短短兩個月內，俄羅斯四大網絡犯罪黑客論壇被“連根拔起”。

據安全博客Krebsonsecurity報道，過去的數周中，為數以千計“資深”網絡犯罪分子服務的四個老牌俄語黑客論壇被黑客入侵。在其中兩次入侵中，攻擊者獲取了論壇用戶數據庫，包括電子郵件、IP地址以及哈希密碼等信息，其中一個論壇的加密貨幣錢包密鑰(編者：通常是網絡犯罪論壇的“公積金”)，另一個論壇則遭遇了轉賬欺詐。

[[386766]]

讓這些犯罪論壇的會員們頗為擔心的是，多個論壇的泄漏數據可能成為“羅塞塔石碑”，被情報和執法機構用來關聯破譯并鎖定用戶的真實身份。

首先被黑客攻陷的是Maza(以前也被稱為“Mazafaka”)，這是一個有十多年歷史的，臭名昭著的俄羅斯地下網絡犯罪論壇。

過去多年，Maza是世界上最一間多產的網絡犯罪分子的“頂級會所”，也是許多犯罪活動的重要交易場所，包括惡意軟件分發、洗錢、信用卡信息銷售、賬戶銷售和許多其他非法行為。該論壇被認為是網絡犯罪分子中的“高端群”，進入門檻很高。

上周初，Maza論壇會員們驚訝地發現，論壇被黑了。

情報公司Flashpoint的最新報告顯示，入侵Maza的黑客已經收集了有關該網站用戶的數千個數據點，包括他們的姓名、電子郵件地址和哈希密碼。黑客還在論壇主頁上發布了兩個警告消息：“您的數據已泄露”和“此論壇已被黑客入侵”。(下圖)

根據KrebsOnSecurity的報告，本周二黑客將竊取的數據公布到了暗網上，使犯罪分子面臨身份暴露的風險(這多少有些諷刺意味)。而威脅情報公司Intel 471也驗證了泄漏數據的真實性。

在線泄漏的長達35頁的PDF文檔的頂部，是一個據稱是Maza管理員使用的私有加密密鑰。除用戶名、電子郵件地址等聯系信息外，該數據庫還包含許多用戶的ICQ號碼。ICQ是最早期的即時消息平臺，深受網絡犯罪“老炮”的信任，但此后ICQ的使用就過時了，轉向了更多的私密通訊網絡，例如Jabber和Telegram。

同在2月份，還有一個流行的網絡犯罪論壇Crdclub遭到了襲擊。根據Intel471的博客文章：“在2月，另一個網絡犯罪論壇Crdclub的管理員宣布論壇遭黑客攻擊管理員賬戶泄漏。攻擊者利用管理員賬戶權限誘使論壇客戶使用匯款服務(該匯款服務由論壇管理員擔保)，從論壇轉移了不明數目的資金。論壇的管理員答應賠償被騙者。”

在Maza和Crdclub被“拿下”之前不久，1月份另兩個俄羅斯網絡犯罪論壇——Verified、Exploit也遭到了類似攻擊。

1月20日，俄語黑客論壇“Verified”的一位長期管理員透露，該論壇的域名注冊商已被黑客入侵，論壇域名被重定向到攻擊者控制的Internet服務器，甚至論壇的比特幣錢包也被破解。該管理員在論壇中發布了遭遇黑客入侵的聲明：

據觀察，這種高級別犯罪論壇遭遇連環攻擊是極不尋常的，因為犯罪黑客雖然經常會互相攻擊，但這種大型論壇被團滅的情況實屬罕見。

漏洞利用網站的一些用戶假設，此次清除不是競爭對手的一伙黑客的結果，而是執法人員的結果。Krebs提出了一個黑暗的網絡用戶提出的以下理論：

“只有情報服務人員或知道服務器所在位置的人才能做這樣的事情……一個月內連續黑掉三個重要論壇，這很奇怪。我認為這些不是普通的黑客。有人故意破壞論壇。”

另一位論壇潛水用戶則推測，最近的黑客攻擊像是某些政府間諜機構的工作。

類似地，Flashpoint的報告也給出了攻擊可能是政府干預的討論。如果這些黑客攻擊是執法部門所謂，那么不得不說這是非常“新穎”的戰術，因為犯罪論壇接連被黑，將極大打擊網絡犯罪份子對論壇的信心和信任。

一名Exploit用戶寫道：“(長此以往)將不會有(犯罪)論壇，人與人之間將不會有信任，合作減少，也更難找到合作伙伴，這意味著更少的攻擊。”

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文