Författare
SOC @ Asurgent
Read time
5 min
31 maj 2024
Det kinesiska cyberbrottsekosystemet kan delas in i tre nivåer: På "ytplanet" finns teknik- och informationssäkerhetsinriktade hackingforum som inte uttryckligen erbjuder skadliga tjänster, men innehållet antyder att de kan användas av cyberbrottslingar. På en djupare nivå finns två av de populäraste och stabilaste kinesiskspråkiga cyberbrottsplattformarna: Market1 och Market2.
Istället för traditionella plattformar har meddelandeappen Telegram blivit en integrerad del av cyberbrottsekosystemet. Telegram har blivit mycket viktigt bland cyberbrottslingar, inklusive de kinesisktalande aktörerna, på grund av de skärpta restriktionerna för anonym internetanvändning i Kina.
Det finns flera kinesiska hackingsajter som öppet publicerar och diskuterar hackerverktyg och "skript/kod" som alla medlemmar kan få tillgång till. De flesta av dessa sajter utesluter nu uttryckligen olagliga aktiviteter och visar ansvarsfriskrivningar.
För att registrera sig på sådana webbplatser måste användarna avslöja sin riktiga identitet, som ID-nummer och telefonnummer, till operatören. En vanlig metod för att dela filer är att hänvisa till separata kinesiska lagrings- eller resursdelningsplattformar som används för att lagra skadliga prover.
Market1 lanserad 2013, är en av de mest etablerade kinesiska underjordiska forumen. De vanligaste objekten som säljs är läckta eller stulna databaser och handledningar för hackingoperationer. Att skapa ett konto är enkelt och kräver inte ens en e-postadress, men för att posta objekt och kommentarer måste kontot uppgraderas till ett "handelskonto" genom att lägga till en referens eller betala en prenumerationsavgift.
Det finns inget strikt system för att upprätthålla den allmänna kvaliteten på de objekt som säljs. KELA har observerat flera fall där duplicerade objekt erbjuds till försäljning av samma användare under olika beskrivningar och där databaser med falsk beskrivning av källan förblir på plattformen utan att dra kritiska kommentarer.
Market2 (长安不夜城) dök upp som en ny kinesisk underjordisk marknad i sin nuvarande form i september 2022. De mest aktiva avsnitten relevanta för cyberbrottslighet är "Dataresurser" och "Kortmaterial, CVV", där läckta databaser, stulna kreditkortsuppgifter och personlig information - inklusive bilder av ID-handlingar (falska och stulna) - erbjuds till försäljning.
Populära objekt inkluderar VPN-programvara och handledningar för användning av VPN och andra anonymiseringstekniker, hackerverktyg som ransomware och skadlig kod samt hackning som tjänst. Marknaden tillåter betalning via USDT, ETH eller BTC.
Precis som Market1 är Market2 inte särskilt välutrustad med användarklassificerings- och kvalitetssäkringsmekanismer. Användarna kan lämna kommentarer och recensioner på varje inlägg, men inte många aktiviteter observerades där. KELA har också observerat aktörer på Market2 som upprepade gånger erbjuder objekt som listas på Market1 av olika aktörer, men till högre priser, utan att moderatorer eller andra användare ingriper.
Market2 verkar göra en medveten ansträngning för att ta över positionen från sin nästan enda etablerade konkurrent Market1. Market2:s Telegram-grupp kan komplettera bristen på aktiviteter på själva marknaden, där användare kan avslöja användare som ägnar sig åt bedrägliga transaktioner eller inlägg. Market2:s operatörer nämnde också Market1 negativt flera gånger, utan att dölja sin fientliga rivalitet mot den äldre plattformen.
Medan både marknader försöker överleva i sin konkurrens beror deras framtida existens mindre på deras rivalitet än på om de kan lyckas stanna kvar och växa trots Telegrams ökande popularitet.
Utvecklingen av cyberbrottsekosystemet visar hur snabbt landskapet kan förändras när kriminella aktörer anpassar sig till nya omständigheter och tekniker. Medan traditionella webbplatsmarknader som Market1 och Market2 försöker behålla sin relevans, blir krypterade meddelandeplattformar som Telegram allt viktigare för kommunikation och spridning av illegalt material.
För att effektivt motverka dessa ständigt skiftande hot krävs ett nära internationellt samarbete mellan brottsbekämpande myndigheter och it-säkerhetsexperter. Genom kontinuerlig övervakning och informationsdelning kan vi bättre förstå cyberbrottsekosystemets utveckling och anpassa motåtgärderna därefter.
Kampen mot cyberbrottsligheten är en ständig utmaning som kräver samordnade insatser över gränserna. Endast genom att hålla jämna steg med de kriminellas anpassningsförmåga kan vi hoppas begränsa skadorna och upprätthålla säkerheten i den digitala världen.
Källa:
KELA_Research_Chinese-cybercrime-ecosystem
Prenumerera på vårt nyhetsbrev för att ha koll på senaste nytt inom cybersäkerhetssfären.