零零信安暗网分析之BreachForums百足之虫死而不僵

由pompompurin创建的“经典”BreachForums(以下简称BF),这个曾经在暗网中统治的恶梦,在短暂的生涯中——2022年即达到了巅峰,甚至超越了前任霸主RaidForums。在暗网世界的活跃度和访问量上,BF稳坐榜首,其影响力深远而广泛,贯穿所有层级:普通网民、企业、政府,甚至军事。然而,2023年3月15日,这个恶性循环的怪兽由于其所有者Pompompurin被FBI逮捕,而宣告结束——但,谁知这只是暂时的。

BF,这是一个集汇无数底线的地方,充斥着数据窃取、信息交易和恶意软件的传播。这个论坛充分利用了暗网的匿名特性,成为一股巨大的负面力量,不断给全球网络空间造成深重伤害。

政府机关因此受到威胁,经常发现敏感信息被非法获取并在此论坛上出售。企业受损更甚,商业机密泄露,造成的损失几乎无法估计。特别是那些拥有大量用户数据的企业,他们经常发现自己的客户信息在BF上公开或被交易。无论是社交、电子商务还是金融服务,无一幸免。此外,普通网络用户也成为攻击的目标——个人密码、健康信息、信用卡详情,这些私人数据在BF上面市,带来了巨大的阴影和恐惧。

这个论坛的存在,其实不仅仅是刺激了犯罪行为,还使全球网络变得紧张和不确定,威胁着数字时代的信任体系。

本期报告将针对“经典”BF进行分析(特别说明,由Baphomet重启的新BF,将在未来做分析),尝试寻找出某些规律和结论。

BF截止被FBI取缔,共发布近5万条情报和近百万篇论坛贴,注册用户量超过25万人。

论坛内容主要分为:常规、泄露、市场三大部分。其中“常规”分论坛中包含:公告、介绍、世界新闻、动漫、礼品、音乐等正常内容;“泄露”分论坛主要包含:游戏泄露、数据库泄露、日志泄露等内容;“市场”分论坛主要包含:一般市场、验证的市场、泄露市场、客户市场、主机/VPS、VPN/代理等内容。“泄露”和“市场”是整个论坛的主要内容。如下示例:

其核心成员和活跃用户均于2022年3-5月注册,平均发布情报数量在数十至数百份不等,如下图所示:

论坛创建者(Owner)ID为:pompompurin,我们可以看到,其于2022年3月4日开放并注册了BF,并于2023年3月15日被FBI逮捕;管理员(Admin)ID为:Baphomet,在BF被取缔后不到3个月,由臭名昭著的黑客组织ShinyHunters进行扶持或合作,重启了新BF项目。

BF在一年时间中成为暗网中最活跃的网站,并非偶然,它除了汇聚大量的黑客和活跃的市场买家以外,还得益于管理者进行了大量和专业的情报整理和发布,如下图所示:

由BF作为认证官方,在数万份情报(包含往年泄露数据)中,整理出842份精选情报,并将其免费发布,共涉及全球约140亿条泄露数据。不得不感慨其敬业度与专业能力。

据零零信安0.zone平台捕获的BF情报进行分析,其中内容包含数据泄露、黑客服务、工具买卖、攻击情报、政治时局和数据买卖等。

0.zone共解析出21247份数据泄露情报,估算总泄露数据量高达200-500TB以上,其中包括各类政府文件、企业机密、工商信息、公民隐私、金融日志、账号密码等数据。

以下为“经典”BF被取缔前,最后一份被捕获的数据泄露售卖情报:

所有数据泄露事件,约有30%左右无法判定其归属地,其大部分为账号密码等个人隐私数据、混合数据、无法确定归属国的网站泄露数据(例如色情、博彩网站),以及波及多地区(或全球)数据。

在可判定归属国的数据泄露事件中,全球共有超过100个国家遭受波及,受到影响最大的国家依次为:美国、俄罗斯、中国、印尼、印度、白俄罗斯、法国、巴西、英国、德国、土耳其、新西兰、澳大利亚、意大利、墨西哥、日本、乌克兰、西班牙、加拿大、马来西亚、伊拉克、波兰、泰国、阿根廷、以色列等。

TOP10排名和占比如下图所示:

共有超过400名黑客泄露和贩卖过我国数据,其中依据本报告评价,按照对我国影响程度排名TOP10的主要人员或组织包括:

FBI积极侦破和取缔BF,一方面是因其对全球网络信任的破坏,另一方面也源于其对美国政府、企业、公民等各方面的数据泄露。其中包括:联邦政府、纽约政府、美国航空航天局、美国卫生与公众服务部、美国国会数据等:

BF对于各个国家的危害远不止于此,他们宣称出售北约数据,他们宣称2022年为东南亚政府“开源”年,等等不一枚举。

值得注意的是,在“经典”BF被取缔后不久,新BF已经重启,并在短短一个多月时间内已重新汇聚了上万名用户,数千条情报以及数万篇论坛贴。全球充满恶意的人并没有减少,随着我国数字化转型的深入,数据安全工作与网络对抗任重而道远。

预告:Part 4 商业黑客组织,“流星街”的原住民们,敬请期待。(零零信安 王宇)