零零信安：暗网分析报告——Part 3 BreachForums百足之虫死而不僵

由pompompurin创建的“经典”BreachForums（以下简称BF），这个曾经在暗网中统治的恶梦，在短暂的生涯中——2022年即达到了巅峰，甚至超越了前任霸主RaidForums。在暗网世界的活跃度和访问量上，BF稳坐榜首，其影响力深远而广泛，贯穿所有层级：普通网民、企业、政府，甚至军事。然而，2023年3月15日，这个恶性循环的怪兽由于其所有者Pompompurin被FBI逮捕，而宣告结束——但，谁知这只是暂时的。

BF，这是一个集汇无数底线的地方，充斥着数据窃取、信息交易和恶意软件的传播。这个论坛充分利用了暗网的匿名特性，成为一股巨大的负面力量，不断给全球网络空间造成深重伤害。

政府机关因此受到威胁，经常发现敏感信息被非法获取并在此论坛上出售。企业受损更甚，商业机密泄露，造成的损失几乎无法估计。特别是那些拥有大量用户数据的企业，他们经常发现自己的客户信息在BF上公开或被交易。无论是社交、电子商务还是金融服务，无一幸免。此外，普通网络用户也成为目标——个人密码、健康信息、信用卡详情，这些私人数据在BF上面市，带来了巨大的阴影和恐惧。

这个论坛的存在，其实不仅仅是刺激了犯罪行为，还使全球网络变得紧张和不确定，威胁着数字时代的信任体系。

本期报告将针对“经典”BF进行分析（特别说明，由Baphomet重启的新BF，将在未来做分析），尝试寻找出某些规律和结论。

BF截止被FBI取缔，共发布近5万条情报和近百万篇论坛贴，注册用户量超过25万人。

论坛内容主要分为：常规、泄露、市场三大部分。其中“常规”分论坛中包含：公告、介绍、世界新闻、动漫、礼品、音乐等正常内容；“泄露”分论坛主要包含：游戏泄露、数据库泄露、日志泄露等内容；“市场”分论坛主要包含：一般市场、验证的市场、泄露市场、客户市场、主机/VPS、VPN/代理等内容。“泄露”和“市场”是整个论坛的主要内容。如下示例：

其核心成员和活跃用户均于2022年3-5月注册，平均发布情报数量在数十至数百份不等，如下图所示：

论坛创建者（Owner）ID为：pompompurin，我们可以看到，其于2022年3月4日开放并注册了BF，并于2023年3月15日被FBI逮捕；管理员（Admin）ID为：Baphomet，在BF被取缔后不到3个月，由臭名昭著的黑客组织ShinyHunters进行扶持或合作，重启了新BF项目。

BF在一年时间中成为暗网中最活跃的网站，并非偶然，它除了汇聚大量的黑客和活跃的市场买家以外，还得益于管理者进行了大量和专业的情报整理和发布，如下图所示：

由BF作为认证官方，在数万份情报（包含往年泄露数据）中，整理出842份精选情报，并将其免费发布，共涉及全球约140亿条泄露数据。不得不感慨其敬业度与专业能力。

据零零信安0.zone平台捕获的BF情报进行分析，其中内容包含数据泄露、黑客服务、工具买卖、威胁情报、政治时局和数据买卖等。

0.zone共解析出21247份数据泄露情报，估算总泄露数据量高达200-500TB以上，其中包括各类政府文件、企业机密、工商信息、公民隐私、金融日志、账号密码等数据。

以下为“经典”BF被取缔前，最后一份被捕获的数据泄露售卖情报：

所有数据泄露事件，约有30%左右无法判定其归属地，其大部分为账号密码等个人隐私数据、混合数据、无法确定归属国的网站泄露数据，以及波及多地区（或全球）数据。

在可判定归属国的数据泄露事件中，全球共有超过100个国家遭受波及，受到影响最大的国家依次为：美国、俄罗斯、中国、印尼、印度、白俄罗斯、法国、巴西、英国、德国、土耳其、新西兰、澳大利亚、意大利、墨西哥、日本、乌克兰、西班牙、加拿大、马来西亚、伊拉克、波兰、泰国、阿根廷、以色列等。

TOP10排名和占比如下图所示：

共有超过400名黑客泄露和贩卖过我国数据，其中依据本报告评价，按照对我国影响程度排名TOP10的主要人员或组织包括：

FBI积极侦破和取缔BF，一方面是因其对全球网络信任的破坏，另一方面也源于其对美国政府、企业、公民等各方面的数据泄露。其中包括：联邦政府、纽约政府、美国航空航天局、美国卫生与公众服务部、美国国会数据等：

BF对于各个国家的危害远不止于此，他们宣称出售北约数据，他们宣称2022年为东南亚政府“开源”年，等等不一枚举。

值得注意的是，在“经典”BF被取缔后不久，新BF已经重启，并在短短一个多月时间内已重新汇聚了上万名用户，数千条情报以及数万篇论坛贴。全球充满恶意的人并没有减少，随着我国数字化转型的深入，数据安全工作与网络对抗任重而道远。

预告：Part 4 商业黑客组织，“流星街”的原住民们，敬请期待。