由pompompurin創(chuàng)建的“經(jīng)典”BreachForums(以下簡稱BF)��,這個(gè)曾經(jīng)在暗網(wǎng)中統(tǒng)治的惡夢��,在短暫的生涯中——2022年即達(dá)到了巔峰�,甚至超越了前任霸主RaidForums。在暗網(wǎng)世界的活躍度和訪問量上����,BF穩(wěn)坐榜首,其影響力深遠(yuǎn)而廣泛�,貫穿所有層級:普通網(wǎng)民、企業(yè)�����、政府�,甚至軍事。然而��,2023年3月15日�,這個(gè)惡性循環(huán)的怪獸由于其所有者Pompompurin被FBI逮捕,而宣告結(jié)束——但�����,誰知這只是暫時(shí)的�����。
BF�����,這是一個(gè)集匯無數(shù)底線的地方,充斥著數(shù)據(jù)竊取���、信息交易和惡意軟件的傳播���。這個(gè)論壇充分利用了暗網(wǎng)的匿名特性,成為一股巨大的負(fù)面力量�,不斷給全球網(wǎng)絡(luò)空間造成深重傷害。
政府機(jī)關(guān)因此受到威脅��,經(jīng)常發(fā)現(xiàn)敏感信息被非法獲取并在此論壇上出售�����。企業(yè)受損更甚����,商業(yè)機(jī)密泄露�����,造成的損失幾乎無法估計(jì)�����。特別是那些擁有大量用戶數(shù)據(jù)的企業(yè),他們經(jīng)常發(fā)現(xiàn)自己的客戶信息在BF上公開或被交易����。無論是社交、電子商務(wù)還是金融服務(wù)�����,無一幸免��。此外��,普通網(wǎng)絡(luò)用戶也成為攻擊的目標(biāo)——個(gè)人密碼���、健康信息���、信用卡詳情,這些私人數(shù)據(jù)在BF上面市�,帶來了巨大的陰影和恐懼。
這個(gè)論壇的存在���,其實(shí)不僅僅是刺激了犯罪行為��,還使全球網(wǎng)絡(luò)變得緊張和不確定��,威脅著數(shù)字時(shí)代的信任體系���。
本期報(bào)告將針對“經(jīng)典”BF進(jìn)行分析(特別說明�����,由Baphomet重啟的新BF�����,將在未來做分析)��,嘗試尋找出某些規(guī)律和結(jié)論�����。
BF截止被FBI取締�����,共發(fā)布近5萬條情報(bào)和近百萬篇論壇貼,注冊用戶量超過25萬人����。
論壇內(nèi)容主要分為:常規(guī)���、泄露、市場三大部分����。其中“常規(guī)”分論壇中包含:公告、介紹���、世界新聞����、動(dòng)漫�、禮品、音樂等正常內(nèi)容;“泄露”分論壇主要包含:游戲泄露���、數(shù)據(jù)庫泄露����、日志泄露等內(nèi)容;“市場”分論壇主要包含:一般市場���、驗(yàn)證的市場����、泄露市場、客戶市場�����、主機(jī)/VPS��、VPN/代理等內(nèi)容����。“泄露”和“市場”是整個(gè)論壇的主要內(nèi)容����。如下示例:
其核心成員和活躍用戶均于2022年3-5月注冊,平均發(fā)布情報(bào)數(shù)量在數(shù)十至數(shù)百份不等���,如下圖所示:
論壇創(chuàng)建者(Owner)ID為:pompompurin���,我們可以看到,其于2022年3月4日開放并注冊了BF����,并于2023年3月15日被FBI逮捕;管理員(Admin)ID為:Baphomet�����,在BF被取締后不到3個(gè)月,由臭名昭著的黑客組織ShinyHunters進(jìn)行扶持或合作����,重啟了新BF項(xiàng)目。
BF在一年時(shí)間中成為暗網(wǎng)中最活躍的網(wǎng)站�����,并非偶然�,它除了匯聚大量的黑客和活躍的市場買家以外,還得益于管理者進(jìn)行了大量和專業(yè)的情報(bào)整理和發(fā)布�,如下圖所示:
由BF作為認(rèn)證官方,在數(shù)萬份情報(bào)(包含往年泄露數(shù)據(jù))中��,整理出842份精選情報(bào)�����,并將其免費(fèi)發(fā)布����,共涉及全球約140億條泄露數(shù)據(jù)����。不得不感慨其敬業(yè)度與專業(yè)能力����。
據(jù)零零信安0.zone平臺捕獲的BF情報(bào)進(jìn)行分析,其中內(nèi)容包含數(shù)據(jù)泄露��、黑客服務(wù)���、工具買賣�、攻擊情報(bào)�、政治時(shí)局和數(shù)據(jù)買賣等。
0.zone共解析出21247份數(shù)據(jù)泄露情報(bào)���,估算總泄露數(shù)據(jù)量高達(dá)200-500TB以上�����,其中包括各類政府文件�、企業(yè)機(jī)密����、工商信息�����、公民隱私����、金融日志����、賬號密碼等數(shù)據(jù)����。
以下為“經(jīng)典”BF被取締前����,最后一份被捕獲的數(shù)據(jù)泄露售賣情報(bào):
所有數(shù)據(jù)泄露事件,約有30%左右無法判定其歸屬地�,其大部分為賬號密碼等個(gè)人隱私數(shù)據(jù)、混合數(shù)據(jù)���、無法確定歸屬國的網(wǎng)站泄露數(shù)據(jù)(例如色情�、博彩網(wǎng)站),以及波及多地區(qū)(或全球)數(shù)據(jù)�。
在可判定歸屬國的數(shù)據(jù)泄露事件中,全球共有超過100個(gè)國家遭受波及��,受到影響最大的國家依次為:美國����、俄羅斯、中國����、印尼、印度����、白俄羅斯、法國����、巴西、英國���、德國���、土耳其��、新西蘭、澳大利亞��、意大利��、墨西哥��、日本、烏克蘭���、西班牙����、加拿大、馬來西亞�����、伊拉克����、波蘭��、泰國���、阿根廷、以色列等����。
TOP10排名和占比如下圖所示:
共有超過400名黑客泄露和販賣過我國數(shù)據(jù),其中依據(jù)本報(bào)告評價(jià)�����,按照對我國影響程度排名TOP10的主要人員或組織包括:
FBI積極偵破和取締BF�����,一方面是因其對全球網(wǎng)絡(luò)信任的破壞�����,另一方面也源于其對美國政府��、企業(yè)、公民等各方面的數(shù)據(jù)泄露��。其中包括:聯(lián)邦政府、紐約政府���、美國航空航天局����、美國衛(wèi)生與公眾服務(wù)部�����、美國國會數(shù)據(jù)等:
BF對于各個(gè)國家的危害遠(yuǎn)不止于此�,他們宣稱出售北約數(shù)據(jù),他們宣稱2022年為東南亞政府“開源”年����,等等不一枚舉����。
值得注意的是,在“經(jīng)典”BF被取締后不久���,新BF已經(jīng)重啟��,并在短短一個(gè)多月時(shí)間內(nèi)已重新匯聚了上萬名用戶���,數(shù)千條情報(bào)以及數(shù)萬篇論壇貼。全球充滿惡意的人并沒有減少�,隨著我國數(shù)字化轉(zhuǎn)型的深入,數(shù)據(jù)安全工作與網(wǎng)絡(luò)對抗任重而道遠(yuǎn)�����。
預(yù)告:Part 4 商業(yè)黑客組織�,“流星街”的原住民們,敬請期待���。(零零信安 王宇)
關(guān)鍵詞:
