Positive Technologies опубликовала результаты своего исследования, которое показывает, что теневые форумы стали настоящими высокотехнологичными экосистемами. Эти платформы включают в себя системы гарантов, внутренние криптовалютные кошельки и автоматизированные платежные механизмы. В некоторых случаях внутренние счета пользователей могут достигать сотен тысяч долларов. Основной валютой является биткоин, а Monero используется для более крупных сделок.
Основной угрозой является доступность таких площадок. Высокая степень специализации преступных групп и автоматизация процессов позволяют масштабировать кибератаки с минимальным участием человека. Сложные кибератаки стали доступны в качестве готового продукта, который можно заказать через Telegram-бота, даже не обладая техническими навыками.
Сложности с противодействием таким сообществам возникают из-за их многоуровневых систем доступа и социальной структуры. Новички имеют доступ лишь к ограниченной информации, а для доступа к элитным разделам необходимо провести несколько месяцев, занимаясь вживаниями в сообщество. Это требует от специалистов в области информационной безопасности переосмыслять свои подходы и уделять больше внимания изучению поведения и социальных связей участников.
Эксперты Positive Technologies исследовали закрытые форумы в даркнете и пришли к выводу, что в последние годы эти площадки стали высокоорганизованными экосистемами с собственной экономикой и сложными системами защиты. Исследование основывалось на данных теневых форумов, информации от правоохранительных органов и мониторинге Telegram-каналов хактивистов. Современные подпольные площадки уже не просто места для обмена информацией; они представляют собой полноценный теневой рынок услуг, что делает запуск кибератак доступным для широкой аудитории.
В то время как ранее подпольные сообщества использовали простые платформы, такие как phpBB, сегодня они создают распределенные системы с многоуровневой архитектурой, которые обеспечивают уровень безопасности, сопоставимый с легальными сервисами. Тревожным является то, что эти форумы продолжают эволюционировать по принципу естественного отбора; каждый раз, когда правоохранительные органы закрывают одну площадку, на ее месте появляется новая, учитывающая ошибки предыдущих.
Современные площадки характеризуются гибридной архитектурой. Они отказываются от стандартных решений для создания сайтов и разрабатывают собственные платформы. Так, известный англоязычный форум Dread был создан с нуля специально для работы в сети Tor, что делает его более устойчивым к взломам и анализу. Правоохранительным органам каждый раз приходится изучать уникальную архитектуру.
Форумы существуют в нескольких местах одновременно: у них есть скрытые серверы в сети Tor, обычные сайты в открытом интернете и множество зеркал. Если один из доменов блокируют, пользователи быстро переключаются на другой, так как администраторы заранее публикуют актуальные ссылки в Telegram-каналах или других резервных каналах связи. Эта распределенная структура значительно усиливает устойчивость к блокировкам и мониторингу.
Защита от ботов и сканеров также достигла нового уровня. Форумы внедряют сложные капчи, задачи на jаvascript, ограничивают скорость запросов и даже используют скрытые метки в HTML-коде для отслеживания копирования информации. При обнаружении подозрительной активности, например, если пользователь открывает сотни страниц в минуту, его моментально блокируют или требуют повторной проверки. Это смещает фокус работы специалистов по кибербезопасности на изучение поведения участников и их социальных связей.
Интересной особенностью этих сообществ является многоуровневая система доступа. Новички видят лишь ограниченную информацию, и чтобы получить доступ к закрытым разделам, нужно заслужить репутацию, провести несколько сделок и получить рекомендации от более опытных участников. Иногда требуется пройти собеседование или решить криптографическую задачу. Это значительно усложняет работу как правоохранительных органов, так и исследователей безопасности, которым приходится долго вживаться в роль, чтобы доказать свою принадлежность к сообществу.
Экономика этих форумов превратилась в настоящую индустрию, где многие площадки имеют встроенные системы гарантов для безопасных сделок, внутренние криптовалютные кошельки и автоматизированные платежи. На некоторых форумах существуют отдельные разделы для арбитража и эскроу-сервисов с комиссиями. Основная валюта — биткоин, однако для крупных сделок все чаще используется Monero из-за его анонимности. Форумы зарабатывают на комиссиях за услуги гаранта, продаже VIP-статусов и платном доступе к эксклюзивным разделам, а пользователи могут хранить на своих счетах значительные суммы в криптовалюте.
Теневая экономика форума: схема транзакции
Сервисная модель, созданная этими форумами, представляет особую опасность. Доступность готовых решений — от эксплойтов до аренды ботнетов — позволяет злоумышленникам значительно масштабировать свои атаки, сводя личное участие к минимуму. Сложные кибератаки становятся доступным товаром, что резко снижает уровень навыков, необходимых для их организации. Глубокая специализация киберпреступных групп и автоматизация преступных процессов делают угрозу актуальной для компаний любого размера.
Многие форумы интегрированы с Telegram и создали собственных ботов для автоматизации процессов. Через таких ботов можно проводить сделки, получать уведомления о новых сообщениях или даже совершать покупки, не заходя на сам форум. Это создает целую экосистему, где границы между разными площадками становятся размытыми.
Администраторы форумов придерживаются строгих правил безопасности, избегая прямого доступа к серверам. Они используют цепочки из VPN и Tor, работают через промежуточные компьютеры и стараются не совершать действий, которые могут раскрыть их личность. Малейшая ошибка, как в случае с создателем Silk Road, который использовал личную почту, может привести к аресту.
Интересно, что само сообщество также выполняет функцию дополнительного уровня защиты. Регулярные участники форумов внимательно следят за поведением новичков и могут распознать внедренного агента по манере речи или неуместным вопросам. Была ситуация, когда после ареста администратора известного форума XSS, модераторы заподозрили, что площадка была захвачена правоохранительными органами, и создали новый форум DamageLib.
Жизненный цикл форумов недолговечен. Рано или поздно их закрывают правоохранители, взламывают конкуренты или они распадаются из-за внутренних конфликтов. Тем не менее, сообщества не исчезают. Они мигрируют на новые площадки, где администраторы заранее готовят резервные серверы, делают резервные копии баз данных и держат запасные каналы связи. Когда основной сайт закрывается, буквально через сутки появляется новый адрес, куда переходит большинство пользователей.
Наблюдается даже новая тенденция — создание временных форумов, работающих всего несколько месяцев, а затем намеренно закрывающихся. Пока площадка молода, правоохранительные органы не успевают внедриться, а администраторы не оставляют следов. После закрытия та же команда через некоторое время открывает новый форум и приглашает проверенных участников.
Исследователи предполагают, что в ближайшем будущем форумы станут еще более распределенными и автоматизированными. Искусственный интеллект будет активнее применяться для модерации и верификации участников, децентрализованные системы хранения данных станут обычным явлением, а интеграция с мессенджерами будет расширяться. Элитные сообщества станут еще более закрытыми, а временные форумы — повседневной реальностью.
Главный вывод исследования заключается в том, что подпольные форумы больше не являются хаотичными образованиями. Это динамично развивающиеся платформы со своими правилами, экономикой и социальной структурой. Техническая и организационная устойчивость этих площадок серьезно затрудняет их противодействие. Понимание механизмов теневого рынка становится основой для проактивной защиты, способной предугадывать угрозы, а не просто реагировать на инциденты. Специалистам по кибербезопасности необходимо постоянно обновлять методы работы и быстро адаптироваться к изменениям в этой постоянно эволюционирующей среде.
