Russisches Hackerforum Maza wurde gehackt

Ich bin bereits vor einigen Tagen auf die Information von Flashpoint gestoßen, nach denen das russischsprachige Hackerforum Maza selbst gehackt wurde. Es sind wohl Anmeldedaten von Benutzern in anderen Foren veröffentlicht wurden.


Anzeige

Sicherheitsanbieter Flashpoint hat das Ganze Anfang März in diesem Artikel veröffentlicht. Maza ist bereits seit 2003 als russischsprachiges Hackerforum in Betrieb. Das Forum hatte einen stark eingeschränkten Mitgliederzugang, der nur auf Einladung ermöglicht wurde und kostenpflichtig war. Im Forum tauschten sich einige bekannte russischsprachige Cyberkriminelle und Finanzbetrüger über ihre Operationen aus. Viele dieser Akteure begannen ihre jeweiligen Cyberkriminalitätsaktivitäten bereits Mitte bis Ende der 1990er Jahre.

Forum selbst gehackt

Nun ist Flashpoint aufgefallen, dass das Forum durch einen unbekannten Angreifer gehackt wurde. Über die Angreifer, die Maza erfolgreich kompromittiert haben, ist zur Zeit wenig bekannt. Nach der erfolgreichen Übernahme von Maza posteten die unbekannten Angreifer eine Warnmeldung an die Forumsmitglieder, die lautete: "Ihre Daten sind geleakt worden" und "Dieses Forum wurde gehackt".

Die Flashpoint-Analysten stellen fest, dass die russischen Sätze auf der Warnseite wahrscheinlich mit einem Online-Übersetzer übersetzt wurden. Es ist unklar, ob diese automatische Übersetzung darauf hindeutet, dass ein nicht russischsprachiger Akteur verantwortlich ist, oder ob dieser Dienst als Ablenkungsmanöver genutzt wurde.

Fetter Hack, Details bleiben unklar

Den Analysten von Flashpoint gelang es, sich die vermeintlich geleakten Daten erfolgreich zu beschaffen. Die kompromittierten Daten scheinen zwar umfangreich zu sein. Aber sowohl die die Passwörter als auch die meisten anderen Datenfelder im Dump sind gehasht oder wurden verschleiert. Die im Dump enthalten Maza-Daten umfassen Folgendes:


Anzeige

Benutzer-ID
Benutzername
E-Mail
Passwort (gehasht und verschlüsselt)
Crt_dateiname
crt_pass
Icq (wenn verfügbar)
Aim (wenn verfügbar)
Yahoo (wenn verfügbar)
Msn (wenn verfügbar)
Skype (wenn verfügbar)

Dieser Hack scheint für erhebliche Unsicherheit in der russischsprachigen Szene der Cyberkriminellen zu sorgen. Flashpoint beobachtet aktiv die Diskussionen der Cyberkriminellen über Maza im gesamten Ökosystem der Cyberkriminellen-Foren. Bedrängte Cyberkriminelle überlegen sich Optionen und Ausstiegsstrategien, und kommentiert die jüngsten Unterbrechungen vieler Elite-Dienste und Communities.

Benutzer des ebenfalls russischsprachigen Exploit-Forums diskutieren jetzt darüber, sich nicht mehr per E-Mail in Foren anzumelden, da die jüngsten Hacks  die Aufdeckung ihrer Online-Aktivitäten erhöht haben könnten. Andere behaupten, dass die von den Angreifern geleakte Datenbank entweder alt oder unvollständig ist. Jedenfalls ist der jüngste Anstieg der Angriffe auf russische Cybercrime-Foren für Cyberkriminelle besonders besorgniserregend.

Exploit-Forenmitglieder bemerken auch einen Anstieg der Angriffe in den letzten Monaten (versuchter DDoS auf Exploit, verifizierte Kompromittierung und jetzt Maza). Einige Cyberkriminelle denken, dass die Angreifer möglicherweise Foren-Insider oder Strafverfolger sein könnten. Exploit-Benutzer merken an, falls die Angreifer Strafverfolgungsbehörden waren, dies eine neue Taktik ist, um cyberkriminelle Aktivitäten zu unterbinden und das Vertrauen in Foren zu schwächen. Ein Benutzer warnte andere Benutzer, vorsichtig mit registrierten E-Mails über mehrere Plattformen hinweg zu sein.

Die Nachricht über den Maza-Angriff folgt auf einen erfolgreichen Einbruch in das etablierte russische Forum Verified am 20. Januar 2021. Weniger als einen Monat später, am 18. Februar 2021, verkündeten die neuen Verified-Admins die dauerhafte Eigentümerschaft und begannen mit der Deanonymisierung der bisherigen Betreiber, bekannt als "INC", "VR_Support" und "TechAdmin". Die neuen Admins wiesen darauf hin, dass die vorherigen Betreiber die IP-Adressen jedes Verified-Benutzers bei ihrem Eintritt in das Forum aufgezeichnet habe. Das führte zu einer Sammlung von insgesamt 3.801.697 IP-Adressen.

Maza wurde schon einmal am 18. Februar 2011 gehackt, wobei die Daten von mehr als 2.000 Nutzern zusammen mit der gesamten Foren-Korrespondenz von Cyberkriminellen kompromittiert wurden. Kurz nach diesem Maza-Hack im Jahr 2011 wurde ein weiterer Angriff auf das russische Cybercrime-Forum DirectConnection durchgeführt, dessen Administrator der berühmte "k0pa", Aleksei Burkov, war. Interessant ist aus, dass der oben erwähnte Admin mit dem Namen INC auch ein Maza-Moderator war. Die "goldenen Zeiten", wo die Hacker unbehelligt unter sich waren, scheinen auch in dieser Szene vorbei.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Russisches Hackerforum Maza wurde gehackt

  1. lpps sagt:

    Herrlich, sehr schöne Meldung. Das gute alte Karma schlägt zu.

  2. 1ST1 sagt:

    Ich finde das nicht besorgniserregend. Hack the hackers, find ich gut! Da erwischt es endlich mal die Richtigen. Leider erwischt es wohl eher nur die kleineren Fische. Die großen (mutmaßlich staatlichen) Kaliber wie die Solarwinds-, Exchangehacker oder Emotet-Enwickler werden sich da sicher eher nicht tummeln.

  3. weiza sagt:

    "see how the turntables"

  4. Michelle Kalke sagt:

    Wow "hack" sehr toll… und was hat es jetzt gebracht? Überhaupt nichts, keinerlei relevante Daten wurden enteignet. Im Grunde hat man damit nichts erreicht bzgl. der Datenenteignung.

    Und die Kommentare hier… ohh man, wenigstens unterhaltsam :D

    • koos sagt:

      Hier gehts doch nicht um irgendeine "Datenenteignung". Es geht viel mehr darum, wie Herr Born schon geschrieben hat, ein bisschen Panik in der Szene zu verbreiten. Das die Leute damit nicht überführt werden können etc. sollte jedem Idioten klar sein. Von daher, danke für diesen absolut sinnfreien Kommentar ihrerseits, ist wirklich sehr unterhaltsam.

      • Michelle Kalke sagt:

        Panikmache funktioniert so nicht, keiner, der sich auskennt ist ein DAU und DAUs sind in solchen Szenen kaum bis gar nicht vertreten (grundsätzlich). Dementsprechend war der beschriebene Angriff Zeitverschwendung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.