零零信安：暗網(wǎng)分析報(bào)告——Part 2 RaidForums的殘骸

在互聯(lián)網(wǎng)的深邃之處，曾經(jīng)存在著一個(gè)名為Raidforums的臭名昭著的暗網(wǎng)論壇。這個(gè)以數(shù)據(jù)竊取和交易著稱的論壇在黑暗世界中滋生了無數(shù)罪惡，其活動(dòng)廣泛而復(fù)雜，從侵犯個(gè)人隱私到政府和企業(yè)機(jī)密文件的竊取，無所不包，無所不用其極。

Raidforums的存在本身就是一個(gè)恥辱，暗示著一個(gè)混亂、危險(xiǎn)的數(shù)字世界的存在，這個(gè)世界深受黑客和犯罪分子的喜愛，他們聚集在此，交換信息、技術(shù)，甚至情報(bào)。在這樣的環(huán)境中，無論是大型的社會(huì)網(wǎng)絡(luò)或是小型的私人電腦，都成為他們攻擊的目標(biāo)。

去年(2022年)Raidforums終于被取締和關(guān)停，而在其存在的7年間，注冊會(huì)員達(dá)到近50萬之多。本報(bào)告針對(duì)論壇殘存的遺產(chǎn)數(shù)據(jù)和信息情報(bào)進(jìn)行分析，以期從側(cè)面剖析各國和行業(yè)受到黑客攻擊和影響的態(tài)勢，為我國信息安全建設(shè)提供參考。

可進(jìn)行詳細(xì)分析的數(shù)據(jù)泄露事件共182件，泄露數(shù)據(jù)總量為447,725MB，涉及到的國家共24個(gè)。

按照事件數(shù)量統(tǒng)計(jì)如下：

按照數(shù)據(jù)泄露總量統(tǒng)計(jì)如下(單位MB)：

數(shù)據(jù)泄露的單位按照行業(yè)統(tǒng)計(jì)如下：

在政府和社會(huì)數(shù)據(jù)泄露事件中，包含泄露了美國政府行政人員的個(gè)人數(shù)據(jù)、州數(shù)據(jù)、選民數(shù)據(jù)等，以及加拿大商業(yè)和居民數(shù)據(jù)、土耳其政府?dāng)?shù)據(jù)等。

盡管Raidforums已被關(guān)閉，其影響力及其會(huì)員依然存在。他們像墮落的種子，散落在世界各地，靜待發(fā)芽。雖然他們的黃金交流平臺(tái)已失，但他們?nèi)钥赡茉谄渌稻W(wǎng)平臺(tái)上再度集結(jié)(例如BreachForums、XSS、Exploit等)，再度引發(fā)惡性循環(huán)。本報(bào)告中對(duì)Raidforums殘骸中的47.9萬會(huì)員進(jìn)行粗粒度分析，雖然對(duì)注冊IP和登陸IP進(jìn)行分析能夠更清晰的統(tǒng)計(jì)出黑客來源于哪些國家，但我更愿意先對(duì)郵箱進(jìn)行統(tǒng)計(jì)，因?yàn)猷]箱能夠展現(xiàn)出一些特征，尤其是對(duì)于某些需要實(shí)名制手機(jī)注冊的郵箱，則有可能定位到注冊人。

以下為Raidforums會(huì)員基于郵箱域的統(tǒng)計(jì)分析：

同時(shí)，我們“驚喜”的發(fā)現(xiàn)，其中有779個(gè)QQ郵箱、321個(gè)163郵箱。

此外，還出現(xiàn)了4個(gè)“意料之外”的注冊郵箱，分別是：

info@nsa.gov(該郵箱有3次密碼泄露)

yourmother211@nsa.gov(該郵箱有1次密碼泄露)

lol@fbi.gov(該郵箱有5次密碼泄露)

nainlovesmybb@fbi.gov(該郵箱有1次密碼泄露)

NSA和FBI堂而皇之的注冊Raidforums，不禁讓人覺得奇怪。

需要特別關(guān)注的是，雖然“正版”的Raidforums已關(guān)閉，但僅不到1年的時(shí)間，新的Raidforums卻已卷土重來，并且在短短數(shù)月內(nèi)已積累了數(shù)千會(huì)員，發(fā)布了上百份情報(bào)信息。

正所謂“百足之蟲，死而不僵”，我們與黑客的斗爭從未結(jié)束過，這仍將是一場永恒的網(wǎng)絡(luò)攻防對(duì)抗。(零零信安 王宇)

預(yù)告：Part 3 BreachForums黑暗世界曾經(jīng)的王者，敬請(qǐng)期待。