Badacze w Zespół ds. Badań Fotonowych Digital Shadows czy w tym tygodniu opublikowali informacje o podziemnym języku rosyjskim? forum cyberprzestępcze który wyróżnia się z tłumu z nowego, ale nie do końca zaskakującego powodu – wyraźnie celuje tylko w ofiary w Rosji i na Białorusi.
Wygląda na to, że Dumps Forum zostało utworzone w ciągu ostatnich trzech miesięcy i według zespołu Photon składa się z niewielkiej liczby około 100 osób – nie wydaje się jeszcze, aby ich weryfikowała. Podobnie jak większość jego odpowiedników, zawiera sekcje oferujące cyberataki jako usługę, wycieki danych, nielegalne materiały, obsługę kart, złośliwe oprogramowanie i dostęp do zaatakowanych sieci.
Ale w przeciwieństwie do swoich kolegów, że faktycznym celem Dumps jest wspieranie ukraińskiego wysiłku wojennego, jest całkowicie jasne od samego początku; jego misja jest tłumaczona jako: „Usługi informacyjne/wycieki lub inne usługi na naszym forum są dozwolone tylko w odniesieniu do dwóch państw, są to Federacja Rosyjska i Białoruś. Tematy, które wymieniają inne kraje, są niedozwolone. To główna zasada naszego forum.”
W tej intencji wyrażane są także przekierowania na linki do informacji o trwającym konflikcie na Ukrainie oraz ukraińskich i proukraińskich organizacjach charytatywnych.
Zespół Photon powiedział, że choć inwazja Rosji na Ukrainę została potępiona na całym świecie, konflikt udowodnił bardzo podzielny w społeczności cyberprzestępców – na co oczywiście duży wpływ mają aktorzy rosyjscy.
„Opinie na temat tak zwanej „specjalnej operacji wojskowej” prezydenta Rosji Władimira Putina zależą od kilku czynników, w szczególności pochodzenia cyberprzestępcy, przekonań politycznych lub innych czynników nacjonalistycznych” oni napisali.
„Jak pisaliśmy na poprzednich blogach, niektórzy internauci wzięli to na siebie brać aktywną rolę w konflikcieatakujące rosyjskie organizacje za pomocą ukierunkowanych naruszeń danych, rozproszona odmowa usługi [DDoS] ataki i oszpecenie”.
Jak jednak ciągnęli, Dumps wydaje się być jedynym forum cyberprzestępczym, które przyjęło stanowisko proukraińskie. “[This] stawia Dumps Forum w wyjątkowej pozycji, jednocześnie malując cel na własnym grzbiecie; jeśli forum rozwinie się w dobrze znany i udany projekt, prawdopodobnie stanie się celem kontraktywności ze strony cyberprzestępców wspierających Rosję” – dodali badacze Photon.
„Bezczelność forum chyba najlepiej podkreśla fakt, że administrator forum podaje jego lokalizację, co wskazuje na mieszkanie w Kijowie. Na dachu budynku kryje się obraza pod adresem Władimira Putina.
„Nie mamy pojęcia, czy ta lokalizacja jest rzeczywiście domem administratora, ale podkreśla ducha nieposłuszeństwa i oporu, w jakim zbudowane jest forum”.
Naukowcy powiedzieli, że regulamin forum stanowi, że wszystkie tematy muszą być skierowane na działalność antyrosyjską lub białoruską, a wiele z tego, co dzieje się w jego ramach, dotyczy udostępniania wyciekających danych, reklamowania ataków DDoS, sfałszowanych i skradzionych dokumentów tożsamości oraz usługi hostingowe. Niektóre sekcje forum, takie jak te związane z kartami lub brokerami początkowego dostępu [IABs]są w rzeczywistości pozbawione aktywności.
Z pewnym marginesem największa aktywna sekcja Zrzutów poświęcona jest wyciekom danych skradzionych rosyjskim organom rządowym i firmom z sektora prywatnego, w tym wielu dostawcom mediów.
Tymczasem sekcja DDoS-as-a-service firmy Dumps umożliwia użytkownikom wywołanie ataku DDoS na dowolny zasób sieciowy, zaczynając od 80 USD za godzinne bombardowanie lub 500 USD za 24 godziny w warstwie 4, z siłą ognia do 500 Gb/s . Atak DDoS warstwy 7 jest droższy o około 100 USD.
Trzecia najbardziej aktywna sekcja, określana jako „probiw” (termin rosyjskiego slangu, który luźno tłumaczy się jako „wyszukiwarka”), której celem jest reklamowanie serwisów informacyjnych, w których cyberprzestępcy mogą znaleźć informacje o swoich potencjalnych celach za odpowiednią cenę. Niektóre z dostępnych obecnie pozycji obejmują informacje o rosyjskim paszporcie, rejestry karne, w tym wyroki skazujące za posiadanie nielegalnej broni, oraz informacje dotyczące osób kupujących bilety na wyjazd z Rosji.
Zespół Photon postulował, że może to sugerować, że administratorzy i użytkownicy Dumps są szczególnie zainteresowani obywatelami Rosji sympatycznymi dla sprawy Ukrainy, z których niektórzy mogą być skłonni do prób wyjazdu na Ukrainę w charakterze najemników lub partyzantów. Można to również wywnioskować z faktu, że treść forum jest prawie w całości napisana w języku rosyjskim (którym mówi wielu Ukraińców), a nie ukraińskim (czego większość Rosjan nie mówi). Nawiasem mówiąc, zrzuty twierdzą, że są blokowane w Rosji.
Zespół Photon powiedział, że Dumps prawdopodobnie nadal próbuje się ugruntować, dlatego stosunkowo łatwo jest go znaleźć i dołączyć, chociaż stanowi to zagrożenie dla bezpieczeństwa operacyjnego dla jego administratorów, jeśli stanie się zbyt dobrze znany, szczególnie w prorosyjskim podziemiu.
„Dumps Forum prawdopodobnie ma do odegrania ważną rolę w trwającej wojnie rosyjsko-ukraińskiej; jako centrum haktywistów i patriotycznych cyberzagrożeń, jako symbol oporu i dający możliwą do udowodnienia różnicę na cyberpolu bitwy” – powiedzieli.
„Każdy sukces osiągnięty przez Dumps Forum przyciągnie jednak niechcianą uwagę. Zakaz odwiedzania forum przez obywateli rosyjskich pokazuje, że forum jest już na radarze państwa rosyjskiego. Realistycznie możliwe jest również, że sukces Dumps Forum może zainspirować inne służby, które chcą wziąć udział w trwającym konflikcie”.