Международная операция правоохранительных органов под кодовым названием Leak привела к закрытию одного из заметных киберпреступных форумов — LeakBase, действовавшего с 2021 года и объединявшего более 142 000 зарегистрированных участников. Важнейский результат спецоперации — получение полной базы данных ресурса, что открывает возможности для масштабных следственных действий против участников киберпреступного сообщества.
Международная операция Leak: детали изъятия LeakBase
3 и 4 марта ФБР при поддержке правоохранительных органов из 14 стран провело скоординированную операцию по захвату инфраструктуры LeakBase. В рамках действий были конфискованы два домена форума, а также получен полный дамп базы данных платформы, включающий аккаунты пользователей, публичные и приватные сообщения, а также IP-логи и прочие технические данные.
По доступной информации, в базе форума находилось порядка 215 000 приватных сообщений и около 32 000 публичных постов. На изъятом домене leakbase[.]la теперь размещён стандартный для таких случаев баннер ФБР с уведомлением о том, что вся информация сохранена и будет использоваться как доказательная база в дальнейших расследованиях. Неймсерверы ресурса переведены на ns1.fbi.seized.gov и ns2.fbi.seized.gov — типичные DNS-серверы, применяемые при захвате доменов в рамках уголовных дел о киберпреступности.
Глобальные обыски и допросы: фокус на активных участниках
Операция не ограничилась отключением онлайн-инфраструктуры. Правоохранители провели обыски, задержания и процессуальные «беседы» с фигурантами в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании. Всего по миру прошло около 100 оперативных мероприятий, при этом отдельные меры были приняты в отношении 37 наиболее активных пользователей форума, которые, по оценке следствия, играли ключевую роль в функционировании площадки.
Получение полной базы данных LeakBase кардинально меняет баланс сил между правоохранителями и киберпреступниками. Аккаунты, личные сообщения, платежная история, репутационные метки и IP-логи позволяют аналитикам выстраивать сетевой граф связей, идентифицировать организаторов схем, продавцов и постоянных клиентов. Подобный подход уже применялся в делах против форумов RaidForums, Breached/BreachForums и маркетплейса Genesis Market, когда именно захваченная БД стала основой для сотен последующих расследований.
Как работал хакерский форум LeakBase и чем он был опасен
LeakBase появился как проект, связанный с хак-группой ARES, и начал активно расти после закрытия известного форума Breached. Регистрация на площадке была бесплатной, а пользователям предлагался доступ к широкому спектру киберпреступных сервисов: базы украденных данных, маркетплейс для продажи утечек и эксплоитов, эскроу-сервис для безопасного расчёта между злоумышленниками, а также тематические разделы по программированию, хакингу, социальной инженерии, криптографии и OPSEC (операционная безопасность).
Europol отмечает, что на форуме действовали кредитная система и система рейтинга участников. Они позволяли формировать доверие между анонимными аккаунтами, снижать риски мошенничества внутри сообщества и стимулировать активность постоянных поставщиков данных и вредоносных инструментов. Такие механизмы репутации давно стали стандартом для киберпреступных маркетплейсов, фактически имитируя функциональность легальных ecommerce-платформ.
Отдельного внимания заслуживает внутреннее правило LeakBase, запрещавшее продажу или публикацию данных, связанных с Россией. По мнению правоохранителей, подобные ограничения часто указывают на географическое или юрисдикционное происхождение операторов ресурса, которые таким образом минимизируют риск интереса со стороны местных силовых структур.
Последствия для киберпреступников и уроки для кибербезопасности
Риски деанонимизации для участников форумов
Для участников LeakBase захват базы данных означает высокий риск деанонимизации. Даже при использовании VPN, прокси и анонимных аккаунтов многие злоумышленники допускают ошибки OPSEC: авторизуются с рабочих или домашних устройств, повторно используют логины и пароли, оставляют идентифицирующие детали в переписке. В совокупности с данными от провайдеров и платёжных сервисов это значительно упрощает работу следствия.
Влияние на тёмный рынок и доверие внутри сообществ
Закрытие LeakBase вписывается в устойчивый тренд: правоохранители больше не ограничиваются разовыми ударами по инфраструктуре, а системно разрушают сообщества и цепочки доверия. Каждое подобное изъятие базы данных подрывает уверенность злоумышленников в анонимности, усложняет поиск надёжных партнёров и снижает общий объём операций на теневом рынке утечек. Аналогичный эффект наблюдался после ликвидации Breached и других крупных форумов — часть участников временно «уходит в тень», что снижает интенсивность атак на организации и пользователей.
Для компаний и обычных пользователей эта история — наглядное напоминание, что компрометация данных на одном ресурсе может годами циркулировать по множеству теневых площадок. Минимизировать последствия помогают базовые меры: строгая политика паролей и отказ от их повторного использования, многофакторная аутентификация, регулярный мониторинг утечек (включая даркнет-форумы через специализированные сервисы), сегментация сетей и обучение сотрудников современным методам социальной инженерии.
Операция Leak демонстрирует, что международное сотрудничество правоохранительных органов становится всё более эффективным, а крупные киберпреступные форумы — всё менее безопасным убежищем для злоумышленников. Организациям стоит рассматривать подобные события как возможность усилить собственные программы кибербезопасности: пересмотреть процессы реагирования на инциденты, внедрить мониторинг утечек, обновить политики доступа и инвестировать в повышение осведомлённости сотрудников. Чем лучше вы понимаете, как устроены такие форумы, тем выше шансы не оказаться в их базах данных — ни как жертва, ни как неосмотрительный участник.
