Cesta do hlubin darkwebu

1. 4. 2018

Sdílet

 Autor: © lassedesignen - Fotolia.com
Podzemní trhy nabízejí širokou škálu služeb pro počítačové zločince a velice slušně z nich profitují.

Vznik podzemních trhů se historicky datuje od používání komunikace přes kanály IRC (Internet Relay Chat). Přeskočme ale do 21. století – vývoj kryptoměn a anonymní komunikace přinesl nebývalý rozvoj podzemního tržního ekosystému.

Podzemní trhy nabízejí širokou škálu služeb pro počítačové zločince a profitují z nich, říká Luis Mendieta, hlavní výzkumník zabezpečení ve společnosti Anomali.

Tato fóra podle něj nabízejí položky počínaje předměty z fyzického světa jako drogy, zbraně až po položky ze světa digitálního jako služby spamu či phishingu, služby exploit kitů, cryptery, bindery, vývoj zákaznického malwaru, exploity nultého dne a neprůstřelný hosting.

Podzemí je plné žargonu a slangu, který může být pro nezasvěcené osoby nejasný. Cryptery jsou nástroje, které šifrují malware kvůli tomu, aby se zabránilo jeho detekci antivirovými programy. Bindery jsou nástroje používané k trojanizaci legitimních programů pomocí malwaru.

Zero-day exploity (exploity nultého dne) jsou metody zneužívající prozatím neopravené zranitelnosti. Útočníci je používají k získání neautorizovaného přístupu k počítačovým systémům.

Zatímco v normálním světě znamená zkratka FUD strach, nejistotu a pochybnosti, ve světě podzemních fór to znamená úplnou nezjistitelnost (Fully UnDetectable).

Na fórech existují i „rippeři“, kteří se snaží napálit a oškubat ostatní uživatele, aniž jim dodají nějakou užitečnou službu či kontraband, jak uvádí Mendieta.

Popisuje následující tržiště, kde každé má své charakteristické vlastnosti, kterými vyniká. Některá fóra jsou přístupná jen prostřednictvím sítě TOR, zatímco jiná jsou přístupná pouze přes tradiční procházení webu (clearnet).

Další fóra se specializují na služby, jako jsou carding (podvody s kreditními kartami), podvody PII (citlivé osobní údaje), zatímco jiné dávají přednost zaměření na exploity nultého dne, služby botnetů a neprůstřelný hosting.

Existují tam také fóra dodávající služby širšímu publiku – nabídka různých položek z reálného světa počínaje prodejem nelegálních drog, padělky (cestovní pasy, řidičské průkazy atd.) a konče zbraněmi.

 1.     Podzemní fórum Sky-Fraud

Sky-Fraud je ruské podzemní fórum, které je v provozu od roku 2014. Jeho uživatelská základna má 26 tisíc aktivních rusky a anglicky mluvících uživatelů. Nabízené služby jsou velmi různorodé.

Na Sky-Fraudu najdete následující služby:

  • Svěřenecké služby
  • Neprůstřelné hostingové služby
  • PII (citlivé osobní údaje) a CC data (data kreditních karet).
  • Botnety, exploity, malware
  • BlackHat SEO (optimalizace pro vyhledávače) a návrh internetových stránek
  • Platební systémy: BTC (Bitcoin), Paypal, Webmoney, Entropay

Systém registrace na tomto fóru je otevřený pro kohokoli. To usnadňuje vstup podvodníkům a nerenomovaným členům včetně zástupců zákona a výzkumníků zabezpečení. Data nalezená na tomto webu mají nízkou věrnost, protože se zde vyskytují převážně amatérští hackeři.

Objevil se však zde i jeden významný účastník nabízející neprůstřelný hosting. Volhav se pohyboval nejen na tomto fóru, ale také na dalším podzemním fóru popisovaném níže – exploit.in.

Je možné, že se tento účastník snažil oslovit více různých fór za účelem rozšíření své služby, protože jeho registrace vznikla v roce 2016. Bohužel se jeho aktivita omezila jen na dva vstupy.

 2.     Podzemní fórum Lampeduza

Lampeduza je ruské podzemní fórum, které se specializuje na carding, získávání dat a podvody s kreditními kartami obecně. Několik segmentů se také věnuje hackování, metodám anonymizace, spamu a Black Hat SEO (optimalizace pro vyhledávače).

Tento web byl v minulosti zmiňován na webu krebsonsecurity, když se jeden ze členů tohoto fóra (rescator) zapojil do prodeje a distribuce dat uniklých ze společnosti Target.

Kromě toho to vypadá, že je Lampeduza silně propojená s nechvalně známým cardingovým fórem rescator[.]cm, kde se nabízela na prodej data kreditních karet uniklá ze společností Target, Home Depot a Sally Beauty.

Přístup k tržišti Lampeduza je mírně restriktivní. K získání přístupu musí uživatel nejprve získat zvací kód od současného člena a poté musí zaplatit 50 dolarů.

To mírně zvyšuje exkluzivitu tohoto webu a zajišťuje to menší znečištění ve srovnání s ostatními weby popisovanými v tomto článku. Potenciální kupci však také čelí nutnosti odfiltrovat dobré dodavatele od dodavatelů špatných.

Naštěstí tento web nabízí reputační systém (pro pověst), ve kterém může uživatel vznést libovolné stížnosti a v případě potřeby dojde k přijetí opatření vůči dotyčnému dodavateli. To je společný rys mnoha anonymních tržišť.

Data nabízená na tomto tržišti mají zřejmě střední hodnotu. Prodávala se zde také data pocházející od velkých řetězců maloobchodního prodeje.

 

  1. Podzemní fórum Exploit dot in

Exploit dot in je ruskojazyčné hackerské fórum, které se podobá provozu jiných hackerských fór jako LeakForums a HackForums.

Fórum Exploit dot in je v provozu od roku 2007 a má přibližně 35 tisíc uživatelů. Členové tohoto fóra jsou prověřovaní před registrací a musí se za ně zaručit aktivní člen. V některých částech se diskutují nekriminální aktivity čitelné pro veřejnost.

Patří mezi ně témata o designu webu, programování a hardwaru. Ostatní sekce jako zabezpečení, hackování, virologie, anonymita a tržiště vyžadují platný uživatelský účet.

Služby prodávané na tomto fóru zahrnují následující:

  • Cardingové služby
  • Neprůstřelný hosting
  • Služby distribuce malwaru
  • Software pro zranitelnosti nultého dne
  • Malware
  • Exploit kity
  • Trojské koně
  • Cryptery

Velká část hodnoty odvozené z tohoto tržiště spočívá ve vztazích mezi vysoce propojenými uživateli. Mnoho reálných uživatelů má více profilů na dalších fórech.

Použitím uzavřeného registračního procesu si toto fórum zajišťuje menší znečištění falešnými účty, než je u fór HackForums a LeakForums.

Skladba 35 tisíc uživatelů je následující:

  • 36 uživatelů jsou dodavatelé
  • Jen jeden uživatel má pozici správce
  • Jen 5 uživatelů jsou moderátoři
  • 54 uživatelů jsou ověření uživatelé
  • 43 uživatelů jsou specialisté

Tento podíl skutečných, aktivních a neaktivních účtů je celkem běžný na mnoha fórech. Je to způsobované také anonymitou uživatelů. Černé listiny a sekce se stížnostmi jsou užitečné pro odfiltrování ripperů, ale vedou k vysoké fluktuaci dodavatelů.

Úspěšní dodavatelé mají, zdá se, silné vztahy mezi sebou na dalších uzavřenějších fórech a místech, což jim umožňuje se za sebe navzájem zaručit.

Vypadá to, že dodavatelé téměř vždy skončí podvedením jednoho ze svých klientů – má to za následek umístění jejich aktuálního profilu na černou listinu. Protože je fluktuace vysoká, je pravděpodobné, že zajímaví dodavatelé vytvářejí neustále nové účty s novými kontaktními údaji pokaždé, když mají na prodej něco nového.

 4.     Podzemní fórum LeakForums

LeakForums vstoupilo na hackerskou scénu v roce 2011. V současné době má milion uživatelů. LeakForums se specializuje na úniky související s PII, s účty sociálních sítí a na prodej placených hackerských nástrojů typu keylogger, RAT, crypter a binder.

Pro registrované uživatele jsou bezplatně dostupné varianty malwaru jako Njrat, Adwind a Orcus.

Pokryté jsou i další kategorie úniků:

  • Produktové klíče ke komerčním programům (včetně MS Windows, MS Office a antivirové programy)
  • Ukradené přihlašovací údaje (účty sociálních médií)
  • Hacknuté databáze (streamovací služba úniků z databází)
  • Cracknuté programy s dobře známými trojskými koni (zahrnuje Njrat, Adwind, Orcus)

Kvalita dat z tohoto tržiště je ale velmi nízká. Je zde velké množství amatérských zločinců, kteří se snaží zvýšit svůj kredit, ale prodávají nástroje s velmi nízkou kvalitou.

Tento web také postrádá reputační systém, jaký mají zralejší tržiště jako Alphabay a TheRealDeal. Pro potenciálního kupce je tedy těžší důvěřovat dodavateli.

Toto tržiště je počátečním pramenem mnoha úniků s možností získání kopií dobře známého malwaru jako ORCA a Adwind, což umožňuje rozšíření funkcí detekce. Ostatní hodnoty tohoto fóra jsou diskutabilní.

 

  1. Podzemní fórum HackForums

HackForums je jedním z nejdéle provozovaných hackerských fór na internetu. Bylo založené v roce 2006 a má celkem přibližně 600 tisíc uživatelů.

Toto fórum pokrývá...

 

ICTS24

Tento příspěvek vyšel v Security Worldu 1/2017. Oproti tomuto příspěvku je podstatně obsáhlejší a přináší spoustu dalších tipů, jak vylepšit firemní IT.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.