Maza, le plus élitiste des forums de cybercriminels russes, s’est fait entièrement pirater
Le forum de cybercriminalité d’élite Maza, alias MFclub, a lui-même été hacké par des pirates informatiques qui ont pris le contrôle total du site, l’ont supprimé puis l’ont défiguré, selon une nouveau rapport de la société de renseignements sur les risques Flashpoint. Le forum en langue russe, qui était à l’origine connu sous le nom de Mazafaka, a servi des milliers de cybercriminels depuis son lancement en 2003. Maza a été compromis par des attaquants inconnus, ce qui fait de lui, le quatrième forum à avoir été piraté depuis le début de l’année.
Les attaquants ont pris le contrôle total du site, l’ont supprimé puis l’ont défiguré. La page d’accueil affiche désormais un document contenant les données des près de 3 000 utilisateurs du forum, avec un message d’avertissement : « Vos données ont fuité, ce forum a été piraté ». « L’annonce était accompagnée d’un fichier PDF contenant prétendument une partie des données des utilisateurs du forum. Le fichier comprenait plus de 3 000 lignes, contenant des noms d’utilisateurs, des hachages de mots de passe partiellement obscurcis, des adresses e-mail et d’autres coordonnées », a déclaré la société de cybersécurité Intel 471.
Maza est la dernière victime d’une étrange série d’attaques contre les forums de hackeurs et qui vise principalement les forums russophones. Maza est depuis longtemps une destination pour toutes sortes d’activités criminelles, y compris la distribution de logiciels malveillants, le blanchiment d’argent, la vente d’informations volées sur les cartes de crédit et beaucoup d’autres mauvais comportements. Le forum est considéré comme “d’élite” et difficile à rejoindre. Dans le passé, il a été un repaire pour certains des cybercriminels les plus prolifiques du monde. On y entre seulement après un vote des membres en place du forum. Un système de cooptation élitiste, qui explique en partie pourquoi le forum, bien qu’ancien, a relativement peu d’inscrits.
Ce développement suit de près les violations réussies d’autres forums depuis le début de l’année. Notamment ceux de Verified, de Exploit (qui sont des forums en ligne en langue russe), egalement celui de Crdclub.
Verified aurait été violé le 20 janvier 2021, l’acteur derrière l’attaque revendiquant l’accès à l’ensemble de la base de données sur un autre forum populaire appelé Raid Forums, outre le transfert de 150 000 dollars de cryptocurrences du portefeuille de bitcoin de Verified vers le leur. Le forum a cependant organisé un retour le mois dernier, le 18 février, avec un changement de propriétaire, selon Flashpoint.
Puis, en février, un forum de cybercriminalité connu sous le nom de Crdclub a révélé une attaque qui a abouti à la compromission d’un compte d’administrateur dans le but d’escroquer ses membres. Aucune autre information personnelle ne semble avoir été pillée. « En faisant cela, l’acteur derrière l’attaque a été capable d’attirer les clients du forum à utiliser un service de transfert d’argent qui aurait été garanti par les administrateurs du forum. C’était un mensonge, et a entraîné le détournement d’une quantité inconnue d’argent du forum », a déclaré Intel 471.
Enfin, au début de la semaine dernière, le forum Exploit cybercrime a subi une attaque qui a impliqué une compromission apparente d’un serveur proxy utilisé pour protéger le forum des attaques par déni de service distribué (DDoS).
Les détails sont flous quant aux auteurs de ces attaques, les membres du forum spéculant sur le fait qu’il pourrait s’agir du travail d’une agence de renseignement gouvernementale, tout en s’inquiétant de la possibilité que leurs identités réelles soient exposées à la suite de ces fuites.
Les chercheurs de Flashpoint ont noté que les phrases en russe sur la page de notification du forum Maza ont peut-être été traduites à l’aide d’un traducteur en ligne, mais ils ont ajouté qu’il n’est pas clair si cela implique l’implication d’un acteur ne parlant pas russe ou si cela a été délibérément utilisé pour induire en erreur l’attribution. « Bien qu’Intel 471 n’ait pas connaissance de quiconque revendiquant la responsabilité des violations, celui qui est derrière les actions a indirectement donné un avantage aux chercheurs. Toute information mise au jour grâce aux violations aide à lutter contre ces criminels, car elle donne une visibilité supplémentaire aux équipes de sécurité qui traquent les acteurs qui peuplent ces forums », a conclu la société.
Certains utilisateurs du site Exploit ont alternativement émis l’hypothèse que les démantèlements n’étaient pas le résultat d’un gang de hackeurs rival, mais plutôt d’une action des forces de l’ordre. Un utilisateur du dark web a émis une théorie : « Seuls les services de renseignements ou les personnes qui savent où se trouvent les serveurs peuvent réaliser ce genre de choses… Trois forums en un mois, c’est juste bizarre. Je ne pense pas que c’était des pirates informatiques ordinaires. Quelqu’un est en train de ruiner délibérément les forums ».
Le rapport de Flashpoint montre également que les discussions sur les attaques ont potentiellement été le résultat d’une intervention du gouvernement. Si les attaques sont une tactique policière, c’est une tactique assez récente : les acteurs d’Exploit constatent également une augmentation des attaques au cours des derniers mois (tentatives de DDoS d’Exploit, compromis vérifiés, et maintenant Maza), et pensent que les attaquants pourraient potentiellement être des initiés du forum ou des forces de l’ordre. Enfin, les utilisateurs d’Exploit notent que si les attaquants sont des forces de l’ordre, il s’agit d’une nouvelle tactique pour mettre un terme à l’activité cybercriminelle et dégrader la confiance entre les forums.
Flashpoint a déclaré qu’il « surveille activement les discussions cybercriminelles de Maza dans tout l’écosystème des forums cybercriminels en commentant les récentes perturbations de nombreux services et communautés d’élite ». Ce dernier incident n’est pas la première fois que Maza est piraté. Le 18 février 2011, les données de plus de 2 000 utilisateurs cybercriminels, ainsi que toute leur correspondance sur le forum, ont été exposées.
source : developez