网络犯罪论坛LeakBase被全球执法行动摧毁数周后,俄罗斯逮捕了其管理员
在美国和欧洲执法机构对大型在线数据交易平台LeakBase进行全球执法打击数周后,俄罗斯执法部门逮捕了LeakBase的一名管理员。
俄罗斯内政部周三表示,俄罗斯内务部安全局官员与罗斯托夫州警方合作,逮捕了南部城市塔甘罗格的一名居民,该居民涉嫌创建并运营着一个规模庞大的国际黑客平台。在长达四年的时间里,该平台被用于交易被盗的个人信息数据库。在搜查被拘留者的住所时,查获了电脑设备和其他具有证据价值的物品。
俄罗斯内务部发言人伊琳娜·沃尔克表示:“根据现有信息,该平台托管了数亿条被盗用户记录、银行信息、登录名和密码,以及通过黑客攻击获取的公司文件。超过14.7万名在该论坛注册的用户能够买卖这些数据,甚至利用这些数据对公民实施诈骗。”她补充道:”俄罗斯内务部莫斯科总局侦查总局的一名侦查员已根据俄罗斯刑法第272.1条第3款和第6款立案调查。被告已被还押候审。“
俄罗斯内务部发言人伊琳娜·沃尔克没有透露该平台的名称,但俄罗斯国家通讯社塔斯社援引执法部门消息人士的话称,该平台名为LeakBase。该通讯社的消息人士称,这名被拘留的塔甘罗格居民涉嫌运营“最大的国际黑客平台之一LeakBase”。
俄罗斯联邦司法部公布的视频显示,俄罗斯执法人员在嫌疑人汽车附近将其拘留,并在一个车库内对其进行讯问,车库内存放着据称与此次行动有关的电脑硬件。
目前尚不清楚俄罗斯当局是否与西方执法部门协调了此次逮捕行动。在莫斯科于2022年入侵乌克兰后,欧洲刑警组织暂停了与俄罗斯的合作。
LeakBase网络犯罪论坛已运行4年 LeakBase于2021年上线(但直到2023年3月才火起来),是一个基于订阅的网络犯罪数据库交易平台,已成为网络犯罪生态系统中的关键枢纽,专门交易泄露的数据库和包含被信息窃取恶意软件窃取的凭证的“窃取日志”。该论坛以英语公开运营,集市场和讨论功能于一体,允许网络犯罪分子买卖和交换包含被盗凭证、个人信息和其他敏感记录的数据库的权限,一些会员甚至花费数百美元购买了该平台的高级访问权限。
该论坛上发布的许多数据都是通过非法入侵政府系统和美国公司获得的。据欧洲刑警组织称,该论坛的一项内部规则禁止出售或发布与俄罗斯有关的数据。
LeakBase于本月初被查封 3月初,美国联邦调查局查封了网络犯罪论坛LeakBase,此次行动是“泄密行动”(Operation Leak)的一部分,这是一项由欧洲刑警组织协调的国际行动,来自14个国家的执法机构参与其中,全球执法机构开展了协同行动,包括逮捕、搜查住所。据美国当局称,联邦调查局与欧洲合作伙伴合作,在十几个国家对45名嫌疑人实施了100多项执法行动。
此次行动查封了该论坛使用的多个域名,并关闭了位于荷兰和马来西亚等国的托管基础设施。作为打击行动的一部分,当局将该网站的域名重定向到由美国联邦调查局控制的服务器。
欧洲刑警组织通过绘制论坛基础设施图、分析用户活动、跨国关联嫌疑人、受害者和证据,为此次行动提供了支持。位于海牙的欧洲刑警组织总部专家审查了缴获的数据,并生成了调查线索。此次行动在联合网络犯罪行动工作组的框架下进行,同时,联合指挥所负责协调全球行动期间的实时情报共享。
当局查获了LeakBase数据库,使得调查人员得以揭露多名自以为匿名的用户的真实身份。警方还通过犯罪分子常用的网络渠道联系了嫌疑人,明确警告他们网络匿名是有限的。调查人员仍在追踪数字证据,以识别其他犯罪分子。此次行动也凸显了数据泄露事件中被盗数据经常出现在网络犯罪论坛上,并助长诈骗、身份盗窃、账户盗用和网络钓鱼等犯罪活动,从而强调了强密码和多因素身份验证的重要性。
LeakBase管理员被俄罗斯警方锁定 威胁情报研究人员表示,一个使用Chucky、beakdaz、Chuckies和Sqlrip等网络化名的威胁行为者是LeakBase网站背后的管理员。在论坛被关闭后发布的报告中,KELA和TriTrace Investigations将Chucky与一名来自塔甘罗格的33岁男子联系起来。颇具讽刺意味的是,这位“世界最大规模之一”的泄露数据论坛管理员,似乎完全没有考虑过自身的匿名性。
研究人员表示,为了推广这个新论坛,其创建者Chucky亲手发布了已在其他网站上公开的泄露数据。其目的是推广该论坛,并将其打造成黑客的交易平台。自LeakBase成立以来,该论坛共发布了超过1.6万个数据库。
在LeakBase网站被国际执法行动查封几天后,LeakBase恢复了上线,域名为“leakbase[.]bz”,并由DDoS-Guard提供DDoS防护。而DDoS-Guard是一家俄罗斯的防弹(高防护)主机服务提供商,俄罗斯警方可以很容易通过DDoS-Guard或者其他支付方式锁定其管理员。
现在,访问LeakBase网站的用户会看到这样一条消息:“在俄罗斯内务部特别技术事件局的一次特别行动中,LeakBase 论坛已被永久关闭。在计算机信息领域从事非法活动,以及侵犯个人和公民的宪法权利和自由,均将根据俄罗斯法律承担刑事责任。”
情报人员的分析 情报研究人员表示,俄罗斯黑客的首要规则是:“别在俄罗斯境内搞事”。也就是说,别从俄罗斯人那里偷钱——这样俄罗斯联邦安全局(FSB)就不会找你麻烦。LeakBase也不例外。该论坛禁止出售与俄罗斯相关的数据库。
LeakBase的管理员兼创始人使用“Chucky”这个昵称——以此致敬同名恐怖电影系列中那只杀人玩偶。他从未隐瞒自己的国籍:在自己的论坛上,Chucky一直公开使用俄语交流。在LeakBase的联系方式栏中,Chucky留下了他的Telegram账号——@chuckybhf。该账号注册于来自塔甘罗格的33岁阿列克谢·库丘莫夫名下。
阿列克谢·库丘莫夫在网络上留下了大量的数字足迹,其中几乎每一条记录都指向他与Chucky的关联。例如,他的主要邮箱是[email protected]——也就是说,该邮箱既包含他的“黑客”化名,又注册在苹果公司名下。此前,阿列克谢·库丘莫夫曾使用[email protected]这一邮箱。在暗网网站 Doxbin 的用户信息泄露中,该邮箱与用户Beakdaz相关联。这是Chucky的旧昵称,十多年前他正是以此开启了暗网生涯。
库丘莫夫曾多次使用与这些昵称关联的邮箱购买SIM卡、支付主机费用,以及在其他需要提供护照信息的情况下。讽刺的是,Chucky从事泄露数据库的交易——他比任何人都更清楚,在俄罗斯数据泄露是家常便饭。
几年前,库丘莫夫在VK主页的“灵感”一栏中写下了“Darknet”。而通过其“黑客”账号@chuckybhf,库丘莫夫会阅读Telegram频道“塔甘罗格突发事件”的评论。此外,库丘莫夫还利用LeakBase上公开的Skype账号,通过该网站使用俄罗斯Plati卡购买电子游戏。
西方分析师的结论间接证实了阿列克谢·库丘莫夫就是Chucky。他们虽未透露Chucky的真实姓名,但指出了他与昵称Beakdaz的关联,以及可能位于塔甘罗格的所在地。
根据泄露信息显示,库丘莫夫从未出过国。如果他继续保持这种状态,那么这位前LeakBase管理员极有可能不会被捕。