Исследование Positive Technologies показало, что теневые форумы эволюционировали в высокотехнологичные экосистемы с четко организованной экономикой. Участники видят лишь часть информации, а для доступа к закрытым разделам требуется наработать репутацию и пройти через множество проверок. Сложные кибератаки теперь доступны в виде товаров, которые можно заказать через Telegram-ботов, не обладая специальными знаниями.
Сложность противодействия таким форумам заключается в их многоуровневой структуре и социальной организации. Новички не имеют доступа ко всем данным, а для получения статуса в элитных разделах требуется время и усилия. Это смещает внимание специалистов по информационной безопасности с технического анализа на изучение социального поведения участников.
Специалисты Positive Technologies исследовали закрытые форумы в даркнете и пришли к выводу, что они стали высокотехнологичными экосистемами с развитой экономикой и сложной системой защиты. Их исследование базируется на данных теневых форумов, информации от правоохранительных органов и мониторинге хактивистских Telegram-каналов. Современные подпольные площадки представляют собой целый теневой рынок услуг, что делает кибератаки более массовыми и доступными.
В отличие от простых форумов вроде phpBB, текущие сообщества создают распределенные системы с многоуровневой архитектурой, которые по уровню безопасности не уступают легальным сервисам. Важно отметить, что эти форумы постоянно эволюционируют, улучшая свои характеристики по принципу естественного отбора. Закрытие одной площадки только приводит к появлению новой, учитывающей ошибки предшественников, что создает своего рода гонку вооружений между киберпреступниками и правоохранительными органами.
Современные площадки представляют собой гибридные системы, отказываясь от стандартных решений и создавая собственные платформы. Например, известный англоязычный форум Dread был разработан специально для работы в сети Tor, что делает его более защищенным от взломов и анализа. Правоохранительные органы сталкиваются с трудностью, так как каждая новая платформа имеет свою уникальную архитектуру.
Форумы в настоящее время работают в нескольких местах одновременно, располагая скрытыми серверами в Tor и обычными сайтами в открытом интернете. При блокировке одного домена пользователи быстро переходят на запасные адреса, которые заранее публикуются в Telegram-каналах. Эта распределенная структура обеспечивает им высокую устойчивость к блокировкам и наблюдениям.
Защита от ботов и сканеров достигла нового уровня. На форумах внедрены сложные капчи, задачи на jаvascript, ограничения на скорость запросов и скрытые метки в HTML-коде для отслеживания копирования информации. При подозрительной активности пользователи блокируются или вынуждены проходить повторную проверку. Это требует от специалистов по кибербезопасности смещения фокуса с технического анализа к изучению поведения участников.
Интересной особенностью этих сообществ является многоуровневая система доступа. Новички могут видеть лишь ограниченные данные, и для получения доступа к закрытым разделам необходимо заручиться рекомендациями старожилов или пройти собеседование. Это создает дополнительные трудности для правоохранительных органов и исследователей, которым необходимо долго вживаться в роль, чтобы получить доступ к закрытым данным.
Экономическая модель этих форумов превратилась в полноценную индустрию. Большинство площадок имеют встроенные системы гарантов для безопасных сделок, внутренние криптовалютные кошельки и автоматизированные платежи. Некоторые форумы предлагают арбитражные услуги и эскроу-сервисы с комиссионными. Биткоин остается основной валютой, однако для крупных сделок все чаще выбирают Monero благодаря его анонимности. Площадки зарабатывают на комиссиях за услуги, продаже VIP-статусов и платном доступе к эксклюзивным разделам, и на крупных форумах внутренние счета пользователей могут содержать значительные суммы, достигающие сотен тысяч долларов в криптовалюте.
Экономика теневых форумов: транзакционные схемы
Опасность представляют сервисные модели, которые создали эти форумы. Доступность комплексных решений, включая эксплойты и аренду ботнетов, позволяет злоумышленникам масштабировать свои атаки с минимальным личным вовлечением. Сложные кибератаки теперь предлагаются как готовый товар, что существенно снижает требования к навыкам исполнителей. Глубокая специализация и автоматизация процессов делают эти угрозы актуальными для компаний всех размеров.
Многие форумы интегрированы с Telegram и имеют своих ботов для автоматизации процессов. С их помощью можно совершать сделки, получать уведомления о новых сообщениях или даже покупать товары, не заходя на сам форум. Это создает целую экосистему, где границы между различными площадками становятся размытыми.
Администраторы строго соблюдают правила безопасности. Они избегают прямого доступа к серверам, используют VPN и Tor, работают через промежуточные компьютеры и остерегаются действий, которые могут раскрыть их личность. Даже малейшая ошибка, как это было с создателем Silk Road, который использовал личную почту, может привести к аресту.
Интересно, что само сообщество служит дополнительным уровнем защиты. Постоянные участники форума быстро замечают странное поведение новичков и могут выявить внедренного агента по манере общения или неуместным вопросам. Случались случаи, когда после ареста администратора известного форума XSS модераторы заподозрили, что площадка перешла под контроль правоохранителей, публично об этом заявили и создали новый форум DamageLib.
Форумы не существуют вечно. Рано или поздно их закрывают правоохранительные органы, взламывают конкуренты или они распадаются из-за внутренних конфликтов. Но сообщества продолжают жить — они мигрируют на новые площадки. Администраторы заранее подготавливают резервные серверы, сохраняют резервные копии баз данных и держат запасные каналы связи. Когда основной сайт закрывается, новый адрес появляется в течение суток, и большая часть пользователей перемещается туда.
Наблюдается новая тенденция — создание временных форумов, которые работают всего несколько месяцев, а затем закрываются по своему желанию. Пока площадка новая, правоохранительные органы не успевают внедриться, а администраторы избегают оставления следов. После закрытия прежняя команда через некоторое время открывает новый форум и приглашает проверенных участников.
Исследователи предполагают, что в будущем форумы станут еще более распределенными и автоматизированными. Ожидается активное использование искусственного интеллекта для модерации и проверки участников, децентрализованные системы хранения данных и интеграция с различными мессенджерами. Элитные сообщества станут еще более закрытыми, а временные форумы — обычным делом.
Основной вывод исследования заключается в том, что подпольные форумы перестали быть хаотичными образованиями. Это динамично развивающиеся платформы со своими правилами, экономикой и социальной структурой. Техническая и организационная устойчивость этих площадок значительно усложняет противодействие им. Понимание механики теневого рынка становится основой для проактивной защиты, способной предугадывать угрозы, а не просто реагировать на инциденты. Специалистам по кибербезопасности необходимо постоянно обновлять свои методы работы и быстро адаптироваться к изменениям в этой динамично развивающейся среде.
