝支付赎金，因此数据被泄露到暗网上出售。 具体来说，根据BBC的一份报道，威胁者在俄语和英语论坛上出售80GB被盗数据，价格为15个比特币，约合297279美元，该报告周五爆料了北约调查的消息。事实上，网络犯罪分子声称已经将数据出售给了至少一位买家。 报道称，北约正在调查该公司的一个供应商，认为这可能是漏洞的来源。MBDA是一家由三个主要股东组成的合资企业：AirBus、BAE Systems和Leonardo。虽然该公司在欧洲运营，但它在世界各地都有子公司，包括美国的MBDA导弹系统公司。 该公司正在与意大利当局合作，该漏洞发生在意大利。 MBDA去年报告的收入为35亿美元，其客户包括北约、美国军方和英国国防部。 机密信息和乌克兰 据英国广播公司（BBC）报道，黑客在泄露数据的广告中声称有“参与开发封闭军事项目的公司员工的机密信息”以及“设计文档、图纸、演示文稿、视频和照片材料、合同协议以及与其他公司的通信”。 在BBC查看的50兆字节的样本文件中，有一个演示文稿似乎提供了“陆地掠夺者”通用防空模块化导弹（CAMM）的蓝图，包括其中电子存储单元的精确位置。据报道，其中一枚导弹最近被送往波兰用于乌克兰冲突，作为“天剑”系统的一部分，目前正在运行。 这可能提供了一条有关威胁行为者动机的线索；甚至在2月24日俄罗斯正式入侵之前，与俄罗斯结盟的高级可持续性威胁（APT）攻击就开始通过网络袭击乌克兰。 在当地的冲突开始后，威胁者继续用网络战争扼杀乌克兰，以支持俄罗斯的军事行动。 据报道，英国广播公司查看的样本数据还包括标有“北约机密”、“北约限制”和“非机密受控信息”的文件。至少一个被盗文件夹包含MBDA设备的详细图纸。 据报道，犯罪分子还通过电子邮件向BBC发送了文件，其中包括两份标有“北约机密”的文件。黑客没有确认这些材料是来自单一来源还是来自多个被黑来源。 尽管如此，MBDA坚持认为，该公司迄今为止执行的验证过程“表明，网上提供的数据既不是机密数据，也不是敏感数据”。

前几日，Roskomsvoboda（一个倡导开放的自我监管网络和保护互联网用户的数字权利的俄罗斯非政府组织）的律师报告说，Tor项目官方网站终于在俄罗斯被解除封锁。接着，俄罗斯电信和大众媒体监管机构（也称为Roskomnadzor或RKN）已恢复对Tor项目网站的访问，延迟执行法院裁决。该网站去年被列入黑名单，但该措施成功地受到了律师的质疑。 但是今天，Roskomsvoboda又表示，萨拉托夫的列宁斯基区法院（Tor项目案件最终被发回重审）部分满足了检察官的要求，并裁定Tor浏览器软件应用程序中包含的信息和Tor浏览器应用程序本身被禁止。 俄罗斯法院称：“该决定是将Tor浏览器软件应用程序、Google Play软件应用程序页面上的Tor浏览器软件应用程序所包含的信息纳入域名统一注册表、互联网上的网站页面索引和网络地址，以便识别含有在俄罗斯联邦禁止传播的信息的互联网网站的理由。” 2021年12月7日，Tor网络的开发者Tor Project表示，他们收到了RCN的通知，有必要从其网站torproject.org上删除在俄罗斯被禁止的信息，否则将被封锁。同一天晚些时候，Tor的官方博客上出现了一份关于封锁的公告。俄罗斯联邦禁止的信息登记处援引萨拉托夫地区法院2017年12月18日的决定作为此举的理由。 2021年12月3日，监测互联网封锁的专家报告称，Tor网络上的个别节点已经开始被几个俄罗斯互联网服务提供商封锁。据开发商称，这些封锁早在12月1日就开始了。 Tor项目公司今年1月对地区法院的裁决提出上诉，该裁决成为封锁该网站的依据，并要求取消该裁决，因为该组织没有参与该案件，尽管该裁决影响到其权益。 5月19日，萨拉托夫地区法院推翻了一审法院的判决，并将该案发回重新审理。 5月31日，Roskomnadzor要求Google LLC根据萨拉托夫地方法院的裁决从GooglePlay中删除Tor浏览器应用程序。 法院裁定，Tor浏览器中包含的信息“在俄罗斯被禁止传播，软件应用程序本身也是如此，允许访问被禁止的内容，并有助于实施刑事犯罪”。 Tor（The Onion Router）是用于实现第二代和第三代所谓“洋葱路由”的开源软件，即通过计算机网络进行匿名信息交换的技术。它是一个代理服务器系统，允许您建立匿名网络连接，网络内的数据以加密形式传输。该系统被个人、公共组织、媒体用于与举报人、企业和特殊服务机构合作。针对Tor网络最常听到的指控是其可能被广泛用于犯罪目的。 在过去几年中，发布与加密货币相关的信息或提供服务的网站以及VPN提供商也成为俄罗斯电信监管机构、检察官办公室和法院的目标。但是，由于程序违规或缺乏明确的规定，此类平台的运营商经常成功地挑战针对他们的措施。

AlphaBay据称是世界顶级的暗网市场。但它遵循一个奇怪的规则：俄罗斯、白俄罗斯、哈萨克斯坦、亚美尼亚和所有“与吉尔吉斯斯坦有关的活动”都被排除在外。 为什么要排除在外：一位选择以DeSnake为昵称的AlphaBay主要管理员兼工作人员称，排除规则与最近因入侵乌克兰而对俄罗斯及其盟国实施的制裁无关。 “不将这些国家纳入运营的原因很简单。有一条黄金法则：你不要在你睡觉的地方拉屎。”该工作人员说。 DeSnake暗示AlphaBay背后的团队位于独立国家联合体（CIS）的一个成员国中，该组织是在1991年苏联解体后形成的，并希望在该区域政府间组织的交织的法律下避免任何刑事犯罪行为。 独联体包括俄罗斯和前苏联国家，如亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦和乌兹别克斯坦。 “通用策略” DeSnake指出这种策略“对业内人士来说很常见”，并表示有证据表明，这种做法“可以追溯到很多年前，其他论坛、聊天室、（恶意软件）群组”和其他犯罪组织。 正如网络安全公司Malwarebytes在2021年的一篇文章中指出的那样，“勒索软件真的，确实不想在俄罗斯或独联体成员国运行，而且也从来没有。” Malwarebytes研究的顶级勒索软件都没有在任何一个独联体国家运行，尽管在进行研究时在世界其他地区积极运行。 如果勒索软件错误地在与独联体国家相关的组织中运行，该团队通常会道歉并免费交出解密密钥。在一个这样的例子中，勒索软件组织Avaddon的代表在发现一家受害公司在亚美尼亚有一个分支机构后，向其道歉并提出修复其系统。 其他风险 正如Malwarebytes所解释的，俄罗斯与美国没有引渡条约，这意味着俄罗斯网络犯罪分子只要不在独联体国家犯罪，就没什么可担心的。 DeSnake承认，用户可能会利用暗网和门罗币的匿名性来规避限制，但如果他被发现并被禁止，供应商将面临失去押金的风险。 该员工还表示，AlphaBay不会协助此类交易，这意味着不会提供争议解决服务。 自我承认 在一些采访中，DeSnake非常大胆地声称，即使被查获，他的工作PC也不会牵连他。 但所有隐私匿名技术和运营保护可能不如简单的地理保护那么重要。DeSnake声称位于非引渡国家，超出了美国执法部门的范围。在给“WIRED”发的消息中，AlphaBay的新老板描述了他曾在前苏联生活过，他之前曾在最初的AlphaBay论坛上给用户写过俄语消息。 长期以来一直有传言称AlphaBay与俄罗斯或俄罗斯人有某种联系。AlphaBay暗网市场一直禁止出售从前苏联国家的受害者那里窃取的数据，这是俄罗斯黑客的共同禁令，旨在保护他们免受俄罗斯执法部门的审查。

在美国和德国当局表示他们关闭了他们所谓的世界上最大的非法暗网市场Hydra一周之后，俄罗斯称其逮捕了据称是暗网平台Hydra的联合创始人。 德国警方本月表示，它控制了Hydra在德国的服务器，并没收了价值2500万美元的比特币资产。美国司法部在刑事指控中称30岁的德米特里·巴甫洛夫（Dmitry Pavlov）为暗网市场Hydra服务器的管理员。 巴甫洛夫曾表示他不知道这些指控，并坚称自己是无辜的。 “我们是一家托管公司，拥有所有必要的通信许可证。我们不管理任何网站，只是作为中间商提供服务器出租。”他上周告诉BBC的俄罗斯服务台。 根据法院的数据库，莫斯科的梅尚斯基（Meshchansky）地区法院裁定在审判前拘留 D. Pavlov，罪名是大规模贩运毒品。 。 该裁决日期为4月11日（星期一）。一位法院发言人向俄罗斯媒体透露，嫌疑人是德米特里·奥列戈维奇·巴甫洛夫，与美国司法部的起诉书中的名字完全吻合。 这很让人诧异，因为大量证据表明，俄罗斯政府是Hydra市场背后的支持者。有网友猜测，俄罗斯拘捕巴甫洛夫的可能原因只是为了保护他，或者防止泄密。 如果被判有罪，巴甫洛夫将面临15到20年的监禁。但他不太可能被引渡到美国，因为俄罗斯与美国两个国家之间没有引渡条约。 自2015年成立以来，暗网市场Hydra就通过Tor加密网络销售非法毒品、被窃取的信用卡数据、假币和伪造的身份证件。 德国和美国对Hydra市场的调查于2021年8月开始。 网络安全专家援引俄罗斯当局的消息称，俄罗斯警方自Hydra市场成立以来也一直在对其进行调查。他们推测，尽管已经关闭，但Hydra市场可能会重新上线。

Hydra市场是俄罗斯最大最知名的暗网交易市场，是最大的俄语暗网交易市场，也是目前暗网里仍在运营的最古老的市场，还可能是世界上最大的暗网市场。Hydra市场总部设在俄罗斯，之所以发展这么大，完全可以肯定，该市场的背后离不开俄罗斯政府的大力支持，当然，从另外一个层面看，Hydra市场每年能赚取数十亿美元的收入。 2017年，在RAMP（俄罗斯暗网市场）关闭后，Hydra市场成为俄罗斯顶级暗网市场。最初，还有其他几个俄罗斯暗网市场。Hydra市场将RAMP、IKLAD、BLACKMARKET、SOLARIS和RuSilk列为潜在的竞争对手，并对其竞争对手进行了DDoS攻击。这样一来，Hydra就压制了其竞争对手，并吸引了数百万的用户。Hydra表示，它将继续”……压制任何可能对我们项目的未来产生负面影响的阻力”。 Hydra整个市场的网站都是用俄语写的，虽然市场管理人员在俄罗斯，但是Hydra市场的定位是服务所有使用俄语的国家，目前Hydra市场供应商服务的国家包括俄罗斯、乌克兰、白俄罗斯、哈萨克斯坦、阿塞拜疆、亚美尼亚、吉尔吉斯斯坦、乌兹别克斯坦、塔吉克斯坦和摩尔多瓦。进入市场必须选择国家/地区，以及所在的市/州，所以同城的线下交易支付很容易。如果您不住在它服务的国家范围内，您将很难找到愿意向您发货的供应商。 根据用户在首次登录前同意的“服务条款”，Hydra市场是其平台上出售的商品的“担保人和仲裁人”，但否认对发生的其他一切负责。Hydra市场拥有所有常见产品类别的数千个列表，包括毒品（大麻、兴奋剂、迷幻药、摇头丸、解离剂、鸦片剂、化学试剂、药品、合成代谢剂/类固醇）、BTC现金服务、伪造现金、泄露文件、SSH/VPN服务、信用卡CVV等等。 Hydra市场支付方式与交易方式 Hydra是一个只有比特币（BTC）支付的市场，使用标准的论坛托管支付系统。它的交易运作方式与其他暗网市场有着明显的不同。大多数暗网市场的交易方式是，实物商品通过邮政从卖方运到买方手中。 但是由于该市场上的买家与卖家的同城便利因素，Hydra市场的运作方式却非常的不一样。由卖家创造一个“宝藏”，这是一个隐藏在具体物理位置的非法商品的包装。这些包裹有可能被埋在地下，或者被固定在某个地方，或以其他方式隐藏在一个不显眼的地方。 买家有两种类型的购买方式：即时订单和预订单。对于即时订单，买家购买后，将立即收到“宝藏”的坐标或地址，包裹就藏在那里，买家自己去拿即可；对于预订单，买家和卖家将商定购买的细节，如金额，然后卖家将产品隐藏在某个位置并向买家发送位置，然后买方去该地点提取购买的物品。 Hydra市场优缺点 Hydra市场优点：所有暗网市场中最多的商品类别及列表选择；便捷的操作界面，易于访问；管理员非常活跃，并热情帮忙解决纠纷；“宝藏”式的“即时交付”系统。 Hydra市场缺点：只有东欧和亚洲的少数国家可以买卖实物产品；仅限俄语语言市场；注册比较麻烦，验证码较难辨认。 Hydra市场禁止讨论俄罗斯乌克兰战争 由于Hydra市场在俄罗斯和乌克兰都很活跃，Hydra市场禁止讨论政治，并在论坛发布了公告，但是转发一首英文歌曲表达了对战争的抵制： Уважаемые пользователи! В связи с событиями происходящими в мире, просим вас строго соблюдать правила форума о запрете на обсуждение политики. У каждого из вас может быть своя точка зрения, пусть она останется за пределами проекта. War (What Is It Good For?) War, huh, yeah What is it good for Absolutely nothing Uh-huh War, huh, yeah What is it good for

俄罗斯迅速而彻底地进入了一种数字隔离状态 在短短不到一个月的时间里，在数百家新闻媒体和社交媒体平台从网络上消失后，俄罗斯的互联网几乎变得面目全非，而Netflix和苹果等全球科技公司也限制了他们的服务。 本月早些时候，克里姆林宫在俄罗斯互联网上禁止了Twitter和Facebook，并在周一阻止了对Instagram的访问。俄罗斯Instagram影响者发布了含泪的告别视频，敦促粉丝们转移到他们仍然可以访问的平台。 俄罗斯迅速而彻底地进入了一种数字隔离状态，使数百万公民无法获得准确的信息和在线空间来表达意见。随着莫斯科试图扼杀异议并控制其入侵乌克兰的叙述，数字和人权组织对俄罗斯互联网的未来感到担忧。 除了克里姆林宫封锁众多在线平台和新闻网站的访问之外，在该国通过一项法律，将发布政府认为“虚假”的信息定为严重犯罪后，几家公司和媒体也被迫暂停运营。 这部法律也是在克里姆林宫试图传播大量关于乌克兰战争的错误信息和虚假信息，导致YouTube等主要平台删除或标记国家控制的俄罗斯媒体时出台的。 TikTok在3月初宣布，它将以“假新闻”法为由，阻止俄罗斯用户进行直播或上传新视频。但根据非营利性技术透明度组织Tracking Exposed周二的一份报告，该公司在限制俄罗斯用户的内容方面走得更远。 TikTok似乎屏蔽了平台上95%来自俄罗斯用户的内容，包括法国总统埃马纽埃尔·马克龙和联合国的账户，以及该平台最受欢迎的明星如查理·达梅里奥（Charli D’Amelio）的账户。 Tracking Exposed在一条推文中说：“这是全球社交媒体平台首次以这种规模限制对内容的访问。” 包括英国广播公司、美国有线电视新闻网和彭博社在内的主要国际新闻机构也以“假新闻”法为由暂停了在俄罗斯的服务。 非营利组织Access Now的技术法律顾问娜塔莉亚·克拉皮瓦（Natalia Krapiva）说：“现在情况非常糟糕，我们正在努力确保人们的人权得到尊重。”该组织致力于保护全球范围内的数字访问。 Krapiva说，科技公司撤出俄罗斯或平台大幅限制服务可能会伤害普通的俄罗斯人，以及在被占领土上只能访问俄罗斯互联网的乌克兰人。 Krapiva说：“尽管显然有合理的担忧，而且有必要对俄罗斯实施制裁，但现在的一些行动基本上是在孤立和切断那些事实上反对战争的人的联系。” 俄罗斯人转向VPN和暗网以避免在线审查 随着使用俄罗斯互联网的人们继续变得更加数字孤立，一些人已努力通过使用虚拟专用网络（VPN）保持与外界的联系。VPN允许人们通过可以绕过特定国家限制的辅助远程服务器连接到互联网。 Surfshark，一个总部位于立陶宛的VPN公司称，自2月24日俄罗斯入侵乌克兰以来，其在俄罗斯的平均每周销售额增加了3500%。该公司表示，最大的峰值发生在3月5日至6日，当时俄罗斯宣布它将采取行动，阻止人们访问Twitter和Facebook。 Surfshark公司发言人加布里埃尔·拉卡蒂特（Gabriele Racaityte）说：“如此迅速的激增意味着生活在俄罗斯的人们正在积极寻找避免政府监视和审查的方法，无论是访问被封锁的网站还是访问Twitter、Facebook、YouTube或Instagram等社交媒体。” 根据数字趋势和洞察公司SensorTower的数据，在俄罗斯入侵乌克兰期间，VPN需求激增。该公司表示，与入侵乌克兰前一周的平均需求相比，俄罗斯对VPN服务的需求在周一达到了新的高峰，为2692%。 随着俄罗斯越来越多地限制对互联网的访问接入，，一些媒体和平台也试图建立绕过其审查制度的变通办法。《纽约时报》在Telegram上开设了一个频道，提供有关乌克兰战争的最新消息。与此同时，据Ars Technica报道，Twitter上周在Tor首次推出了其社交网络平台的一个暗网版本，尽管它没有将该公告与入侵联系起来。（Tor是一款允许用户匿名浏览网页的软件，可以用来访问暗网。） 根据VPN审查和跟踪公司Top10VPN的数据，自冲突开始以来，截至周一，俄罗斯政府至少封锁了384个与入侵乌克兰有关的域名，包括全球新闻机构、BBC新闻、德国之声、乌克兰真理报和自由电台的网站。 根据Top10VPN的数据，总共有203个新闻域名在俄罗斯被屏蔽，其中大多数是乌克兰的新闻服务。数据显示，还有“越来越多的独立的俄罗斯和外国服务的本地语言网站”同样被屏蔽。 尽管VPN下载量有所增加，但Krapiva表示并非每个人都会使用VPN服务。不那么精通技术的人和其他人可能不知道或无法下载它们，而且VPN服务也有成本的，尤其是那些安全可靠的服务。 Krapiva说，由于西方制裁导致某些西方支付方式受到限制，其他人可能会遇到支付问题，包括VISA卡、万事达卡和美国运通卡都无法使用。人权组织警告说，俄罗斯人与全球互联网隔绝的风险仍然很高。 非营利组织人权观察欧洲和中亚主任休·威廉姆森（Hugh Williamson）周一在一篇博文中说：“在前所未有的政府审查下，数百万俄罗斯人依靠互联网获取时事信息，并与外部世界沟通。外国科技公司应该寻求向俄罗斯人民提供服务和产品，以帮助他们访问互联网并减轻孤立的风险。”

据报道，俄罗斯内政部已经关闭了四个主要的非法暗网网站，这些网站通过出售被盗信用卡获得了超过2.6亿美元的加密货币收益。这些平台是Ferum Shop、Trump’s Dumps、Sky-Fraud论坛和UAS Store。 最新查获的案件 这些非法平台被称为“刷卡”网站，提供被盗信用卡，买家可以使用高级礼品卡、奢侈品或（如本案中的）加密货币购买它们。 区块链分析提供商Elliptic透露，这四个俄罗斯网站通过非法交易共赚取了约2.63亿美元的数字资产。三种最常用的加密货币是比特币（BTC）、以太坊（ETH）和莱特币（LTC）。 根据分析，自2013年10月以来，仅Ferum Shop就从被盗信用卡中获得了2.56亿美元的BTC。这约占该非法市场的17%。然而，Elliptic表示，由于Ferum Shop多年来一直使用“零星使用支付处理器”，因此很难提供准确的数字。 Trump’s Dumps使用美国前总统唐纳德·特朗普（Donald Trump）的形象作为其品牌形象，使其臭名昭著，自2017年以来收入约为410万美元。该平台专门销售来自受损卡的原始磁条数据——通常被称为“转储”。 Sky-Fraud论坛也被关闭，该论坛是犯罪分子就“刷卡”技术和洗钱技巧进行讨论的地方。俄罗斯警方甚至在该平台上留下了一条信息说：“你们中的下一个是谁？” UAS Store是一个受欢迎的被盗远程桌面协议(RDP)凭证的卖家，也是俄罗斯执法机构关闭的第四个网站。它占数字资产收益中300万美元，其中862,000美元是在持续的COVID-19疫情流行期间获得的。 不到一个月前，当局停止了UniCC和LuxSocks的运营。这些信用卡出售网站在其存在期间总共赚取了3.72亿美元的加密货币。 俄罗斯人拥有多少加密货币？ 俄罗斯的立法者，在他们的加密货币立场上一直非常犹豫不决，最近宣布他们将对该资产类别进行监管，而不是禁止它。对于越来越多的当地投资者来说，这应该算是一个好消息。 根据一些估计，俄罗斯人总共拥有价值约2140亿美元的数字资产，该数字占市场总价值的近12%。 然而，俄罗斯财政部长安东·西卢安诺夫认为这个数字被大大夸大了。他估计，当地投资者持有价值约260亿美元的加密货币。

网络安全公司Trustwave发现，1月14日俄罗斯联邦安全局（FSB）对REvil勒索软件团伙的打击在地下犯罪网络中引起了恐惧和焦虑。在分析了地下论坛上的暗网聊天记录后，Trustwave发现网络犯罪分子认为他们最终可能会逮捕入狱并考虑从俄罗斯搬迁至其他国家。 俄罗斯国内安全部门表示，此次行动是应美国当局的要求，以应对源自该国的勒索软件攻击。 俄罗斯联邦安全局表示，在拘留了14名REvil勒索软件团伙成员后，他们还缴获了4.26亿卢布（约合560万美元）、60万美元、50万欧元和20辆豪华汽车。 暗网聊天记录证实了对俄罗斯联邦安全局与美国潜在合作的焦虑 俄罗斯政府与美国之间的潜在合作增加了地下圈子的焦虑。Trustwave SpiderLabs援引一位地下黑客论坛成员的话说，他担心服刑。 “这是一个很大的变化，”他说，“我不想坐牢。” 据Trustwave SpiderLabs称，地下论坛的成员认为他们的国家不再是避风港，并担心被逮捕。一些人建议将他们的勒索软件业务转移到印度、中国、中东或以色列。 这些担忧证实，勒索软件团伙将俄罗斯视为其犯罪活动的庇护所。然而，离开俄罗斯只会更加增加他们被捕和被引渡到美国的机会。 另一名成员警告其他人，联邦调查局正在通过莫斯科和圣彼得堡的货币兑换商瞄准勒索软件集团，“所有在莫斯科或圣彼得堡兑换的人都会停下来，联邦调查局在莫斯科。通过货币兑换商，勤劳工作的勒索软件团伙成员会被覆盖（捕获）。” 他们担心货币兑换商与执法部门合作并在审讯期间提供信息。 暗网聊天的一名参与者提出了俄罗斯联邦安全局和联邦调查局之间为打击勒索软件进行秘密谈判的怀疑。另一个人警告说，依赖国家保护的勒索软件运营者会感到震惊。 “事实上，有一点很清楚，那些期望国家保护他们的人会大失所望。”他说。 暗网聊天记录还表明，地下黑客组织成员对论坛管理员的背叛感到忧虑。他们怀疑一位管理员与执法当局合作，并参与了逮捕行动。 他承诺分享他与一名成员的对话，这名成员“消失得无影无踪，很可能是由于一个绰号为RED \ KAJIT的人，他是ramp论坛的管理员，为执法部门工作，反对普通辛勤勒索劳动者。” 论坛管理员可以访问会员信息，并可以与执法机构分享这些信息，作为认罪协议的一部分，或用于经济奖励等激励措施。 Trustware分析了一名成员的对话，该对话在2021年11月预测两个月内会有逮捕行动。 但是，有些人认为他们可以避免被捕并继续进行勒索软件活动。如果俄罗斯联邦安全局与美国当局合作，一位成员提供了几种逃避执法的解决方案。他建议使用Tor进行匿名，将被盗的数字资产存储在不同的计算机上，并使用加密技术。 此外，他建议网络犯罪分子避免不必要的暗网聊天，并补充说“现在在任何地方写任何东西都是危险的。” 他还警告说，在莫斯科和圣彼得堡，闭路电视摄像机随处可见，这对参与实际提取勒索资金的网络犯罪分子来说是一个巨大的安全风险。 其他参与暗网聊天的人指责REvil勒索软件组织通过攻击美国等强大国家的数十亿组织并吹嘘来吸引注意力。 一位成员指出，“在我们的行业中成为超级明星是一个非常糟糕的想法。” “在攻击和加密价值数十亿美元的公司、学校、州之前，有必要考虑一下，”他说，“他们敢跟谁比？” 俄罗斯联邦安全局对REvil勒索软件的行动很可能是从乌克兰转移注意力 Trustwave质疑俄罗斯FSB在打击勒索软件威胁方面的承诺。一个地下论坛的成员在暗网聊天中也表达了类似的观点，认为该行动是一场旨在供国际消费的表演。REvil勒索软件团伙被认为是网络犯罪中唾手可得的果实和跛脚鸭，因为其自愿决定缩减运营规模，并成功采取了执法行动。 逮捕REvil可能有助于俄罗斯联邦安全局转移人们对乌克兰边境正在酝酿的危机的注意力，并避免受到美国的更多制裁。因此，许多西方专家仍然怀疑逮捕最终会导致起诉或开启俄罗斯联邦安全局与国际安全部门之间合作的新篇章。