Міжнародна спецоперація під кодовою назвою Leak призвела до ліквідації одного з помітних хакерських форумів — LeakBase, що працював з 2021 року та налічував понад 142 000 зареєстрованих акаунтів. Ключовим результатом стало вилучення повної бази даних ресурсу, що відкриває правоохоронцям можливість масштабної деанонімізації учасників кіберзлочинного середовища.
Міжнародна операція Leak: захоплення інфраструктури форуму LeakBase
3–4 березня ФБР за участі партнерів з 14 країн провело скоординовану операцію із захоплення інфраструктури LeakBase. У ході дій було конфісковано два домени форуму та отримано повний дамп його бази даних, що включає:
— облікові записи користувачів;
— публічні пости та близько 215 000 приватних повідомлень;
— приблизно 32 000 публічних дописів;
— IP-логи, технічні метадані та іншу сервісну інформацію.
На одному з вилучених доменів leakbase[.]la зараз розміщений стандартний банер ФБР із повідомленням про збереження всіх даних для використання як доказів у кримінальних провадженнях. DNS-записи ресурсу переведено на ns1.fbi.seized.gov та ns2.fbi.seized.gov — типові неймсервери, що застосовуються у справах проти кіберзлочинних платформ.
Сотні обшуків та пріоритетні цілі серед учасників LeakBase
Операція Leak не обмежилася технічним захопленням доменів. Правоохоронці провели обшуки, затримання та процесуальні дії в США, Австралії, Бельгії, Польщі, Португалії, Румунії, Іспанії та Великій Британії. Загалом у світі було реалізовано близько 100 оперативних заходів.
Окремий фокус зроблено на 37 найбільш активних користувачах форуму. За оцінкою слідства, саме вони забезпечували ключову інфраструктуру, модерування, продаж великомасштабних витоків та підтримку «рішень під ключ» для інших зловмисників.
Отримання повної БД дає змогу побудувати детальний «граф зв’язків»: зіставити акаунти, історію операцій, репутацію, платіжні сліди та IP-логування. Подібний підхід уже застосовувався в операціях проти RaidForums, Breached/BreachForums та Genesis Market, де саме вилучені бази стали основою для сотень подальших справ.
Як працював хакерський форум LeakBase і чому він був небезпечний
LeakBase спочатку позиціонувався як майданчик, пов’язаний із хак-групою ARES, і почав активно зростати після закриття відомого форуму Breached. Реєстрація була безкоштовною, а учасникам пропонували:
— продаж і обмін масивами вкрадених даних (облікові записи, фінансова інформація, корпоративні бази);
— маркетплейс для витоків, експлойтів та шкідливого ПЗ;
— ескроу-сервіс для безпечних розрахунків між зловмисниками;
— розділи з програмування, хакінгу, соціальної інженерії, криптографії та OPSEC (операційної безпеки).
За даними Europol, на форумі діяли кредитна система та рейтинг учасників, які зменшували ризики внутрішнього шахрайства та формували довіру між анонімними акаунтами. Це фактично відтворювало моделі легальних e-commerce-платформ, але застосовувалося для торгівлі вкраденими даними та кіберзлочинними послугами.
Показовою була й внутрішня політика заборони на продаж чи публікацію даних, пов’язаних з Росією. Такі обмеження часто свідчать про географічне або юридичне походження операторів, які намагаються мінімізувати ризики інтересу з боку місцевих силових структур.
Ризики деанонімізації для кіберзлочинців та наслідки для даркнет-ринку
OPSEC-помилки та вразливість анонімних акаунтів
Для учасників LeakBase вилучення БД означає суттєве зростання ризику деанонімізації. Навіть при використанні VPN, проксі та псевдонімів чимало користувачів допускають критичні помилки OPSEC: входять із робочих чи домашніх пристроїв, повторно використовують логіни та паролі, залишають особисті деталі в переписці.
У поєднанні з інформацією від провайдерів, платіжних сервісів та логами інших платформ це створює повноцінний набір атрибутів, достатній для встановлення реальної особи, її ролі в схемах і кола контактів.
Руйнування довіри всередині кіберзлочинних спільнот
Закриття LeakBase продовжує тенденцію, коли правоохоронці цілеспрямовано б’ють не лише по серверній інфраструктурі, а й по соціальній тканині спільнот. Кожне вилучення бази даних підриває віру зловмисників в анонімність, ускладнює пошук «надійних» партнерів та зменшує загальний обсяг операцій на ринку витоків даних.
Подібний ефект уже спостерігався після ліквідації Breached, RaidForums та інших великих майданчиків: частина учасників тимчасово знижує активність або зовсім покидає даркнет-сцени, що прямо впливає на зменшення кількості атак на бізнес і користувачів.
Уроки операції Leak для бізнесу та користувачів
Історія з LeakBase демонструє, що компрометація даних — це багаторічна проблема: один витік може роками циркулювати по десятках даркнет-форумів і закритих каналів. Знизити наслідки допомагають базові, але системні заходи кібербезпеки:
— жорстка політика паролів і повна відмова від їх повторного використання;
— обов’язкова багатофакторна автентифікація для критичних сервісів;
— регулярний моніторинг витоків, включно з даркнет-форумами (через спеціалізовані сервіси та провайдерів Threat Intelligence);
— сегментація мереж і принцип мінімальних привілеїв для доступу до систем;
— навчання співробітників сучасним методам фішингу та соціальної інженерії.
Операція Leak наочно показує: міжнародна взаємодія правоохоронців стає ефективнішою, а великі хакерські форуми — дедалі менш безпечним притулком для кіберзлочинців. Для організацій це слушний момент переглянути власні програми кіберзахисту: оновити плани реагування на інциденти, впровадити моніторинг витоків, посилити контроль доступу та інвестувати в підвищення обізнаності персоналу. Чим краще ви розумієте, як працюють такі форуми, тим вищі шанси не опинитися в їхніх базах даних — ані як жертва, ані як необережний «учасник» через скомпрометовані облікові записи.
