Situace okolo kybernetické války houstne a řada společností nejen v České republice prošla útoky typu znepřístupnění služby (Denial-of-Service). Tyto útoky však mají primárně dopad na možnost čerpání služeb a často se společnost z takového útoku dostane v řádu hodin, či dnů. V rámci kybernetické války existuje však celá řada dalších možností, jak mohou aktéři hrozeb realizovat své plány kybernetického útoku i bez větších znalostí. Někdy mohou i velmi snadno monetizovat svou kriminální činnost v rámci kybernetického prostoru. Jaké další služby, vyjma Denial-of-Service, je možné v podsvětí internetu nakoupit? Jak lze ověřit prodávajícího, zda není podvodník? Jak ověřit kupujícího, že není z řad orgánů činných v trestním řízení?
Hacking DarkWeb Telegram TOR DarkMarket qTOX RaaS
Většina obchodní činnosti probíhá ve skutečnosti jinde než na internetových tržištích v podsvětí internetu. Prodejci většinou inzerují na běžných internetových diskuzních fórech (viz Obr. 8), kde inzerenti získávají hodnocení od kupujících a naopak. Pokud prodávající nemá dostatečně pozitivní hodnocení, nikdo s ním nebude obchodovat. Případně se také ověřuje, jak dlouho přístup na internetové diskuzi existuje a zda se za prodejce někdo zaručí, že je spolehlivý ve svém prodeji. Internetové diskuzní fórum je tedy jedna z cest, jak získat dobrou reputaci, a proto si každý chrání své identity na těchto fórech a snaží se kontinuálně přispívat. Některá internetová fóra pomohou kupujícím zpřístupnit i obchody, kam se nelze běžně registrovat, případně je potřeba zaplatit opravdu nemalý poplatek za vstup (od 500 USD do 5 000 USD v závislosti na typu obsahu). Pokud chce kupující nakoupit službu typu Botnet, musí se pak ověřit právě svým profilem a často jde o přímou diskuzi s prodávajícím (samozřejmě se nejedná o videohovor). Prodávající se snaží ověřit, zda aktér není orgánem činným v trestním řízení nebo není ze zpravodajských služeb, tzv. Intelligence Community (FBI, CIA, DNI atd.). Pokud by si exploit koupila taková složka nebo někdo z výzkumníků, pak je velmi pravděpodobné, že dojde k odhalení zranitelnosti a prodávající tratí potenciální zákazníky. Někteří prodejci dokonce obchodují jen s lidmi stejné národnosti (zejména Čína, Rusko, Severní Korea atd.) a kupující musí přesvědčit prodávajícího, že je z této země.
Průběh obchodu je pak dosti různý a prodávající přesměruje kupujícího na nějakou z „bezpečných“ komunikačních platforem. Hojně je využívána chatovací služba qTOX (viz Obr. 1) nebo BitMessage, ale výjimkou není ani prodej přes instant messaging službu Telegram. Pro každý obchod je zřízen unikátní účet v dané službě, který je následně zahozen, aby nebylo možné prodejce propojit s počtem prodejů nebo s kupujícími. Jakmile dojde k verifikaci a domluvě na ceně za službu, tak prodejce vygeneruje unikátní peněženku, tzv. CryptoWallet, na kterou kupující převede potřebné peníze. Kupující však musí věřit, že mu prodejce službu dodá, jak slíbil. Po úspěšném dokončení transferu je požadována zpětná vazba od kupujícího i prodejce, tedy hodnocení na některém z internetových diskuzních fór. Pokud tak kupující neučiní, pak dostane od prodejce negativní hodnocení a naopak, čímž si znemožní další obchodování se svou identitou.
Obr. 1: Komunikační platforma hojně využívaná mezi aktéry hrozeb
Obdobně to funguje i u Ransomware skupin, kde je verifikační proces ještě náročnější. Pokud chce kupující přístupy do takového ransomwaru, a to i za předpokladu, že chce být najat v rámci afilačního programu, pak musí zašifrovat společnost, která je povinna uhradit výkupné. Po zaplacení dojde k tomu, že je kupující nebo člen afilačního programu ověřen a získává přístup do Botnetu skupiny, který umožní správu nakažených zařízení.
Aktéři hrozeb se mohou snažit kupovat i celé služby Ransomware- as-a-Service (RaaS). RaaS je služba, která kombinuje Remote Administration Tool (RAT) a Ransomware, resp. Botnet portal a Ransomware. Nejznámějším v podsvětí je asi RANION Ransomware (viz Obr. 2). Toto je však velmi povedený podvod. Inzerent má pouze vystavenu internetovou stránku v síti TOR, ale žádný přístup neposkytne, a to ani po několika urgencích. Inzerent má odkazy přes několik černých trhů v podsvětí internetu (Black marketů).
Obr. 2: RANION Ransomware, které lze údajně v podsvětí internetu pořídit
Obecně platí, že v podsvětí internetu bude aktér hrozby ransomware kupovat jen velmi těžko, a pokud ho někdo doručí, pak se bude jednat o RaaS, který je volně dostupný na GitHub, případně se jedná o uniklé zdrojové kódy jiného ransomwaru. Existují však možnosti registrace do RaaS, ale jsou hodně skryté v podsvětí internetu. Mezi takové lze zařadit např. Janus Ransomware (viz Obr. 3).
Obr. 3: JANUS Ransomware
Skutečný prodej a vývoj probíhá v rámci jednoho z nejznámějších diskuzních fór ransomware skupin, kterým je RAMP (viz Obr. 4). Do tohoto fóra musí schválit přístup tvůrce nebo admin, který se v posledních měsících odmlčel (únor 2022). Spekuluje se, že byl jedním z kooperujících v rámci ransomware skupiny REvil. Správcovství však převzali členové a fórum i nadále funguje. Ransomware skupiny zde shánějí vývojáře, případně uzavírají afilační programy a osoba, která je na tomto fóru, má o něco málo vyšší reputaci ve skupinách podsvětí internetu.
Obr. 4: RAMP Forum. Forum nejen o ransomware
Jednou z posledních možností nákupu je pořízení hotové služby, resp. nákup na platformě, která je k obchodování skutečně určena. Do těchto služeb musí nakupující získat pozvánku od jiného člena, který v daném obchodě již nakupuje, nebo zaplatit poplatek. Zde opět platí skutečnost, že když je možné udělat registraci bez ověření, pak se u většiny případů jedná o podvod. Mezi asi nejznámější portál bychom mohli zařadit Genesis Market (viz Obr. 5), který ale podvodem není. Zde musí kupující získat pozvánku, která ho vpustí do portálu, kde může kupovat tzv. boty (kompromitované digitální identity lidí).
Obr. 5: Pohled na identity v Genesis Marketu
Po přihlášení si nakupující dobije kredit, který má nějaký minimální objem, a pak může nakupovat jako v běžném e-shopu. Aby byly nákupy skryté proti výzkumníkům a nebyly preferovány nákupy jen korporátních účtů, jsou skutečné identity skryté za tzv. Fingerprintem, tedy hashem prodávané identity, která se odkryje až ve chvíli, kdy provede nakupující transfer. V rámci Genesis Marketu je tak možné kupovat identitu na základě služeb, které byly od identity získány prodávajícím, resp. inzerentem. Cena se zde pohybuje řádově mezi 0,5–300 USD za jednu digitální identitu. Po nákupu získá nakupující přístupy v čitelné podobě a dále pak i cookies z internetových prohlížečů, které lze taktéž použít místo přihlášení do určitého systému (např. k obejití vícefaktorové autentizace). Důležité je si uvědomit, že cookies mají určitou dobu platnosti, a proto k jejich zneužití dochází relativně rychle od nákupu. Identity jsou pravidelně občerstvovány, a proto kupující musí sledovat, kdy došlo k poslední aktualizaci (viz Obr. 6) a to ještě před vlastním nákupem.
Obr. 6: Ukázka z jednoho z profilů a jeho aktualizace na Genesis Marketu
Vedle těchto relativně známých portálů máme i ty méně známé, např. Carding portály, tedy portály, kde mohou aktéři hrozeb koupit kreditní karty s penězi, ale i mezi nimi se najdou podvodné služby. Mezi podvodné lze zařadit např. anon-bit101 (viz Obr. 7) a mezi validní by bylo možné zařadit službu Benumb (viz Obr. 8), kde se cena za karty pohybuje řádově v desítkách USD. K tomu se pak přidávají služby pro přístupy např. do DNS, k cPanelu, do RDP nebo na SSH, které lze na některých portálech také zakoupit, a to v ceně od 1 do 10 USD.
Obr. 7: Carding portál anon-bin101
Obr. 8: Carding portál Benumb
Příkladem může být portál dříve pojmenovaný jako ODUX (viz Obr. 9), který dnes nefunguje a byl nahrazen blíže nespecifikovanou alternativou.
Obr. 9: Ukázka portálu Odux Shop
V rámci svých článků jsem se vám pokusil vysvětlit, jak nákup a prodej v podsvětí internetu funguje a že nakoupit služby není tak jednoduché, jak může být na internetu často proklamováno. Je nutné si uvědomit, že nákup vyžaduje značnou znalost celého procesu obchodu a trvalé vystavování se hrozbě překročení zákona. Pamatujte na to, že i neoprávněné držení uživatelských jmen a hesel může být překročením zákona č. 40/2009 Sb. trestní zákoník, a to konkrétně § 231 odstavec 1b. Některé služby je však možné skutečně za pár dolarů pořídit, ale zpravidla se bude jednat o podvod, o služby, které byly již několikrát zneužity k podvodům, nebo bude mít cesta k takovým službám mnohem více interních nákladů z pohledu času a výzkumu než služba vlastní.
Důležité je říci, že se může stát, že neznalý kupující naletí nejen na podvod, kterých je v podsvětí více než dost, ale může být i pachatelem trestného činu, který zakoupil služby od orgánů činných v trestním řízení. Skuteční aktéři hrozeb však nevyužívají nákupy na tržištích v podsvětí internetu, protože vědí, že to je riskantní. Volí raději jiné cesty. Například staví své vlastní botnety, které pak slouží pro útoky hrubou silou, lámání hesel, spouštění exploitů i spouštění podvodných emailových kampaní a mnoho dalšího.
Rád bych také podotkl, že výše uvedené informace slouží pouze k informativním účelům a nejsou určeny jako návod k páchání trestné činnosti. Informace získané pro tento článek nepoškodily žádný subjekt a veškeré mnou prováděné aktivity byly provedeny pouze v rámci výzkumné a edukační činnosti. Pamatujte, že nákup služeb v podsvětí internetu může být a bude považován za trestný čin, a proto je vhodné se těmto typům nákupů vyhýbat.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.