导语:Telegram Channel的便利性可以让威胁攻击者和那些旨在参与网络犯罪的人以更安全和更容易访问的方式进行沟通。
一、简介
暗网是非法活动的蜂巢。从非法枪支和毒品交易到勒索软件即服务程序,买方和卖方可以使用这种媒介交易、交换知识和产品,直到法律的长触手猛扑过来将它们关闭。
不久之前,美国和欧洲执法机构关闭了Hansa Market和Alpha Bay这样的暗网市场,成为头条新闻,并成为这款猫捉老鼠游戏如何运作的最新例子。不过,威胁攻击者转移到新的渠道以逃避当局。很快,他们就使用日益流行的手机应用程序Telegram继续他们的交易。
二、Internet的黑暗面
长期以来黑客论坛一直是受欢迎的平台,也是威胁行为者之间交流的重要手段,因为平台允许他们发布工作机会,推销他们的产品,甚至相互协商。
有时候,一个人不能完成的大型行动和活动需要组建一个团队来合作。其他情况下,出于恶意原因而制作的恶意软件和工具被交易或出售给附属公司,从而创造收入,然而开发人员无需参与攻击本身。黑客论坛中的主题充斥着类似的例子和更多内容,展示了它们在第五代网络威胁领域的重要作用。
然而,在过去的几年中,执法机构对他们面临的挑战有了更好的理解,对这些论坛的掌控程度越来越严格。安全研究人员一直通过他们在这些网站上的活动来追踪数名威胁行为者,并且当局已设法取消了多个论坛。Hansa Market和AlphaBay是这一领域最新和最著名的品牌。
虽然在Clearnet和Darknet中仍然有许多网站基于同一前提运行,但前面的例子表明这些网站如何脆弱。事实上,他们的用户也得出了同样的结论,因为目前正在向更隐秘和易于访问的平台过渡。
三、迁移到Telegram
Telegram是2013年首次推出的加密即时通讯应用程序,在WhatsApp消息传递平台发生服务器崩溃后,用户数量急速增加(短短24小时内有500万新用户)。与WhatsApp类似,Telegram用户可以与个人以及群聊天。然而,除了其他功能之外,它的优势在于其增强的安全功能。因此,它的一些托管聊天组已成为暗网上秘密论坛的重要替代品。
Telegram的托管聊天组,可以用来向无限数量的用户广播消息,并且,虽然可以查看整个消息历史记录,但对公共消息的任何响应都是私人的。这些Channel所提供的自由有助于掩饰恶意目的。威胁行为者开始黑市交易和协商时,都可以享受私人和端到端的加密聊天,而不像在网上论坛中那样暴露线索。如果过去需要采取几个步骤来确保与TOR的匿名连接,那么今天任何一个Telegram用户都可以轻松快速地通过他们的电话轻松加入Channel,并在智能手机上开始接收秘密通知,同时保持身份完全隐藏。
四、TelegramChannel
这些阴暗Channel最繁荣的地区是俄罗斯,已经吸引了成千上万的用户。诸如'Dark Job'、'黑市'这样的例子比比皆是,甚至更多。
突出的俄罗斯Channels
正如名称所暗示的,“DarkJobs”Channel内的信息通常包含颜色标记的黑产。如果在这个Channel发布的工作很危险并且可能会带来法律风险,那么它被标记为“黑色”,而不太威胁的工作被标记为“灰色”或“白色”。
颜色标记信息
Channel不只局限于招聘者和求职者,还包括出售被盗文件或黑客工具的广告。尤其令人担忧的是,Channel获取的便利性以及向那些可能无法进入这些市场的人提供高薪的承诺。
广告文案常用于吸引人们参与这类工作,比如“你是否厌倦了生活在你母亲的地下室?”,“女孩喜欢有钱的家伙”以及其他粗鲁的句子。这些广告提供的快速利润会让Channel成员相信,这是条捷径,而不是艰苦的职业道路。
因此,这也造成了网络犯罪率上升的风险,这些职位不仅公开销售,而且也适用于没有经验的用户,所以现在任何人都可以使用危险工具。
五、员工
最有趣的信息可能是寻找某些公司或银行的员工。威胁行为者可能会利用这些员工获取公众无法获得的内幕信息和敏感数据。这些内部信息可用于个人目的出售,或从公司内部进行网络攻击。这会消除一些安全解决方案的效率。毕竟,有人在“内部”是一个非常强大的工具。就像在现实世界中一样,在网络犯罪的世界里,通常是你所不知道的。
移动运营商的员工受到高度追捧,下面的摘录解释了原因。这些公司的员工可以获取大量的电话号码。其他帖子表明,也可用于收集客户的个人信息和呼叫记录数据。
另一个引人注目的招聘职位是寻找可以访问某些系统的Western Union或Money Gram的员工。据称,员工每天将获得1000美元(!)的收入。
六、黑客工具和服务
“想要一个黑暗的项目:Cryptor运行在从Windows XP到10的所有系统上。绕过顶级AV尤其是Avast和Defender”。
这个信息以及其他许多消息都是一个完美的例子,说明在恶意软件开发方面,没有经验的人也可以通过利用Telegram Channel来运行整个操作。在这种情况下,广告背后的人将整个项目外包出去,只负责付款。
新用户还可以看到促销隐秘挖矿程序的消息,这些售价600卢布的挖矿程序在没有受害者知识的情况下运行交易,甚至有售价1000卢布的可以收集文件、截图和密码的infostealer。这让人想起在暗网中封闭和隐藏的论坛,像其他恶意软件家族一样,用户发布了勒索即服务(Ransomware-as-a-Service)。
七、官方文件
Telegram Channel中的其他非法服务包括伪造法律文件。正如想象的那样,Photoshop专家和自由设计师在这些市场中的需求量很大。
伪造文件包括身份证、护照、银行文件等。其中一个职位的作者甚至声称与俄罗斯交通警察部门有联系,能颁发或更新所有类别的驾驶执照。来自世界各地的护照扫描也可供那些“想要贷款”的人士使用,并且需要文件进行核实。这些交易和其他交易通常会使用第三方(担保人)的服务来确保交易在买方和卖方之间顺利进行,一切都很顺利。
八、全球现象
俄罗斯并不是这些Channel越来越受欢迎的国家。在其他语言中观察到类似的Channel,我们的分析指出这种方法正在成为一种全球趋势。
阿拉伯世界和伊朗的一些Channel,如名为“AmirHack”的伊朗Channel拥有10万以上的用户。然而,这些Channel似乎比俄罗斯同行更关注黑客工具的分发和被盗用账户。下面的屏幕截图显示了两个Channel如何销售RAT面板以及一个入侵Instagram帐户的工具。
九、总结
Telegram Channel的便利性可以让威胁攻击者和那些旨在参与网络犯罪的人以更安全和更容易访问的方式进行沟通。令人遗憾的是,尽管消息应用程序已成为现代生活不可分割的组成部分,并且多年来一直在为确保其用户信息的安全性而得到改善,但它们也被那些躲避监控和法律的人所利用。通过使用这些工具,恶意软件的访问从未如此简单,个人文档和证书可以传播到未知目的地,并且公司可能会受到自己员工的威胁。事实上,即使在所需技能有限的情况下,威胁攻击者的数量也在不断增加,所以组织和个人面临的网络攻击数量也正在不断增长。