Diễn đàn hacker lớn nhất thế giới "đột nhiên" ngừng hoạt động, Nga có ra tay?

Raidforums.com là một trong những diễn đàn hack clearnet lớn nhất thế giới. Nó cung cấp cơ sở dữ liệu bị đánh cắp, thông tin đăng nhập, nội dung nhạy cảm và các công cụ hack để tải xuống miễn phí. Nhưng giờ đây nó bị thu giữ tên miền và không thể truy cập.

Raidforums thành lập năm 2015, được đánh giá là một trong những diễn đàn lớn nhất của giới hacker "mũ đen". Diễn đàn này được nhiều hacker sử dụng để chia sẻ, mua bán dữ liệu chiếm được sau khi tấn công mạng. Nhiều sự cố bảo mật như vụ hack Bkav, hay cơ sở dữ liệu cóp nhặt của LinkedIn chứa hàng tỷ hồ sơ người dùng cũng đã bị rò rỉ trên Raidforums.com. Ngoài ra, cơ sở dữ liệu 500 triệu người dùng cóp nhặt của Facebook từ 106 quốc gia cũng từng bị rò rỉ miễn phí trên cùng diễn đàn này.

Một số tin tặc bán cơ sở dữ liệu tùy thuộc vào giá trị của công ty được nhắm mục tiêu. Tuy nhiên, sự nổi tiếng của diễn đàn này chỉ đơn thuần là để rò rỉ và tải xuống miễn phí các cơ sở dữ liệu bị đánh cắp.

Tuy nhiên vào cuối tháng 2 vừa qua, khi nhập bất cứ địa chỉ nào của Raidforums, diễn đàn này đều chuyển hướng đến trang đăng nhập, yêu cầu người dùng điền tên tài khoản và mật khẩu. Tuy nhiên, khi người sử dụng nhập thông tin, hệ thống đều báo không chính xác và không cho thực hiện các thao tác tiếp theo.

Thông báo từ quản trị viên Raidforums "Jaw"

Mặc dù tình hình không rõ ràng tại thời điểm viết bài, nhưng ảnh chụp màn hình trò chuyện do Hackread.com thu được từ nhóm Telegram chính thức của Raidforums.com cho thấy sự sụp đổ rõ ràng của diễn đàn.

Ở đây, cộng đồng bảo mật lan truyền ảnh chụp màn hình đoạn chat được cho là của Jaw - quản trị viên diễn đàn này - trong một nhóm Telegram. Jaw thông báo tên miền raidforums.com đã bị thu giữ, nhưng không nói việc này do cơ quan nào thực hiện. "Tôi khuyến khích bất cứ ai đang cố gắng đăng nhập, hãy thay đổi mật khẩu và xóa mọi nhật ký truy cập bạn có", Jaw viết.

Ngoài ra, người này cho biết diễn đàn sẽ được chuyển sang tên miền mới. Tuy nhiên khi truy cập địa chỉ mới, người dùng chỉ thấy dòng chữ thông báo đây là tên miền sao lưu của Raidforums mà không có thêm bất cứ nội dung nào.

Truóc đó, vào tháng 9/2021, một công cụ tra cứu WHOIS có sẵn công khai cho biết rằng trạng thái miền của Raidforums.com được đặt vào trạng thái vô hiệu hóa gọi là 'clientHold.' Trạng thái như vậy có thể là kết quả của một tranh chấp pháp lý, vấn đề không thanh toán hoặc báo hiệu rằng miền có thể bị xóa.

Vào thời điểm đó, các nhà nghiên cứu của CyberNews lưu ý rằng, RaidForum vẫn có thể truy cập được thông qua trình duyệt Tor, có nghĩa là các máy chủ diễn đàn đang hoạt động. Một trong những quản trị viên của diễn đàn đã đăng trên trang Tor xác nhận rằng, trang web ngừng hoạt động vì tên miền bị 'tạm ngưng.' Sau đó, RaidForums đã đưa ra một tuyên bố giải thích rằng việc tạm ngừng là do các chính phủ giấu tên báo cáo nội dung của các diễn đàn cho công ty đăng ký tên miền.

"Tên miền chính của chúng tôi Raidforums.com đã tạm thời bị vô hiệu hóa hay còn gọi là "clientHold" do một số chính phủ báo cáo nội dung cho tổ chức đăng ký tên miền. Điều này chưa từng xảy ra trước đây và nó chỉ xảy ra vì gần đây chúng tôi đã tạm thời di chuyển công ty đăng ký tên miền".

Công ty đăng ký tên miền tạm thời NameSilo đã nhận được đơn khiếu nại từ chính phủ quốc gia của một quốc gia giấu tên, khiến công ty này phải hủy kích hoạt miền RaidForums. Các nhân vật điều hành của diễn đàn này khẳng định sẽ sử dụng một máy nhân bản để cung cấp quyền truy cập cho người dùng.

Mọi thứ kéo dài cho đến ngay từ đầu năm 2022, diễn đàn này đã có vấn đề về truy cập. Raidforums từng "sập" và hoạt động trở lại sau hơn một tuần. Tuy nhiên, thực tế là "Omnipotent", tài khoản của chủ diễn đàn được phát hiện đăng nhập lần cuối vào ngày 30/1, trùng với thời điểm diễn đàn ngừng hoạt động.

Ai có thể đứng đằng sau việc này?

Hiện tại, vẫn chưa xác định được cơ quan nào đứng sau công việc này, tuy nhiên gần đây các nhà quản lý châu Âu và Nga đã khá tích cực trong công việc bắt diễn đàn về hack và phạm vi mạng. Vào ngày 18 tháng 1 năm 2022, Europol đã loại bỏ dịch vụ VPN VPNLab được sử dụng bởi các nhà khai thác ransomware.

Trước đó, vào ngày 5 tháng 10 năm 2021, cơ quan thực thi pháp luật Châu Âu đã bắt quả tang và cấm một băng nhóm tấn công ransomware ở Ukraine, kẻ đứng sau các cuộc tấn công vào hơn 100 công ty trên toàn cầu. Vào ngày 30 tháng 6 năm 2021, các nhà quản lý quốc tế tổ chức để thu giữ các trang web miền, nhật ký khách hàng và cơ sở hạ tầng máy chủ của dịch vụ mã hóa kép dành cho tổ chức mạng có tên là DoubleVPN.

Vào ngày 15 tháng 1 năm 2022, cơ quan hàng đầu của Nga FSB (Cơ quan An ninh Liên bang) không chỉ mạnh tay phá hủy cơ sở hạ tầng của băng đảng ransomware REvil mà còn bắt giữ 14 nghi phạm.

Vào ngày 24 tháng 1 năm 2022, chính quyền Nga đã bắt được 4 thành viên của nhóm hack khét tiếng của Tổ chức Infraud. Tổ chức này được coi là nhóm tội phạm mạng lớn nhất của dark web sau khi bị truy tố vì ăn cắp 530 triệu đô la trong các vụ lừa đảo khác nhau.

Vào ngày 8 tháng 2 năm 2022, cảnh sát Nga đã thu giữ thêm 4 tên miền tội phạm mạng bao gồm Trump Dumps, Ferum, diễn đàn thẻ SkyFraud và UAS (Ultimate Anonymous Services), một cửa hàng RDP.

Trước mắt, việc Raidforums ngừng hoạt động diễn ra trong bối cảnh nhiều website của Nga và Ukraine đang trở thành mục tiêu tấn công của hacker. Theo một số chuyên gia trong ngành, việc cho ngừng hoạt động diễn đàn trên có thể là cách để hạn các hacker kêu gọi tấn công, trao đổi thông tin hoặc mua bán dữ liệu trong giai đoạn này.