В этой серии OSINT-расследований я хотел бы пригласить вас в путешествие по русскоязычной киберпреступной экосистеме. В следующей первой главе мы начнем с исследования истоков этой экосистемы и анализа русскоязычных форумов по киберпреступности (RLCF), выяснив, как они появились, развивались и в каком нынешнем состоянии они находятся.
В мы оценим, насколько RLCF труднодоступны для постороннего, и поймем, как их администраторы монетизируют их. Как мы увидим, самые успешные форумы способны приносить сотни тысяч долларов каждый год.
В мы выявим наиболее известные RLCF и попытаемся понять их ключевую роль в более широкой экосистеме киберпреступников, а также изучить их взаимодействие с сообществами Telegram.
Наконец, в главе IV мы углубимся в геополитические влияния, формирующие эти сообщества. Здесь мы проанализируем, как недавние глобальные события и политическая динамика повлияли на русскоязычные форумы киберпреступников, предоставив всестороннее понимание их текущего состояния и потенциального будущего.
Если вы хотите ознакомиться со списком 94 изученных RLCF, вы можете найти его .
Выводы из первой главы:
Наша история о киберпреступности в русскоязычной части мира начинается в 1983 году в СССР. В этом году звание первого известного хакера и киберпреступника Советского Союза было присвоено Мурату Утрембаеву, молодому работнику автомобильного гиганта АвтоВАЗ . Этот советский гражданин был талантливым этническим казахом скромного происхождения, которому удалось изучить математику в Москве, в престижном Московском государственном университете. К несчастью для него, вместо обещанной блестящей научной карьеры г-н Утрембаев был вынужден советской системой студенческого передела работать второразрядным сотрудником технической поддержки на АвтоВАЗе в городе Тольятти на Волге.
Рисунок 1. Слева: вычислительный центр Волжского автомобильного завода в Тольятти, Советский Союз.
Справа: предположительно Мурат Утрембаев. Источник: архив АвтоВАЗа.
Г-н Утрембаев считал свою ситуацию особенно несправедливой, поскольку, в отличие от своих более богатых и имеющих хорошие связи московских коллег, он не смог получить взятку на желаемую работу. Вместо этого он обнаружил, что выполняет задачи, для которых у него была сверхквалификация. Несмотря на усердную работу и поиск признания, он был разочарован, когда почетный диплом, обещанный его начальством, так и не материализовался. Разочарованный тем, что он считал вопиющим пренебрежением к его усилиям, г-н Утрембаев решил принять ответные меры, атаковав заводскую компьютерную систему, которая контролировала всю линию сборки автомобилей.
Свою месть молодой человек осуществил, вручив дискету со специально запрограммированным «обновлением» программного обеспечения управления сборочной линией завода. Эта кибердиверсия фактически остановила производство автомобилей на три дня, что привело к значительным финансовым потерям АвтоВАЗа, измеряемым миллионами рублей. Другим программистам фабрики потребовались значительные усилия и время, чтобы выявить и исправить проблему, вызванную вмешательством г-на Утрембаева.
Из-за вины и давления со стороны правоохранителей и руководства завода г-н Утрембаев решил заявить о себе и был приговорен лишь к частичному возмещению причиненного ущерба и условному заключению по статье «За хулиганство». Как ни странно, этот взлом также помог директорам АвтоВАЗа раскрыть другие вредоносные действия, которые осуществляли заводские программисты. Некоторые из них создавали, а затем решали задачи, которые вводили в код для получения выплаты бонусов.
Рисунок 2. Программное обеспечение подачи деталей и узлов на главный конвейер ВАЗ должно было работать без перебоев. Источник: архив АвтоВАЗа.
Интересно, что исход этой истории выявляет несколько важных моментов, которые читателям важно принять во внимание. Эти положения действительно дают намек на предпосылки, которые позволили экосистеме русского языка возникнуть и развиваться.
Во-первых, полезно подчеркнуть неготовность советской правовой системы к борьбе с киберпреступностью — проблемой, которая характерна не только для СССР и его государств-преемников. Этот феномен отражает более широкую истину: во всех обществах и сферах человеческой деятельности правовые рамки имеют тенденцию быть скорее реактивными, чем проактивными. Законодателям постоянно приходится обновлять правила в ответ на возникающие тенденции и неправильное использование новых технологий. Недавние примеры этого включают появление криптовалют, отказ от социальных сетей и последние разработки в области генеративного искусственного интеллекта.
Более того, дело г-на Утрембаева подчеркивает лингвистические, политические и этнические особенности, характерные для бывшего Советского Союза: говорящий по-русски не обязательно является русским. Действительно, русский язык широко распространен в бывших советских республиках из-за политики русификации, проводившейся Российской империей, а затем и советским руководством. Это может показаться совершенно очевидным, но путаница между разговорным языком, политической идентичностью, гражданством и этнической принадлежностью настолько широко распространена, когда СМИ говорят о «русских хакерах», что я счел полезным подчеркнуть этот момент. В заключение, единственное, что можно сделать из использования русского языка субъектом угрозы, — это то, что он, вероятно, но не обязательно, из бывшего Советского Союза. Распад СССР спровоцировал массовый исход русскоязычных в такие страны, как Израиль или США, что несколько усложняет выявление русскоязычных киберпреступников. Арест в США Руслана Астамирова, гражданина России из Чечни, в июне 2023 года за участие в развертывании программы-вымогателя LockBit стал свежим примером одних из самых запутанных дел с участием русскоязычных киберпреступников. .
Наконец, мотивы киберпреступлений могут быть разнообразными: от акта мести, как это было в случае с г-ном Утрембаевым, до получения прибыли, как это произошло с некоторыми программистами АвтоВАЗа, которые взломали собственную компанию, чтобы получить бонусы за решение проблем, которые они создали. Отсутствие профессиональных и хорошо оплачиваемых возможностей также было предпосылкой, которая побудила г-на Утрембаева действовать таким образом. Распад СССР поставил значительное количество технически квалифицированных людей в сложные экономические и личные ситуации, которые иногда их развращали.
Таблица 1. Источник: RadioFreeEurope – данные получены в период с 2001 по 2017 год. К. Коэльо. Этнолог, сообщают СМИ .
Распад СССР в декабре 1991 года способствовал глубокой экономической и социально-политической реконфигурации в бывших советских сателлитах и особенно в 15 молодых республиках. Для граждан этих государств 90-е годы характеризовались высоким уровнем бедности, безработицы, коррупции, лазеек в законодательстве, но также свободой и, для меньшинства, ранее невиданными возможностями обогащения . Технологические инновации, такие как быстрое распространение Интернета, позволили, например, развить онлайн-банкинг и новые способы социального взаимодействия, такие как онлайн-форумы. Хакерство в бывшем Советском Союзе стало популярной темой среди технически образованного населения и детей, стремящихся учиться, читая один из самых известных российских хакерских журналов под названием «Хакер» (см. ). Этими новыми возможностями быстро воспользовались аморальные, но технически грамотные люди, такие как Владимир Левин, микробиолог из Санкт-Петербурга, который смог украсть 10 миллионов долларов у американского Ситибанка в 1994 году. . Хотя г-н Левин был арестован и заключен в тюрьму на три года, 400 000 долларов так и не были найдены.
Рисунок 3. Фотографии Владимира Левина, микробиолога из Санкт-Петербурга, Россия.
Отсутствие сдерживающих юридических санкций усилило ощущение безнаказанности и всемогущества русскоязычных киберпреступников , поскольку они могли нанести удар в любой точке мира, где компьютерная система была подключена к Интернету. Хочу отметить, что специфика жизни в Советском Союзе, а затем и в новых республиках в сложные 90-е годы породила субкультуру постоянного выживания для части населения, часто сталкивавшейся с карточной карточкой и нищетой. Это побудило меньшинство этих людей не доверять всему, что связано с администрацией, и игнорировать законы. В сочетании с остатками марксистской идеологии и извращенным патриотизмом для некоторых стало приемлемым воровать у «богатых» или у «буржуазов» (так называют жителей Запада). Главным правилом наиболее способных русскоязычных киберпреступников было и остается избегать атак на страны, входящие в Сообщество Независимых Государств (СНГ). Этот кодекс поведения иногда мотивирован «патриотическими» концепциями, но также и рациональным расчетом: избегать привлечения внимания местных правоохранительных органов.
Последующая ситуация с низким риском и высоким вознаграждением привела к появлению первых русскоязычных организаций по борьбе с киберпреступностью и форумов, специализирующихся на кардинге. Этот вредоносный трюк представляет собой форму мошенничества с кредитными картами, при которой украденная кредитная карта используется для списания средств с предоплаченных карт или покупки товаров. Такие веб-сайты, как «Фабрика Боа» или форум «CarderPlanet», созданные, среди прочего, украинскими хакерами Романом Вегой и Дмитрием Голубовым , вначале были популярными местами для покупки и продажи практически всех активов, произведенных финансово мотивированной преступной онлайн-деятельностью. 2000-х годов. Апофеоз безнаказанности, несомненно, был встречен, когда около 40 киберпреступников с форума «CarderPlanet» организовали в 2002 году первую конференцию «World Carders» в городе Одесса на Украине .
Рисунок 4. Скриншот форума CarderPlanet 2004 года.
В первые годы нового столетия русскоязычные киберпреступники начали собираться на различных форумах, таких как Antichat (2002 г.), DaMaGeLaB (2004 г.), WASM (2004 г.) или Arbitraj Foum (2004 г.). Эти платформы по сей день служат для хакеров центрами ведения бизнеса, набора новых участников, улучшения навыков и обучения, при этом позволяя своим участникам сохранять определенную степень анонимности. Последнее постепенно стало решающим аспектом деятельности RLCF, поскольку со временем риски киберпреступности возросли даже в постсоветских государствах. Чтобы повысить конфиденциальность, наиболее продвинутая группа RLCF начала создавать зеркала Onion, делая их доступными через сеть Tor, и заявила, что прекратила регистрацию IP-адресов участников.
С момента своего создания эта цифровая экосистема постоянно развивалась и адаптировалась к новым прибыльным видам деятельности, таким как кардинг, пробив , вредоносное ПО как услуга и торговля нелегальными продуктами, такими как наркотики. Русскоязычное сообщество киберпреступников стало пионером в области киберпреступности, и его адаптивность позволяет ему оставаться надежной экосистемой по сей день. Тем не менее развитие технологий и различные геополитические события существенно повлияли на эту экосистему, приведя к ее трансформации. Как и любая социальная группа, RLCF со временем претерпела изменения: некоторые форумы исчезли или потеряли популярность.
Рисунок 5. Скриншот Antichat 2002 года, одного из старейших RLCF, действующего до сих пор.
В последние годы русскоязычные и другие глобальные форумы по киберпреступности столкнулись с различными проблемами, влияющими на их рост. В период с 2018 по 2020 год серия подтвержденных и предполагаемых нарушений безопасности затронула несколько известных российских RLCF, включая «Эксплойт» и «BHF» . Эти инциденты негативно повлияли на доверие пользователей к безопасности и анонимности форумов. После этих событий упорно ходили слухи о возможном контроле крупного RLCF со стороны российских или украинских спецслужб. Эти спекуляции часто всплывают на поверхность, вызывая волнения среди участников таких форумов, как «XSS», «Exploit» и «RAMP».
Рисунок 6. Автоперевод с русского языка. Ar3s, предыдущий владелец XSS, обратился к нынешнему администратору форума, чтобы опровергнуть слухи о предполагаемых связях со Службой безопасности Украины (СБУ).
Источник: XSS .
В то же время расширение пользовательской базы Telegram, которая в 2023 году выросла до 700 миллионов активных пользователей в месяц , а также ее открытая система API и гибкость побудили многих киберпреступников использовать эту платформу обмена мгновенными сообщениями. Практически полная безнаказанность в среде Telegram сделала его привлекательной альтернативой или дополнительным инструментом к традиционным форумам для этих киберпреступников.
Параллельно глобальные геополитические сдвиги также оставили свой след на RLCF. Потепление в отношениях между Беларусью и Западом в 2015–2020 годах, например, проложило путь к сотрудничеству между белорусскими правоохранительными органами и Федеральным бюро расследований США (ФБР). Такое сотрудничество принесло свои плоды, о чем свидетельствует арест «Ar3s», ключевой фигуры в троянской группе Andromeda и администратора RLCF «XSS», ранее известного как «DaMaGeLaB» . Начало российско-украинского конфликта в феврале 2022 года породило новую геополитическую напряженность и уже оказало интригующее влияние на ситуацию в RLCF.
Учитывая начало этого исследования всего год назад, темпы и масштабы изменений в RLCF и их сообществах ошеломляют. Только за последний год 17 RLCF были закрыты или заброшены. По меньшей мере 15 из них были вынуждены переместить свои домены после конфискации их правоохранительными органами. Забавный пример — взлет и падение хактивистского форума «Инфинити», созданного лидерами пророссийской хактивистской группы Killnet. Жизненный цикл этого форума – запуск в конце 2022 года, закрытие весной 2023 года, повторное открытие в сентябре 2023 года, а затем снова закрытие – иллюстрирует изменчивость, которая присуща природе RLCF и символизирует киберпреступную экосистему в целом. .
В этой первой главе в основном будет говориться о RLCF и будет предпринята попытка представить исчерпывающий анализ текущей ситуации, тем не менее, форумы, на которых обсуждаются темы, связанные с продажей оружия и незаконным порнографическим контентом, не рассматриваются. Кроме того, частные внутренние чаты, такие как тот, что существовал в банде вымогателей Conti, или частные коммуникации TOX и Jabber, также выходят за рамки данного исследования. То же ограничение применимо и к русскоязычным торговым площадкам, поскольку на самом деле они не являются местом общения злоумышленников, а скорее приобретают различные товары или услуги.
Наше внимание к RLCF не означает, что русский является единственным языком, на котором говорят на этих форумах. В ходе расследования я считал, что форум можно назвать RLCF, если на нем основным языком общения является русский или если администраторы являются русскоязычными субъектами угроз. В настоящее время популярность русскоязычной киберпреступной экосистемы привлекает субъектов угроз со всего мира. Это реализуется либо путем создания специальных англоязычных разделов, либо путем повсеместной публикации сообщений на английском языке. Также наблюдались редкие случаи разрешения RLCF, а также других языков, таких как китайский.
В 2024 году русскоязычная киберпреступная экосистема состоит как минимум из 113 неактивных и 94 активных форумов разного уровня.
Таблица 2. Источник: Дневники киберпреступности – январь 2024 г.
Картирование этих RLCF подразумевает необходимость их правильной классификации для облегчения нашего анализа. Для выполнения этой задачи я установил шесть категорий, которые представляют собой основное направление форумов в экосистеме. Эти категории не идеальны и не предназначены для отражения всех действий, происходящих на каждом форуме; скорее, они дают общее представление об основной области специализации форума. Например, хотя во многих RLCF есть разделы, посвященные кардингу, это не обязательно означает, что их основная деятельность сосредоточена на краже и неправомерном использовании банковских реквизитов. Следовательно, эти категории следует рассматривать как архетипы, помогающие понять и оценить экосистему.
Таблица 3. Источник: Дневники киберпреступности – январь 2024 г.
Чтобы измерить уровень активности каждого форума, я в качестве ориентира оценил среднее количество сообщений, публикуемых в день. Форумы, на которых среднее количество сообщений в день составляет от 1 до 20, были отнесены к группе «Низкая» активность. Те, у кого среднее количество сообщений в день составляло от 20 до 100, считались обладателями «средней» активности. Наконец, форумы с ежедневным количеством сообщений, превышающим 100, были помечены как имеющие «высокую» активность.
Таблица 4. Методология: Низкая активность – 1–20 сообщений/день, Средняя – 20–100 сообщений/день, Высокая – более 100 сообщений/день. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 5. Источник: Дневники киберпреступности – январь 2024 г.
Даты открытия и показатели деятельности RLCF подчеркивают примечательные закономерности в сфере киберпреступности. Среди RLCF, которые все еще активны в настоящее время, только 20 были созданы в течение первых десяти лет века, что подчеркивает высокий уровень истощения среди RLCF, а также долговечность некоторых ключевых сообществ. Вторая группа действующих в настоящее время RLCF была создана в период с 2010 по 2020 год, при этом в период с 2014 по 2016 год наблюдался заметный всплеск новых форумов. На этот период приходится создание 54 RLCF, которые продолжают свою деятельность и сегодня.
Кардинг – как одно из старейших занятий киберпреступников – является хорошей иллюстрацией того, как развитие популярности и прибыльности конкретного ремесла киберпреступников может повлиять на всю экосистему в целом. Значительная часть, 15 из 20 RLCF, занимающихся кардингом, начала свою деятельность в период с 2010 по 2020 год, что отражает устойчивый интерес к этой незаконной деятельности. Тем не менее, распространение разделов по кардингу на форумах по киберпреступности, мошенничеству и даже наркотикам усилило конкуренцию за активную базу пользователей. В последнее время многочисленные RLCF, ориентированные на кардочесание, закрылись или вышли из употребления, причем 9 из них в настоящее время демонстрируют низкую активность. Постоянное присутствие карточных форумов, несмотря на миграцию их участников в Telegram, отчасти можно объяснить более низким барьером для входа в эту незаконную торговлю, которая не всегда требует сложных технических навыков.
Рост программ-вымогателей как доминирующей угрозы для предприятий, особенно после пандемии COVID, одновременно стал прибыльным предприятием для киберпреступников. RLCF, такие как «XSS» и «Exploit», считаются центрами для операторов программ-вымогателей и брокеров первоначального доступа. После кибератаки Colonial Pipeline в 2021 году руководство RLCF временно запретило обсуждения, связанные с программами-вымогателями, что является стратегическим обманом. Эта среда побудила пресловутого оператора программы-вымогателя Михаила Матвеева, известного как «вазавака», создать «РАМП» (Анонимный рынок вымогателей – не путать со знаменитым форумом по наркотикам под названием «Русский анонимный рынок», который был закрыт в 2017 году), форумом. занимается деятельностью, связанной с программами-вымогателями, и стремится облегчить ее. Несмотря на первоначальный успех, рост RAMP был затруднен из-за беспорядочного поведения ее основателя. Уровень его активности постепенно повышался с момента передачи права собственности злоумышленнику Столлману в 2022 году, но он все еще отстает от таких форумов, как «XSS» или «Exploit». Это говорит о том, что программы-вымогатели, хотя и являются одной из крупнейших угроз кибербезопасности, не могут собрать огромное сообщество сами по себе и остаются специализированным подмножеством в более широкой киберпреступной среде.
Несмотря на то, что Drugs RLCF, очевидно, не имеет прямого отношения к хакерству, они представляют собой гигантские машины по генерированию денег, имеющие собственную систему отмывания денег, которую используют другие киберпреступники, включая бизнес, занимающийся программами-вымогателями. Одной из таких площадок стала русскоязычная торговая площадка «Гидра», закрытая властями Германии в апреле 2022 года . С тех пор было запущено 8 новых препаратов RLCF, что иллюстрирует динамизм продолжающейся конкуренции между наркоторговцами, нацеленными на рынок СНГ. После закрытия торговой площадки «Гидра» в RLCF, таких как RuTor, Legalizer и WayAway, наблюдался всплеск регистраций: от 160 000 до 300 000 новых аккаунтов каждая . С другой стороны, российское вторжение в Украину оказало негативное влияние на деятельность RLCF по наркотикам, нацеленную на украинский рынок. Наркологический форум Legalizer, специализирующийся на украинском рынке, отметил снижение числа потребителей в 2023 году.
Большинство малоактивных RLCF — это довольно старые сообщества по киберпреступности, наркотикам и кардингу. Форумы широкого профиля, такие как «Prologic» или «Xaker», запущенные соответственно в 2006 и 2007 годах, практически заброшены. Подобную судьбу относительного упадка можно наблюдать на нескольких старых кардинг-форумах. РЛКФ из этой категории, как и форумы «Кардинг-форум» или «Монца», созданные в 2009 и 2012 годах, в 2023 году отключились.
В категории «Лекарственные средства» 10 RLCF слабоактивны. Это объясняется либо тем, что они появились недавно, как например форум Солярис, который связан с одноимённым наркомаркетплейсом, либо тем, что это старые, но умирающие проекты типа РЛФФ «СКП», тем самым их будущее трудно предсказать. Например, препарат RLCF «DeepRC» был запущен в 2022 году, но не выжил. Для оценки жизнеспособности этих форумов необходимы дальнейшие наблюдения.
В случае с Programming RLCF оценку сделать проще, поскольку все 7 форумов, посвященных разработке вредоносных программ, сейчас практически неактивны. Их сообщества были поглощены универсальными форумами по киберпреступности, где темы, связанные с разработкой и программированием вредоносных программ, являются обычным явлением. За такими форумами, как «WASM», было особенно интересно следить в период высокой активности, поскольку несколько модераторов «XSS» и «Exploit» начали там свою киберпреступную деятельность. Интересно, что форум «Р0» перекочевал на собственный Telegram-канал, но последний в последнее время тоже не очень активен. Тем не менее создание форума RootZone является интересным событием, которое можно рассматривать как рискованную инвестицию, учитывая судьбу других сообществ этой категории.
Таблица 6. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 7. Источник: Дневники киберпреступности – январь 2024 г.
Группа RLCF с ежедневным количеством сообщений в среднем от 20 до 100 сообщений в основном состоит из сообществ киберпреступности и кардинга. Тем не менее, умеренно активные RLCF гораздо более важны для киберпреступной экосистемы, чем приходящие в упадок или новые форумы. В эту группу входят форумы, которые часто находятся на перепутье, как и в прошлом: либо популярные форумы, либо новые форумы, которые находятся на подъеме.
Знаменитый универсальный форум «Античат», запущенный в 2002 году, и кардинг-форум «Верифицированный», созданный в 2005 году, в какой-то момент были очень модными и привлекали обширное киберпреступное сообщество, но в последнее время их популярность снижается. Трудно оценить, вырастут ли они вновь или отойдут на второй план. Между тем, новые сообщества, такие как «Антимигалки», «DeepWeb» или «Lozerix», сумели привлечь несколько тысяч пользователей и могут стать важными местами сбора в будущем, если сохранят нынешнюю тенденцию роста.
Таблица 8. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 9. Источник: Дневники киберпреступности – январь 2024 г.
Наконец, давайте взглянем на очень активные RLCF. Судя по всему, они в основном состоят из сообществ, занимающихся мошенничеством, продажей наркотиков и игровыми форумами, допускающими киберпреступную деятельность. В состав этих групп входят специализированные форумы, предлагающие незаконные финансовые услуги, услуги поиска, создание поддельных документов и, конечно же, различные наркотики. Успешные форумы обеих категорий были созданы в основном в последние десять лет.
Напротив, наиболее известные форумы категории «Киберпреступность» старые. «XSS» (первоначально называвшийся DaMaGeLaB) и «Exploit» были созданы соответственно в 2004 и 2005 годах, а менее известный, но все же популярный RLCF «BHF» был создан в 2012 году. Таким образом, высокоуровневое русскоязычное хакерское сообщество, занимающееся программами-вымогателями, атаки, передовая разработка вредоносного ПО и выявление уязвимостей в определенной степени сосредоточены вокруг небольшого количества авторитетных форумов.
Тем не менее, как мы увидим в главе III, RLCF с менее развитыми сообществами, такими как «LolzTeam» из категории «Другое/Киберпреступность», играют решающую роль в русскоязычной киберпреступной экосистеме, собирая огромные сообщества молодых людей, которые познакомьтесь с хакерской и незаконной деятельностью, например, присоединившись к командам трейдеров .
Таблица 10. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 11. Источник: Дневники киберпреступности – январь 2024 г.
В мы оценим, насколько RLCF труднодоступны для постороннего, и поймем, как их администраторы монетизируют их. Как мы увидим, самые успешные форумы способны приносить сотни тысяч долларов каждый год.
В мы выявим наиболее известные RLCF и попытаемся понять их ключевую роль в более широкой экосистеме киберпреступников, а также изучить их взаимодействие с сообществами Telegram.
Наконец, в главе IV мы углубимся в геополитические влияния, формирующие эти сообщества. Здесь мы проанализируем, как недавние глобальные события и политическая динамика повлияли на русскоязычные форумы киберпреступников, предоставив всестороннее понимание их текущего состояния и потенциального будущего.
Если вы хотите ознакомиться со списком 94 изученных RLCF, вы можете найти его .
Выводы из первой главы:
- RLCF можно разделить на 6 категорий, включающих как общие форумы, где можно найти большое разнообразие различной незаконной деятельности, так и сообщества, специализирующиеся на определенном сегменте киберпреступности.
- Из 207 выявленных RLCF только 94 активны на разных уровнях. Как и 10 лет назад , численность высокоактивных РЛФФ стабильна и составляет около 22 форумов, хотя характер и виды противоправной деятельности несколько изменились.
- Русскоязычная киберпреступная экосистема довольно хорошо структурирована и стабильна: некоторые старые известные форумы занимают ключевое место в своей категории. В целом технически продвинутые форумы представляют собой меньшинство и объединяют небольшие, но активные сообщества.
- Исключением является киберпреступная экосистема наркоторговцев, которая до сих пор не стабилизировалась после закрытия маркетплейса «Гидра». Среди RLCF, специализирующихся на торговле наркотиками, преобладают соперничество и конкуренция. В настоящее время это самая нестабильная категория, поскольку часто появляются новые форумы, грозящие свергнуть нынешних лидеров.
I) Истоки русскоязычной киберкриминальной экосистемы и форумов.
Наша история о киберпреступности в русскоязычной части мира начинается в 1983 году в СССР. В этом году звание первого известного хакера и киберпреступника Советского Союза было присвоено Мурату Утрембаеву, молодому работнику автомобильного гиганта АвтоВАЗ . Этот советский гражданин был талантливым этническим казахом скромного происхождения, которому удалось изучить математику в Москве, в престижном Московском государственном университете. К несчастью для него, вместо обещанной блестящей научной карьеры г-н Утрембаев был вынужден советской системой студенческого передела работать второразрядным сотрудником технической поддержки на АвтоВАЗе в городе Тольятти на Волге.
Рисунок 1. Слева: вычислительный центр Волжского автомобильного завода в Тольятти, Советский Союз.
Справа: предположительно Мурат Утрембаев. Источник: архив АвтоВАЗа.
Г-н Утрембаев считал свою ситуацию особенно несправедливой, поскольку, в отличие от своих более богатых и имеющих хорошие связи московских коллег, он не смог получить взятку на желаемую работу. Вместо этого он обнаружил, что выполняет задачи, для которых у него была сверхквалификация. Несмотря на усердную работу и поиск признания, он был разочарован, когда почетный диплом, обещанный его начальством, так и не материализовался. Разочарованный тем, что он считал вопиющим пренебрежением к его усилиям, г-н Утрембаев решил принять ответные меры, атаковав заводскую компьютерную систему, которая контролировала всю линию сборки автомобилей.
Свою месть молодой человек осуществил, вручив дискету со специально запрограммированным «обновлением» программного обеспечения управления сборочной линией завода. Эта кибердиверсия фактически остановила производство автомобилей на три дня, что привело к значительным финансовым потерям АвтоВАЗа, измеряемым миллионами рублей. Другим программистам фабрики потребовались значительные усилия и время, чтобы выявить и исправить проблему, вызванную вмешательством г-на Утрембаева.
Из-за вины и давления со стороны правоохранителей и руководства завода г-н Утрембаев решил заявить о себе и был приговорен лишь к частичному возмещению причиненного ущерба и условному заключению по статье «За хулиганство». Как ни странно, этот взлом также помог директорам АвтоВАЗа раскрыть другие вредоносные действия, которые осуществляли заводские программисты. Некоторые из них создавали, а затем решали задачи, которые вводили в код для получения выплаты бонусов.
Рисунок 2. Программное обеспечение подачи деталей и узлов на главный конвейер ВАЗ должно было работать без перебоев. Источник: архив АвтоВАЗа.
Интересно, что исход этой истории выявляет несколько важных моментов, которые читателям важно принять во внимание. Эти положения действительно дают намек на предпосылки, которые позволили экосистеме русского языка возникнуть и развиваться.
Во-первых, полезно подчеркнуть неготовность советской правовой системы к борьбе с киберпреступностью — проблемой, которая характерна не только для СССР и его государств-преемников. Этот феномен отражает более широкую истину: во всех обществах и сферах человеческой деятельности правовые рамки имеют тенденцию быть скорее реактивными, чем проактивными. Законодателям постоянно приходится обновлять правила в ответ на возникающие тенденции и неправильное использование новых технологий. Недавние примеры этого включают появление криптовалют, отказ от социальных сетей и последние разработки в области генеративного искусственного интеллекта.
Более того, дело г-на Утрембаева подчеркивает лингвистические, политические и этнические особенности, характерные для бывшего Советского Союза: говорящий по-русски не обязательно является русским. Действительно, русский язык широко распространен в бывших советских республиках из-за политики русификации, проводившейся Российской империей, а затем и советским руководством. Это может показаться совершенно очевидным, но путаница между разговорным языком, политической идентичностью, гражданством и этнической принадлежностью настолько широко распространена, когда СМИ говорят о «русских хакерах», что я счел полезным подчеркнуть этот момент. В заключение, единственное, что можно сделать из использования русского языка субъектом угрозы, — это то, что он, вероятно, но не обязательно, из бывшего Советского Союза. Распад СССР спровоцировал массовый исход русскоязычных в такие страны, как Израиль или США, что несколько усложняет выявление русскоязычных киберпреступников. Арест в США Руслана Астамирова, гражданина России из Чечни, в июне 2023 года за участие в развертывании программы-вымогателя LockBit стал свежим примером одних из самых запутанных дел с участием русскоязычных киберпреступников. .
Наконец, мотивы киберпреступлений могут быть разнообразными: от акта мести, как это было в случае с г-ном Утрембаевым, до получения прибыли, как это произошло с некоторыми программистами АвтоВАЗа, которые взломали собственную компанию, чтобы получить бонусы за решение проблем, которые они создали. Отсутствие профессиональных и хорошо оплачиваемых возможностей также было предпосылкой, которая побудила г-на Утрембаева действовать таким образом. Распад СССР поставил значительное количество технически квалифицированных людей в сложные экономические и личные ситуации, которые иногда их развращали.
Таблица 1. Русский язык в мире.
Таблица 1. Источник: RadioFreeEurope – данные получены в период с 2001 по 2017 год. К. Коэльо. Этнолог, сообщают СМИ .
Распад СССР в декабре 1991 года способствовал глубокой экономической и социально-политической реконфигурации в бывших советских сателлитах и особенно в 15 молодых республиках. Для граждан этих государств 90-е годы характеризовались высоким уровнем бедности, безработицы, коррупции, лазеек в законодательстве, но также свободой и, для меньшинства, ранее невиданными возможностями обогащения . Технологические инновации, такие как быстрое распространение Интернета, позволили, например, развить онлайн-банкинг и новые способы социального взаимодействия, такие как онлайн-форумы. Хакерство в бывшем Советском Союзе стало популярной темой среди технически образованного населения и детей, стремящихся учиться, читая один из самых известных российских хакерских журналов под названием «Хакер» (см. ). Этими новыми возможностями быстро воспользовались аморальные, но технически грамотные люди, такие как Владимир Левин, микробиолог из Санкт-Петербурга, который смог украсть 10 миллионов долларов у американского Ситибанка в 1994 году. . Хотя г-н Левин был арестован и заключен в тюрьму на три года, 400 000 долларов так и не были найдены.
Рисунок 3. Фотографии Владимира Левина, микробиолога из Санкт-Петербурга, Россия.
Отсутствие сдерживающих юридических санкций усилило ощущение безнаказанности и всемогущества русскоязычных киберпреступников , поскольку они могли нанести удар в любой точке мира, где компьютерная система была подключена к Интернету. Хочу отметить, что специфика жизни в Советском Союзе, а затем и в новых республиках в сложные 90-е годы породила субкультуру постоянного выживания для части населения, часто сталкивавшейся с карточной карточкой и нищетой. Это побудило меньшинство этих людей не доверять всему, что связано с администрацией, и игнорировать законы. В сочетании с остатками марксистской идеологии и извращенным патриотизмом для некоторых стало приемлемым воровать у «богатых» или у «буржуазов» (так называют жителей Запада). Главным правилом наиболее способных русскоязычных киберпреступников было и остается избегать атак на страны, входящие в Сообщество Независимых Государств (СНГ). Этот кодекс поведения иногда мотивирован «патриотическими» концепциями, но также и рациональным расчетом: избегать привлечения внимания местных правоохранительных органов.
II) Генезис первых русскоязычных форумов киберпреступников. Постоянно движущаяся и адаптирующаяся экосистема.
Последующая ситуация с низким риском и высоким вознаграждением привела к появлению первых русскоязычных организаций по борьбе с киберпреступностью и форумов, специализирующихся на кардинге. Этот вредоносный трюк представляет собой форму мошенничества с кредитными картами, при которой украденная кредитная карта используется для списания средств с предоплаченных карт или покупки товаров. Такие веб-сайты, как «Фабрика Боа» или форум «CarderPlanet», созданные, среди прочего, украинскими хакерами Романом Вегой и Дмитрием Голубовым , вначале были популярными местами для покупки и продажи практически всех активов, произведенных финансово мотивированной преступной онлайн-деятельностью. 2000-х годов. Апофеоз безнаказанности, несомненно, был встречен, когда около 40 киберпреступников с форума «CarderPlanet» организовали в 2002 году первую конференцию «World Carders» в городе Одесса на Украине .
Рисунок 4. Скриншот форума CarderPlanet 2004 года.
В первые годы нового столетия русскоязычные киберпреступники начали собираться на различных форумах, таких как Antichat (2002 г.), DaMaGeLaB (2004 г.), WASM (2004 г.) или Arbitraj Foum (2004 г.). Эти платформы по сей день служат для хакеров центрами ведения бизнеса, набора новых участников, улучшения навыков и обучения, при этом позволяя своим участникам сохранять определенную степень анонимности. Последнее постепенно стало решающим аспектом деятельности RLCF, поскольку со временем риски киберпреступности возросли даже в постсоветских государствах. Чтобы повысить конфиденциальность, наиболее продвинутая группа RLCF начала создавать зеркала Onion, делая их доступными через сеть Tor, и заявила, что прекратила регистрацию IP-адресов участников.
С момента своего создания эта цифровая экосистема постоянно развивалась и адаптировалась к новым прибыльным видам деятельности, таким как кардинг, пробив , вредоносное ПО как услуга и торговля нелегальными продуктами, такими как наркотики. Русскоязычное сообщество киберпреступников стало пионером в области киберпреступности, и его адаптивность позволяет ему оставаться надежной экосистемой по сей день. Тем не менее развитие технологий и различные геополитические события существенно повлияли на эту экосистему, приведя к ее трансформации. Как и любая социальная группа, RLCF со временем претерпела изменения: некоторые форумы исчезли или потеряли популярность.
Рисунок 5. Скриншот Antichat 2002 года, одного из старейших RLCF, действующего до сих пор.
В последние годы русскоязычные и другие глобальные форумы по киберпреступности столкнулись с различными проблемами, влияющими на их рост. В период с 2018 по 2020 год серия подтвержденных и предполагаемых нарушений безопасности затронула несколько известных российских RLCF, включая «Эксплойт» и «BHF» . Эти инциденты негативно повлияли на доверие пользователей к безопасности и анонимности форумов. После этих событий упорно ходили слухи о возможном контроле крупного RLCF со стороны российских или украинских спецслужб. Эти спекуляции часто всплывают на поверхность, вызывая волнения среди участников таких форумов, как «XSS», «Exploit» и «RAMP».
Рисунок 6. Автоперевод с русского языка. Ar3s, предыдущий владелец XSS, обратился к нынешнему администратору форума, чтобы опровергнуть слухи о предполагаемых связях со Службой безопасности Украины (СБУ).
Источник: XSS .
В то же время расширение пользовательской базы Telegram, которая в 2023 году выросла до 700 миллионов активных пользователей в месяц , а также ее открытая система API и гибкость побудили многих киберпреступников использовать эту платформу обмена мгновенными сообщениями. Практически полная безнаказанность в среде Telegram сделала его привлекательной альтернативой или дополнительным инструментом к традиционным форумам для этих киберпреступников.
Параллельно глобальные геополитические сдвиги также оставили свой след на RLCF. Потепление в отношениях между Беларусью и Западом в 2015–2020 годах, например, проложило путь к сотрудничеству между белорусскими правоохранительными органами и Федеральным бюро расследований США (ФБР). Такое сотрудничество принесло свои плоды, о чем свидетельствует арест «Ar3s», ключевой фигуры в троянской группе Andromeda и администратора RLCF «XSS», ранее известного как «DaMaGeLaB» . Начало российско-украинского конфликта в феврале 2022 года породило новую геополитическую напряженность и уже оказало интригующее влияние на ситуацию в RLCF.
Учитывая начало этого исследования всего год назад, темпы и масштабы изменений в RLCF и их сообществах ошеломляют. Только за последний год 17 RLCF были закрыты или заброшены. По меньшей мере 15 из них были вынуждены переместить свои домены после конфискации их правоохранительными органами. Забавный пример — взлет и падение хактивистского форума «Инфинити», созданного лидерами пророссийской хактивистской группы Killnet. Жизненный цикл этого форума – запуск в конце 2022 года, закрытие весной 2023 года, повторное открытие в сентябре 2023 года, а затем снова закрытие – иллюстрирует изменчивость, которая присуща природе RLCF и символизирует киберпреступную экосистему в целом. .
III) Методические замечания и предисловие.
В этой первой главе в основном будет говориться о RLCF и будет предпринята попытка представить исчерпывающий анализ текущей ситуации, тем не менее, форумы, на которых обсуждаются темы, связанные с продажей оружия и незаконным порнографическим контентом, не рассматриваются. Кроме того, частные внутренние чаты, такие как тот, что существовал в банде вымогателей Conti, или частные коммуникации TOX и Jabber, также выходят за рамки данного исследования. То же ограничение применимо и к русскоязычным торговым площадкам, поскольку на самом деле они не являются местом общения злоумышленников, а скорее приобретают различные товары или услуги.
Наше внимание к RLCF не означает, что русский является единственным языком, на котором говорят на этих форумах. В ходе расследования я считал, что форум можно назвать RLCF, если на нем основным языком общения является русский или если администраторы являются русскоязычными субъектами угроз. В настоящее время популярность русскоязычной киберпреступной экосистемы привлекает субъектов угроз со всего мира. Это реализуется либо путем создания специальных англоязычных разделов, либо путем повсеместной публикации сообщений на английском языке. Также наблюдались редкие случаи разрешения RLCF, а также других языков, таких как китайский.
IV) Ландшафт экосистемы RLCF в 2024 году.
В 2024 году русскоязычная киберпреступная экосистема состоит как минимум из 113 неактивных и 94 активных форумов разного уровня.
Таблица 2. Источник: Дневники киберпреступности – январь 2024 г.
V) Взгляд на текущую ситуацию: типология RLCF, дата создания и уровень активности.
Картирование этих RLCF подразумевает необходимость их правильной классификации для облегчения нашего анализа. Для выполнения этой задачи я установил шесть категорий, которые представляют собой основное направление форумов в экосистеме. Эти категории не идеальны и не предназначены для отражения всех действий, происходящих на каждом форуме; скорее, они дают общее представление об основной области специализации форума. Например, хотя во многих RLCF есть разделы, посвященные кардингу, это не обязательно означает, что их основная деятельность сосредоточена на краже и неправомерном использовании банковских реквизитов. Следовательно, эти категории следует рассматривать как архетипы, помогающие понять и оценить экосистему.
Таблица 3. Источник: Дневники киберпреступности – январь 2024 г.
А) Классификация выявленных RLCF.
- Киберпреступность: эта категория включает форумы широкого профиля, которые предоставляют широкий спектр услуг и знаний, связанных с кибербезопасностью и компьютерной грамотностью. Типичными форумами по киберпреступности являются, например, «Exploit» или «XSS». Злоумышленник может найти там, среди прочего, темы, касающиеся сетевой безопасности, вредоносного ПО и покупки доступа к корпоративным сетям. Эти сообщества избегают продажи любых запрещенных веществ, таких как наркотики или оружие.
- Можно создать несколько подкатегорий:
- Утечка данных: RLCF специализируются на продаже и распространении украденных данных, принадлежащих компаниям или частным лицам. «Nohide» — один из самых активных форумов этой группы.
- Программы-вымогатели: данная подкатегория основана только на одном форуме, но ее уникальность заслуживает внимания. RLCF «RAMP» был создан в 2021 году в тот момент, когда другие русскоязычные форумы киберпреступников решили запретить любые темы, связанные с программами-вымогателями, после атаки Colonial Pipeline . Хотя на RLCF де-факто снова терпимо относятся к бандам, занимающимся вымогательством, «RAMP» является местом сбора злоумышленников, вовлеченных в эту деятельность.
- Кардинг: как ясно следует из названия, эти форумы в основном специализируются на мошенничестве с кредитными картами, когда украденные кредитные карты и банковские данные используются для покупки предоплаченных карт или товаров, которые легко перепродать. Здесь можно найти другие методы и инструменты финансового мошенничества. Хорошим примером RLCF из этой категории является «WWH-Club».
- Программирование: преобладающие русскоязычные форумы, посвященные языкам программирования и компьютерной грамотности, обычно безвредны. Однако для данного исследования наш выбор был ограничен форумами, которые позволяют участникам активно разрабатывать и обсуждать вредоносный код. «WASM» выделяется как один из самых известных RLCF, ориентированных на программирование, но, как и многие форумы этой категории, в настоящее время он проявляет минимальную активность.
- Мошенничество: RLCF, отнесенные к этой категории, концентрируются на различных схемах мошенничества, подразумевающих использование компьютера или телефона. Такие методы, как изготовление поддельных документов, отмывание денег, социальная инженерия и, в меньшей степени, распространение вредоносного ПО, активно обсуждаются на таких форумах, как «Center Club», «Darkmoney» и «Dublikat».
- Поиски (Пробив). Эти форумы по борьбе с мошенничеством, вероятно, относятся к числу наиболее уникальных типов сообществ киберпреступников, характерных для СНГ. В основном они занимаются продажей баз данных, наполненных личной информацией о людях, в основном из стран бывшего Советского Союза. Примечательная услуга, предлагаемая на RLCF под названием «Пробив», предполагает сбор комплексных данных о человеке или компании. Это часто влечет за собой приобретение частных баз данных или привлечение инсайдеров в государственном управлении или телекоммуникационных компаниях.
- Поддельные документы: такие сообщества, как «Дубликат», специально ориентированы на создание поддельных документов.
- Финансовые услуги: «Darkmoney» предлагает концентрацию услуг, связанных с отмыванием денег и финансовым мошенничеством.
- Наркотики: этот тип RLCF ориентирован на продвижение и торговлю наркотиками. Клиенты могут найти информацию о продавцах и способах обмена своих денег на криптовалюту. «РуТор», «WayAway» и «Пасаремос» — примеры таких форумов.
- В категории «Другое/Киберпреступность» форумы часто специализируются на таких темах, как видеоигры, подростковая жизнь или информационные технологии, но они также допускают дискуссии, связанные с киберпреступностью и мошенничеством. Хотя киберпреступность не является основной темой таких форумов, как «LolzTeam», такие платформы стали важными центрами для субъектов угроз, особенно тех, которые специализируются на распространении информационных воров .
Б) Уровни деятельности и даты создания RLCF.
Чтобы измерить уровень активности каждого форума, я в качестве ориентира оценил среднее количество сообщений, публикуемых в день. Форумы, на которых среднее количество сообщений в день составляет от 1 до 20, были отнесены к группе «Низкая» активность. Те, у кого среднее количество сообщений в день составляло от 20 до 100, считались обладателями «средней» активности. Наконец, форумы с ежедневным количеством сообщений, превышающим 100, были помечены как имеющие «высокую» активность.
Таблица 4. Методология: Низкая активность – 1–20 сообщений/день, Средняя – 20–100 сообщений/день, Высокая – более 100 сообщений/день. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 5. Источник: Дневники киберпреступности – январь 2024 г.
C) Глобальные наблюдения и тенденции.
Даты открытия и показатели деятельности RLCF подчеркивают примечательные закономерности в сфере киберпреступности. Среди RLCF, которые все еще активны в настоящее время, только 20 были созданы в течение первых десяти лет века, что подчеркивает высокий уровень истощения среди RLCF, а также долговечность некоторых ключевых сообществ. Вторая группа действующих в настоящее время RLCF была создана в период с 2010 по 2020 год, при этом в период с 2014 по 2016 год наблюдался заметный всплеск новых форумов. На этот период приходится создание 54 RLCF, которые продолжают свою деятельность и сегодня.
Кардинг – как одно из старейших занятий киберпреступников – является хорошей иллюстрацией того, как развитие популярности и прибыльности конкретного ремесла киберпреступников может повлиять на всю экосистему в целом. Значительная часть, 15 из 20 RLCF, занимающихся кардингом, начала свою деятельность в период с 2010 по 2020 год, что отражает устойчивый интерес к этой незаконной деятельности. Тем не менее, распространение разделов по кардингу на форумах по киберпреступности, мошенничеству и даже наркотикам усилило конкуренцию за активную базу пользователей. В последнее время многочисленные RLCF, ориентированные на кардочесание, закрылись или вышли из употребления, причем 9 из них в настоящее время демонстрируют низкую активность. Постоянное присутствие карточных форумов, несмотря на миграцию их участников в Telegram, отчасти можно объяснить более низким барьером для входа в эту незаконную торговлю, которая не всегда требует сложных технических навыков.
Рост программ-вымогателей как доминирующей угрозы для предприятий, особенно после пандемии COVID, одновременно стал прибыльным предприятием для киберпреступников. RLCF, такие как «XSS» и «Exploit», считаются центрами для операторов программ-вымогателей и брокеров первоначального доступа. После кибератаки Colonial Pipeline в 2021 году руководство RLCF временно запретило обсуждения, связанные с программами-вымогателями, что является стратегическим обманом. Эта среда побудила пресловутого оператора программы-вымогателя Михаила Матвеева, известного как «вазавака», создать «РАМП» (Анонимный рынок вымогателей – не путать со знаменитым форумом по наркотикам под названием «Русский анонимный рынок», который был закрыт в 2017 году), форумом. занимается деятельностью, связанной с программами-вымогателями, и стремится облегчить ее. Несмотря на первоначальный успех, рост RAMP был затруднен из-за беспорядочного поведения ее основателя. Уровень его активности постепенно повышался с момента передачи права собственности злоумышленнику Столлману в 2022 году, но он все еще отстает от таких форумов, как «XSS» или «Exploit». Это говорит о том, что программы-вымогатели, хотя и являются одной из крупнейших угроз кибербезопасности, не могут собрать огромное сообщество сами по себе и остаются специализированным подмножеством в более широкой киберпреступной среде.
Несмотря на то, что Drugs RLCF, очевидно, не имеет прямого отношения к хакерству, они представляют собой гигантские машины по генерированию денег, имеющие собственную систему отмывания денег, которую используют другие киберпреступники, включая бизнес, занимающийся программами-вымогателями. Одной из таких площадок стала русскоязычная торговая площадка «Гидра», закрытая властями Германии в апреле 2022 года . С тех пор было запущено 8 новых препаратов RLCF, что иллюстрирует динамизм продолжающейся конкуренции между наркоторговцами, нацеленными на рынок СНГ. После закрытия торговой площадки «Гидра» в RLCF, таких как RuTor, Legalizer и WayAway, наблюдался всплеск регистраций: от 160 000 до 300 000 новых аккаунтов каждая . С другой стороны, российское вторжение в Украину оказало негативное влияние на деятельность RLCF по наркотикам, нацеленную на украинский рынок. Наркологический форум Legalizer, специализирующийся на украинском рынке, отметил снижение числа потребителей в 2023 году.
Г) Слегка активный RLCF – форумы на упадке и новые сообщества.
Большинство малоактивных RLCF — это довольно старые сообщества по киберпреступности, наркотикам и кардингу. Форумы широкого профиля, такие как «Prologic» или «Xaker», запущенные соответственно в 2006 и 2007 годах, практически заброшены. Подобную судьбу относительного упадка можно наблюдать на нескольких старых кардинг-форумах. РЛКФ из этой категории, как и форумы «Кардинг-форум» или «Монца», созданные в 2009 и 2012 годах, в 2023 году отключились.
В категории «Лекарственные средства» 10 RLCF слабоактивны. Это объясняется либо тем, что они появились недавно, как например форум Солярис, который связан с одноимённым наркомаркетплейсом, либо тем, что это старые, но умирающие проекты типа РЛФФ «СКП», тем самым их будущее трудно предсказать. Например, препарат RLCF «DeepRC» был запущен в 2022 году, но не выжил. Для оценки жизнеспособности этих форумов необходимы дальнейшие наблюдения.
В случае с Programming RLCF оценку сделать проще, поскольку все 7 форумов, посвященных разработке вредоносных программ, сейчас практически неактивны. Их сообщества были поглощены универсальными форумами по киберпреступности, где темы, связанные с разработкой и программированием вредоносных программ, являются обычным явлением. За такими форумами, как «WASM», было особенно интересно следить в период высокой активности, поскольку несколько модераторов «XSS» и «Exploit» начали там свою киберпреступную деятельность. Интересно, что форум «Р0» перекочевал на собственный Telegram-канал, но последний в последнее время тоже не очень активен. Тем не менее создание форума RootZone является интересным событием, которое можно рассматривать как рискованную инвестицию, учитывая судьбу других сообществ этой категории.
Таблица 6. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 7. Источник: Дневники киберпреступности – январь 2024 г.
Д) Умеренно активный RLCF – на перепутье.
Группа RLCF с ежедневным количеством сообщений в среднем от 20 до 100 сообщений в основном состоит из сообществ киберпреступности и кардинга. Тем не менее, умеренно активные RLCF гораздо более важны для киберпреступной экосистемы, чем приходящие в упадок или новые форумы. В эту группу входят форумы, которые часто находятся на перепутье, как и в прошлом: либо популярные форумы, либо новые форумы, которые находятся на подъеме.
Знаменитый универсальный форум «Античат», запущенный в 2002 году, и кардинг-форум «Верифицированный», созданный в 2005 году, в какой-то момент были очень модными и привлекали обширное киберпреступное сообщество, но в последнее время их популярность снижается. Трудно оценить, вырастут ли они вновь или отойдут на второй план. Между тем, новые сообщества, такие как «Антимигалки», «DeepWeb» или «Lozerix», сумели привлечь несколько тысяч пользователей и могут стать важными местами сбора в будущем, если сохранят нынешнюю тенденцию роста.
Таблица 8. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 9. Источник: Дневники киберпреступности – январь 2024 г.
Е) Высокая активность RLCF – ядра русскоязычного киберпреступного мира.
Наконец, давайте взглянем на очень активные RLCF. Судя по всему, они в основном состоят из сообществ, занимающихся мошенничеством, продажей наркотиков и игровыми форумами, допускающими киберпреступную деятельность. В состав этих групп входят специализированные форумы, предлагающие незаконные финансовые услуги, услуги поиска, создание поддельных документов и, конечно же, различные наркотики. Успешные форумы обеих категорий были созданы в основном в последние десять лет.
Напротив, наиболее известные форумы категории «Киберпреступность» старые. «XSS» (первоначально называвшийся DaMaGeLaB) и «Exploit» были созданы соответственно в 2004 и 2005 годах, а менее известный, но все же популярный RLCF «BHF» был создан в 2012 году. Таким образом, высокоуровневое русскоязычное хакерское сообщество, занимающееся программами-вымогателями, атаки, передовая разработка вредоносного ПО и выявление уязвимостей в определенной степени сосредоточены вокруг небольшого количества авторитетных форумов.
Тем не менее, как мы увидим в главе III, RLCF с менее развитыми сообществами, такими как «LolzTeam» из категории «Другое/Киберпреступность», играют решающую роль в русскоязычной киберпреступной экосистеме, собирая огромные сообщества молодых людей, которые познакомьтесь с хакерской и незаконной деятельностью, например, присоединившись к командам трейдеров .
Таблица 10. Источник: Дневники киберпреступности – январь 2024 г.
Таблица 11. Источник: Дневники киберпреступности – январь 2024 г.