在过去的一年里,Recorded Future的研究人员监测了用于处理非法内容或开展非法活动的工具所涉及的各种活动。他们的关注重点是中国和俄罗斯的地下黑客论坛,跟踪分析后发现两个社区的成员很少接触,论坛经营方式大相径庭,从事活动的动机也截然不同。

俄罗斯论坛——逐利为上

与大众认知相反,大多数俄罗斯网络犯罪社区仍然可以通过clearnet(非加密网络)访问,论坛在Tor网络中设置服务器作为备份,以备在网络崩溃时使用,用户无需VPN服务。

管理员使用其他方法来维持论坛的正常运行,基于区块链的DNS就是维持方式之一。

在封闭式论坛(完全的私人社区),只要有论坛内部成员提供担保,访问同样可以实现。一旦发现访问者有异常,则会迅速暴露其身份,禁止其他成员与其接触。

异常访问者信息公开

据Recorded Future观察,俄罗斯网络犯罪分子聚集的论坛组织状态“良好”,成员只对盈利性活动感兴趣。他们小心翼翼地保护自己的资源(即:恶意软件源代码),以获取经济利益为目标。

“在地下的恶意程序,如银行木马和装载器,以“构建”的形式出售,这种形式类似于个人软件许可证。”

常见的做法是恶意软件作者完全控制源代码,不仅可以保证成果最大程度货币化,还能保护其产品免受软件衍生品或者类似恶意软件的竞争。

在这些论坛上兜售的非法产品和服务的类型与以往相同,不过有较强的时代适应性:勒索软件、加载程序、木马程序、漏洞利用工具包、安装程序、垃圾邮件机器人、网络流量、伪造文件、银行账户和信用卡等都在销售产品之列;托管服务是非法服务的支柱,因此获取匿名且不在执法管辖范围内的基础设施的相关市场需求总是保持旺盛。一个运营10年以上的供应商,每月的服务价格只有100美元。

但其中也不乏变化,如现在能通过自动化服务获得大量被盗数据,买家无需与其他用户互动,可自主订购想要的数据信息。

中国论坛——“极客精神”

中国的论坛情况则与俄罗斯形成了鲜明对比。首先,由于“墙”的存在,双方获取信息效率存在差异。“墙”将网络世界进行了分区,再加上语言障碍,这些因素为墙内技能掌握程度不够高的黑客提供了更多的本地市场资源。

而最显著的差异在于,与俄罗斯论坛的经济利益导向不同,中国论坛的“人情味”更浓郁,社区感更强,他们互相帮助,经常分享工具源代码,还会交换关于改进工具的想法。

政府制度的严格使得论坛成员开展业务需要克服更多障碍,对加密币的禁令也令他们减少了隐藏身份的付款方式。支付宝和银行转账是论坛普遍接受的支付方式,而俄罗斯人则在一段时间内转向门罗币和比特币,刺激了兑换服务的出现。

论坛的主流销售产品也有些许不同。分布式拒绝服务(DDoS)工具和远程访问木马程序,以及防病毒规避技术和渗透测试工具是热门商品,编程和黑客教程也受到追捧。数据泄露的程序是在华人社区内部进行,很可能是由于语言障碍和国内的技术和服务针对性更强,对于境外人士来说,这或许难以理解。

“上有政策下有对策”,虚拟专用网络服务成为主流商品的原因自然不言而喻。

综上,俄罗斯人和中国黑客都有共同的非法活动欲望,但出于不同的原因和目的。前者对于赚钱兴趣浓厚,而后者主要是为了扩展他们的技能和交换政府禁止的产品。

(另附更完整的对比分析网址:hxxps://www.recordedfuture.com/russian-chinese-hacking-communities/)

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。