Инфраструктура доверия: эволюция защиты теневых форумов и их экономика

Дарквеб-форумы — это своеобразное подполье киберпреступного мира, где различные группы и анонимные пользователи обмениваются информацией, обсуждают методы атак, продают украденные данные и делятся результатами своей деятельности. Эти закрытые онлайн-платформы функционируют преимущественно в анонимных сетях, таких как Tor, стремясь обеспечить высокий уровень конфиденциальности и защищенности от внешнего наблюдения.

Анализ дарквеб-форумов позволяет специалистам по кибербезопасности глубже понять структуру киберпреступных сообществ, механизмы взаимодействия и обмена знаниями между их участниками, а также выявлять ключевые тенденции в развитии подпольных рынков и в эволюции угроз ИБ. Понимание особенностей функционирования подобных ресурсов, используемых технологий и методов защиты, а также направления развития теневых рынков, способно помочь выстраивать проактивную защиту — предугадывать потенциальные угрозы, совершенствовать инструменты мониторинга и предотвращать атаки еще на начальном этапе.

В настоящем исследовании представлен результат анализа технических методов защиты и экономической организации дарквеб-форумов.

Задачи исследования:

• Изучить архитектуру и технические меры защиты дарквеб-форумов.
• Выделить тенденции развития дарквеб-форумов.
• Продемонстрировать экосистемность и динамику технического развития защитных механизмов дарквеб-форумов, а также их экономическую организацию.
• Сформировать выводы о будущем технологическом развитии методов защиты и анонимизации дарквеб-форумов.

Исследование содержит данные о действующих и закрытых дарквеб-форумах, основанные на внутренней экспертизе Positive Technologies, отчетах ведущих вендоров в сфере кибербезопасности, на данных с популярных в киберпреступной среде форумов и на информации из открытых источников государственных служб безопасности и правоохранительных органов, а также Telegram-каналов киберпреступных групп и хактивистов.

Исследование выполнено с целью обратить внимание компаний, государственных организаций, а также частных лиц, интересующихся современным состоянием информационной безопасности в области высокотехнологичных киберпреступлений, на технический и экономический уровень развития дарквеб-форумов, их системы защиты и монетизации. Знания в данной области могут быть полезны читателю для проактивного поиска угроз и выстраивания системы защиты организации. Термины, которые мы использовали в исследовании, приведены в глоссарии на сайте Positive Technologies.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых инцидентах может публиковаться значительно позже фактического времени кибератаки.

• Переход от готовых content management systems (CMS) к собственным и гибридным системам усложняет анализ и поиск уязвимостей в технической части дарквеб-форумов. Аналитикам приходится адаптировать инструменты к уникальным архитектурам и коду.
• Многослойная архитектура (витрина¹, зеркала², прокси) повышает устойчивость форумов к наблюдению и блокировкам. Это требует от правоохранителей и команд TI поиска взаимосвязей между зеркалами, корреляции инфраструктуры злоумышленников с индикаторами атрибуции и анализа косвенных технических маркеров.
• Использование администраторами VPN, JavaScript-челленджей³ и других мер защиты эффективно ограничивает автоматизированный сбор данных. Специалистам нужно разрабатывать более аккуратные методы обхода антибот-решений на этих ресурсах, чтобы не спровоцировать блокировки или обнаружение.
• Многоуровневый доступ, контроль со стороны сообщества, PGP-ключи и минимизация журналирования повышают operations security (OPSEC) и затрудняют инфильтрацию. Это смещает акцент расследований с чисто технического анализа на изучение поведения, социальных связей и коммуникационных паттернов.
• Строгое соблюдение OPSEC администраторами снижает вероятность выявления ключевых фигур из их числа. Аналитикам приходится использовать комбинированные методы: поведенческий анализ, мониторинг инфраструктуры, отслеживание метаданных.
• Типичный цикл жизни форумов (рост → компрометация / рейд → миграция / реинкарнация) делает среду изменчивой. Для TI-команд важно непрерывно обновлять источники и быстро реагировать на «переезд» площадок.
• Модель временных форумов, работающих лишь по несколько месяцев, снижает риски для операторов площадок. Экспертам приходится отслеживать быстро исчезающие площадки — и прогнозировать их возможные «аватары» после закрытия.
• Эволюция форумов по принципу естественного отбора оставляет в живых только наиболее технически и организационно устойчивые из них. Это требует от специалистов постоянного повышения уровня подготовки и регулярного обновления методик расследования.
• Современные дарквеб-форумы становятся все более распределенными, гибкими и технически сложными, что делает их менее уязвимыми, их все труднее отслеживать. Для киберразведки это означает необходимость постоянного обновления инструментов, комбинирования технического и поведенческого анализа и адаптации к быстро меняющейся инфраструктуре, в которой выживают только самые устойчивые и хорошо организованные площадки.

Дарквеб-форумы представляют собой неотъемлемую часть киберпреступного сообщества: на них злоумышленники обмениваются опытом, продают украденные данные, распространяют вредоносное ПО и координируют незаконную деятельность. Эти площадки дают участникам относительную защищенность, анонимность и чувство принадлежности к закрытому сообществу.

Подпольные площадки постоянно меняются: одни исчезают, другие возрождаются под новыми именами и с новой администрацией, а третьи эволюционируют в более сложные с технологической точки зрения структуры. Главным катализатором этих изменений выступают специальные операции государственных структур и международных правоохранительных объединений, направленные на противодействие киберпреступности. Такие операции — инициируемые, в частности, ФСБ России, американским ФБР, Европолом, Интерполом или национальными центрами кибербезопасности — нередко приводят к арестам администраторов, конфискации серверов, блокировке доменов и утечке баз данных участников. Однако результаты этих вмешательств редко бывают окончательными: ликвидация одного форума обычно становится отправной точкой для появления нового, более устойчивого и защищенного. И важная особенность подобных форумов — высокий уровень развития технических средств защиты.

Характерным примером является закрытие известного форума RaidForums, после которого почти мгновенно возник его преемник — BreachForums, а после его разгрома участники предприняли попытки возродить сообщество снова, уже с новыми протоколами безопасности и измененными механизмами управления. Подобные случаи демонстрируют своеобразный цикл перерождения киберпреступной экосистемы, где каждый виток развития сопровождается усложнением технических средств защиты и ростом требований к анонимности.

Эта динамика отражает не только внутренние процессы организации дарквеб-форумов, но и общие тенденции в сфере ИБ и борьбы с киберпреступностью. Противостояние между киберпреступниками и специалистами по кибербезопасности носит характер своеобразной гонки вооружений: каждая успешная операция правоохранителей стимулирует злоумышленников к созданию новых инструментов, архитектур и механизмов защиты. В результате формируется относительный баланс: укрепление мер защиты, проактивный поиск угроз и борьба с киберпреступниками ведут к ответной адаптации со стороны злоумышленников, что, в свою очередь, влияет на эволюцию всей киберпреступной инфраструктуры.

Если ранние поколения дарквеб-форумов представляли собой примитивные веб-площадки, часто существующие в общедоступной части интернета, то современные форумы — это сложные распределенные системы с многоуровневой инфраструктурой, API, ботами-модераторами, встроенными средствами верификации и многоступенчатой системой доступа.

В данной части исследования рассматривается, как именно современные киберпреступные форумы обеспечивают защиту своей инфраструктуры, какие технические и организационные меры применяют для поддержания анонимности, устойчивости и доверия среди участников, а также как их эволюция отражает глобальные процессы в сфере кибербезопасности, где обе стороны — и атакующие, и защитники — постоянно адаптируются к действиям друг друга.

Первые подпольные форумы зачастую не отличались изощренностью архитектуры. Однако стоит заметить, что и к полной анонимности они не стремились. По сути, они не отличались от легальных форумов по различным темам и не преследовались правоохранителями. Администраторы использовали готовые платформы, такие как phpBB, vBulletin или XenForo. Со временем платформы стали размещаться на скрытых серверах в сети Tor. Такие решения позволяли быстро создать форум, но имели недостатки — от известных уязвимостей до низкой производительности.

Таблица 1. Распространенные готовые платформы для создания форумов

Такие платформы заложили своеобразную основу для расширения функций самих форумов. К 2010-м годам на дарквеб-форумах появились разделы для продажи украденных данных и ВПО, а также осуществлялись сделки с гарантами⁴ и накопление репутации участников, аналогично легальным форумам.

Со временем некоторые ведущие площадки стали обращать больше внимания на ограничения стандартных CMS и перешли на собственные платформы, которые разрабатывались непосредственно под нужды киберпреступников, что дало им ряд преимуществ. Во-первых, оригинальный код сложнее для правоохранителей при анализе и поиске уязвимостей, а во-вторых, его можно сразу спроектировать с учетом анонимности пользователей. На ряде форумов удалось интегрировать важные для злоумышленников функции, такие как сделки с гарантами, шифрование переписки, система проверки новых участников. Яркий пример — англоязычный форум Dread. Его администратор написал платформу с нуля, намеренно отказавшись от JavaScript и оптимизировав производительность под Tor. После испытания в реальных условиях код Dread был переработан и улучшен, чтобы платформа стала стабильнее. Пример Dread показал, что собственная CMS может лучше удовлетворять требованиям деятельности в дарквебе, чем универсальные решения (однако они все еще используются на многих форумах).

С развитием киберпреступности и ростом аудитории форумы постепенно переставали быть монолитными площадками в сети Tor. На текущий момент многие крупные площадки используют многоуровневую архитектуру для баланса между анонимностью, скоростью и отказоустойчивостью.

• Одновременное присутствие в Tor и clearnet. Современные форумы нередко доступны как через Tor (.onion), так и через обычный интернет (clearnet). Например, известный форум XSS работал одновременно в сети Tor и в публичной зоне. У XSS имелся основной скрытый сайт и зеркало (.is-домен), что расширяло охват аудитории. Форум Exploit тоже имеет присутствие в дарквебе и при этом доступен на обычном сайте. Такая гибридная схема повышает доступность: можно заходить на форум без Tor-браузера, что привлекает новых пользователей и обеспечивает больше трафика, хотя и снижает анонимность. В таком случае администраторам приходится тщательно скрывать реальный IP-адрес сервера — обычно через CDN-прокси (через сервер-посредник) или Tor2Web-шлюзы. Некоторые форумы используют DDoS-Guard или Cloudflare в режиме onion service, чтобы защититься от атак. Однако среди киберпреступников бытует мнение, что размещать скрытый сервис за Cloudflare — опасно.

• Фронтенд-витрины и скрытые бэкенд-панели. Руководствуясь своей безопасностью, ряд администраторов дарквеб-форумов стали разделять публичную и закрытую части форума. Витрина в публично доступной зоне сети может содержать общую информацию, новости, правила и даже некоторые ветки обсуждений, не раскрывающие конфиденциальных деталей. Таким образом, компрометация публичного узла (например, изъятие домена) не раскрывает содержимого или личностей пользователей. Этот способ — одно из доказательств ухода от классической ранней архитектуры к гибридной. Его применение продиктовано желанием достичь скорости и SEO-видимости clearnet-площадки и анонимности Tor для реальных преступных сделок. Например, некоторые дарквеб-маркеты создавали открытые сайты-агрегаторы для поиска товаров, откуда покупателя перенаправляли в Tor-сегмент для оплаты. На форумах похожим образом могут реализовывать публичные объявления с контактами, в то время как сами обсуждения остаются скрытыми.
• Несколько скрытых зеркал и резервных узлов. Активное внимание правоохранителей к форумам привело к тому, что администраторы заранее готовятся к возможной потере одного из доменов или серверов, поэтому держат сразу несколько onion-адресов и периодически публикуют их в доверенных источниках. Также регистрируются запасные clearnet-домены. Широкое распространение данного способа иллюстрирует практику быстрого переброса аудитории на новый адрес. Кроме того, актуальный список зеркал часто поддерживается через внешние каналы — например, через Telegram-каналы или файлы в сети I2P. Многие форумы дублируют информацию не только на собственных сайтах, но и в мессенджерах, на Discord-серверах.

• CDN-прокси и распределение нагрузки. Чтобы повысить надежность, крупные форумы иногда ставят между пользователем и сервером прокси-слой. Он может включать CDN для раздачи статического контента и балансировщики, которые перенаправляют запросы на разные узлы. В обычном интернете этим занимаются сервисы вроде Cloudflare, но в дарквебе появились аналоги: например, технология Onionbalance для распределения запросов между несколькими скрытыми сервисами. Тем не менее используется и Cloudflare, обычно выбор зависит от места распределения ресурса, а не от его тематики.

Таким образом, эволюция шла от простого размещения форума в монолитной форме к гибридным распределенным системам. Если раньше «падение» или компрометация onion-сервера означали мгновенную гибель всего форума, то теперь инфраструктура разбита на слои: публичный слой (который можно потерять без ущерба для системы), скрытый слой (ядро форума, защищенное Tor) и резервный слой (заранее подготовленные злоумышленниками альтернативы). Такая архитектура повышает отказоустойчивость и делает работу форума более устойчивой к атакам и блокировкам. В то же время она усложняет администрирование: требуются продвинутые навыки DevOps и OPSEC, чем известны наиболее долговечные форумы. Например, про XSS в сообществе отмечали, что его успех обусловлен запасным хостингом и высоким уровнем навыков OPSEC у администратора, благодаря чему форум сохранял секретность и приватность до недавнего времени.

Безопасность и приватность — основные принципы дарквеб-форумов. В ходе эволюции форумов администраторы и пользователи постоянно балансировали между максимальной анонимностью и приемлемым удобством. Ниже подробнее рассмотрены основные технологии, обеспечивающие анонимность и защиту таких площадок.

Базовый уровень анонимности достигается использованием специализированных сетей: прежде всего Tor, а также I2P (реже). Tor направляет трафик через несколько случайных узлов (как бы многослойно шифруя его), что делает крайне сложным отслеживание источника запроса.

I2P работает по схожему принципу, создавая распределенную анонимную сеть внутри интернета. Tor и I2P эффективно маскируют реальные IP-адреса пользователей и серверов, серьезно затрудняя идентификацию администраторов форумов. Многие продвинутые участники комбинируют несколько методов: заходят на форум через цепочку из VPN-серверов и Tor либо используют ProxyChains (несколько прокси подряд), иногда даже параллельно через Tor и I2P. Такая многоступенчатая схема снижает риск деанонимизации в случае, если один из инструментов скомпрометирован.

Исследования подтверждают, что киберпреступники часто совмещают Tor с VPN и другими анонимайзерами для усиления приватности. Со своей стороны администраторы тоже принимают меры: скрытые сервисы запускаются на изолированных узлах, трафик из публичного сегмента проходит через сети типа Whonix или специальные шлюзы, исключая прямое подключение к реальному серверу.

Форумы стремятся защититься не только от правоохранителей, но и от нежелательного скрепинга — автоматического сбора содержимого ботами конкурентов или аналитиков ИБ. Для этого используются технологии антискрепинга на нескольких уровнях:

• JavaScript-челленджи. Поскольку многие простые боты не запускают JavaScript, форум может при открытии страницы выдавать специальный скрипт или задачу, которую способен пройти только нормальный браузер. Это похоже на режим Under Attack у Cloudflare, когда перед загрузкой сайта показывается пауза с вычислением. На дарквеб-форумах внедряют более простые версии: например, требование вычислить хеш-сумму или решить примитивную задачу средствами JavaScript перед выдачей контента. Если скрипт не выполнен, пользователь (в данном случае — бот) не получает доступа к странице. Таким образом отсекаются простые парсеры. Однако если бот спроектирован сложнее и имеет свой браузер, то он может запустить JavaScript.
• Нестандартные капчи. CAPTCHA давно применяется для нейтрализации ботов, однако в дарквебе нет возможности использовать привычные Google reCAPTCHA (механизм проверки не работает в .onion и может деанонимизировать). Вместо этого форумы придумывают свои собственные варианты. Например, могут просить пользователя вручную решить простую головоломку, ввести результат арифметической операции, ответить на специфический вопрос из сферы кибербезопасности или распознать текст с искаженного изображения, сгенерированного локально. На подобные вопросы зачастую нужно отвечать в формате живого общения с администратором в чате. На некоторых форумах встречались механизмы проверки с вопросами по сленгу или о правилах форума: в таком случае ботам крайне сложно угадать ответ. Необычные меры фильтрации замедляют регистрацию и массовое создание аккаунтов для спама. Кроме того, они снижают скорость парсинга⁵ даже для продвинутых ботов, требуя подключения модуля для оптического распознавания символов.

• Ограничение частоты запросов и скрытые метки. Еще один прием — отслеживать поведение аккаунтов и автоматически блокировать подозрительную активность. Например, если новый пользователь начинает просматривать сотни страниц в минуту (что типично для скреперов), форум может временно заморозить ему доступ или попросить решить капчу снова. Также внедряются тайм-ауты на выдачу страниц, уникальные токены сессии и мусорные данные (вкрапления невидимого текста), чтобы отследить утечку контента. Администраторы могут помещать в выдаваемый HTML-код уникальные скрытые метки для каждого пользователя: если потом где-то будет опубликована утечка, по меткам можно понять, чей аккаунт осуществлял сбор (и заблокировать его). Совокупность таких поведенческих фильтров позволяет значительно усложнить работу автоматических сканеров.

• Побуждение к активности. Некоторые посты и ветки обсуждений скрыты от пользователя при простом переходе к обсуждению. Механизмы форума требуют от пользователя проявить активность (поставить реакцию или оставить комментарий в обсуждении) — и только тогда показывают содержимое.
• Ограничение доступа пользователей. Часто форумы имеют многоуровневую систему разделов: открытые (видны всем зарегистрированным), закрытые (только для проверенных участников) и приватные (доступные только по приглашениям или только после оплаты подписки, то есть скрытые за пейволом⁶).

Например, на форумах Exploit и FreeHacks новые пользователи видят далеко не всё: нужно заслужить доверие, чтобы попасть в закрытые секции. Кроме того, сами процедуры регистрации усложняются. Администраторы или модераторы форумов могут проводить своеобразное собеседование, задавая, например, вопросы о том, откуда новый пользователь узнал о форуме.

Исследователи отмечают, что доступ к дарквеб-форумам зачастую требует долгих и сложных действий для входа — именно за счёт приглашений, верификаций, заполнения профиля, одобрения модератором. В итоге значительная часть действительно ценного контента скрыта за слоями допуска, и новым пользователям со стороны сложно проникнуть сразу во все разделы.

Руководители теневых форумов — ценные цели для спецслужб, поэтому они придерживаются строгих правил в отношении анонимности. Во-первых, администраторы и модераторы действуют под устойчивыми псевдонимами, не раскрывая никаких личных данных. Любая ошибка (как в свое время у создателя Silk Road, использовавшего личную почту со стороннего сервиса) может привести к раскрытию личности, поэтому опытные администраторы ведут себя максимально осторожно: не повторяют псевдонимы, не используют один и тот же PGP-ключ⁷ на разных ресурсах, соблюдают иерархию ролей. Часто вводится распределение обязанностей: один отвечает за техподдержку, другой за финансовый модуль, третий за модерацию контента. Это сделано, чтобы минимизировать количество суперпользователей, чье раскрытие ставит под угрозу существование всего форума.

Во-вторых, администраторы никогда не заходят на сервер напрямую — только через цепочки VPN + Tor, с промежуточных удаленных компьютеров, возможно через ProxyMesh (сеть фейковых узлов). Они избегают привычных графических интерфейсов (чтобы не обнаружить разрешение экрана, язык ОС и т. п.) и работают, например, через консоль в Tails или Whonix.

В-третьих, формируется локальное сообщество лояльных участников, которое само действует как еще один уровень защиты. Активные члены форума способны распознать странное поведение и поднять тревогу. Например, если администратор внезапно начинает писать не в своей манере, завсегдатаи форума заподозрят неладное. Так случилось с XSS в 2025 году: после ареста одного из администраторов второй некоторое время поддерживал работу onion-зеркала, но модераторы не смогли подтвердить его личность и заподозрили, что форум перехвачен правоохранителями. Они публично заявили об этой возможности и покинули площадку, организовав новый форум DamageLib. Этот пример показывает, что сообщество не слепо доверяет администрации, а при угрозе деанонимизации или компрометации предпочитает отколоться — и возродиться на новой платформе. При этом стоит заметить, что стремление к полной анонимности со стороны администраторов в целом не позволяет доверять кому-либо полностью. С одной стороны, необходима безопасность; с другой стороны, какой бы профиль и статусы у пользователя ни отображались — редко известно, кто это на самом деле.

Стоит заметить, что не все дарквеб-форумы выбирают путь максимальной безопасности. Часть из них осознанно жертвует анонимностью ради скорости и удобства пользователя. Причины прагматичные: широкая аудитория не хочет ждать минутами загрузки через Tor или проходить проверку на каждой странице. Поэтому некоторые администраторы делают допущения: позволяют входить через clearnet (рассчитывая, что посетитель использует VPN), внедряют более дружественный интерфейс с JavaScript и современным дизайном — даже если это теоретически расширяет возможности для компрометации. Примером может служить известный форум Hydra, где в последние годы деятельности появился мобильный Telegram-бот, через который можно было делать покупки: это значительно увеличило удобство, хоть и выводило процесс из полностью анонимного Tor. Однако Telegram не дает сквозного шифрования в каналах; кроме того, аккаунт пользователя привязан к номеру телефона, а также отсутствует система репутации и гарантов сделок, что ограничивает киберпреступников в их стремлении к анонимности. Форумы в дарквебе вынуждены идти на подобные компромиссы: где-то убирают принудительную аутентификацию через PGP в пользу обычной пары «логин — пароль», где-то открывают часть данных без регистрации, чтобы повысить индексируемость и привлечь SEO-трафик.

Таким образом, ландшафт разнообразен: элитные и закрытые площадки выбирают максимальную безопасность и сложные проверки, а массовые форумы стараются сделать входной барьер ниже, даже понимая риски. В конечном счете каждый форум ищет свой баланс между безопасностью и удобством, часто корректируя курс после утечек или рейдов.

Современные дарквеб-форумы — это не только сайты, но и целые экосистемы с интеграцией внешних сервисов и ботов. Автоматизация процессов позволяет повысить эффективность торговых операций, информированность участников и связность с другими платформами. Платформы Discord и Telegram с их развитым API и возможностью создания ботов активно используются на дарквеб-форумах. Злоумышленники применяют их для автоматизации продаж, коммуникации с аудиторией и управления нелегальными сервисами, что делает эти экосистемы популярным инструментом для подпольной деятельности. Рассмотрим, какие технологические связки используют киберпреступники на дарквеб-форумах.

Telegram занял особое место в дарквебе: он доступен, относительно анонимен (при использовании виртуальных номеров) и поддерживает ботов. Многие форумы завели собственных Telegram-ботов и каналы для расширения функциональности. Например, дарквеб-форум Lolz.guru помимо веб-портала официально предоставляет бота-гаранта в Telegram для проведения сделок.

Продавец и покупатель могут в чате вызвать бота, тот выступит в роли гаранта и даже автоматически проверит некоторые условия. Подобные боты избавляют от необходимости постоянно заходить на сам форум: уведомления о новых сообщениях, о поступлении денег гаранту и о завершении сделки приходят прямо в мессенджер.

Наряду с ботами продвинутые форумы предоставляют и более прямые способы машинного взаимодействия — API. Это могут быть приватные REST API или простые JSON/XML-шлюзы, с помощью которых сторонние программы могут запрашивать данные форума. Первый случай — интеграция с маркетплейсами. Например, форум специализируется на обсуждении уязвимостей, а где-то на другом ресурсе продаются эксплойты. Посредством API можно настроить все так, чтобы новые лоты с маркетплейса автоматически постились в разделе форума (бот-автопостер через API). Или обратная ситуация: форум предоставляет API для получения списка свежих утечек, и какой-нибудь агрегатор утечек (в том же Telegram) регулярно вызывает функции API и публикует краткую сводку для своих подписчиков.

Известны случаи, когда форумы и рынки делали совместные проекты. Например, появлялись единые аккаунты для форума и рынка: пользователь регистрируется на форуме, а тот через API создает ему кошелек на маркетплейсе и позволяет действовать кроссплатформенно. Также API используются для гарантий сделок: бот-гарант может через API связаться с форумом, чтобы отметить на странице сделки статус «оплачено» или «спор». Такие взаимосвязи формируют единый стек, где роли распределены: форум — для общения и репутации, маркетплейс — непосредственно для сделки и платежа, Telegram-бот — для мобильности и оповещений. Например, одна из популярных схем на Западе — связка форума Dread (обсуждение), рынка (например, ASAP Market) и бота для отслеживания посылок.

Боты также используются и самими пользователями для мониторинга интересующих их тем. Аудитория дарквеб-форумов состоит из людей, которые в большинстве своем отлично образованы технически. Так как почти каждый форум имеет RSS-ленты или другие фиды обновлений, киберпреступники пишут скрипты и ботов, которые подписываются на RSS-ленту раздела и в реальном времени ретранслируют анонсы в приватный Telegram-чат или на Discord-сервер. Таким образом, участники получают уведомление о новом топике практически мгновенно, не полагаясь на сам форум. Некоторые форумы пошли навстречу — добавили встроенную функцию «отправить в Telegram» или расширенные RSS-ленты с частью содержания поста. Более того, существуют публичные Telegram-каналы, которые собирают новости с нескольких форумов: например, канал утечек может парсить одновременно XSS, Exploit, BreachForums. В результате формируется единая информационная среда, где границы между разными площадками условны.

Стоит отметить, что администраторы форумов не всегда довольны таким положением: автоматическая выдача контента снижает эксклюзивность их площадок. Потому наиболее закрытые сообщества пытаются блокировать или затруднять автопостинг. Но там, где форум заинтересован в популярности, администрация сама может публиковать анонсы в открытых каналах. Экосистема ботов сейчас настолько развита, что киберпреступник, не заходя на сами сайты, может через сторонние ресурсы в виде ботов и каналов получить практически ту же информацию и те же сервисы. Это бросает вызов спецслужбам: просто мониторить onion-форумы уже недостаточно, нужно еще отслеживать тысячи Telegram-ботов, каналов и групп, где сосредоточена значительная часть активности.

Любой крупный подпольный форум — это не только информационная площадка, но и экономическая экосистема, в которой основную роль играют криптовалюты, процветает торговля и действуют свои финансовые правила. Большая часть киберпреступников, которые используют дарквеб-форумы, имеет финансовую мотивацию. Рассмотрим, как устроена экономика дарквеб-форумов и какие технологии поддерживают денежные операции.

Одним из ключевых элементов является гарант. На большинстве популярных форумов реализован свой официальный эскроу-сервис. Это может быть как автоматическая система, встроенная в платформу форума, так и реальный модератор-гарант, к которому обращаются участники. Например, на форуме BHF.PRO прямо в меню указана опция Escrow/Deposit — то есть форум предлагает услугу хранения средств до подтверждения сделки. Типичная схема: покупатель и продавец договариваются в личных сообщениях или ветке, затем привлекают гаранта — переводят сумму сделки на специальный кошелек, контролируемый админом или ботом. Если товар или услуга получены и обе стороны довольны, гарант перечисляет деньги продавцу; если случился спор — начинается арбитраж.

Естественно, подобная услуга не осуществляется бесплатно, гарант получает свою долю от сделки в виде комиссии. На разных форумах свои расценки. Рассмотрим наиболее популярные типы комиссии гарантов.

Таблица 2. Типы комиссии у гарантов на дарквеб-форумах

Часто эскроу-сервис привязан к внутреннему кошельку пользователя. То есть на форуме у каждого участника есть баланс, который можно анонимно пополнить криптовалютой. Затем с этого баланса делаются депозиты для сделок, оплачиваются услуги форума. Такая система, с одной стороны, удобна: не нужно каждый раз подтверждать новые транзакции, а с другой — создает финансовый хребет форума: администратор хранит у себя значительные средства участников (на крупных площадках это сотни тысяч долларов в криптовалюте). Например, упоминается, что при захвате серверов XSS в 2025 году более 55 BTC средств пользователей находились в холодных кошельках форума. Это указывает на масштабы оборотов и на важность безопасности криптохранилища для форумов.

Помимо идеологических соображений, дарквеб-форумы развиваются ради прибыли. Основной источник дохода — это как раз комиссии за эскроу. Кроме того, практикуются платные статусы и услуги: VIP-аккаунты за ежемесячную плату, возможность поднять тему в списке, реклама объявлений, доступ к эксклюзивным разделам. Например, форум DarkForums предлагает платные подписки (VIP, MVP, GOD): помимо статуса, они дают доступ к закрытым Telegram-каналам и лентам утечек. Некоторые форумы иногда продают «профессиональный» статус, например «Продавец со стажем», при этом деньги идут администрации форума. Все это зачастую встроено в форум в формате интеграций. Полный набор таких модулей зависит от необходимых администратору функций и может включать следующие разновидности.

Таблица 3. Модули автоматизации управления дарквеб-форумом

Такая комбинированная модель заработка позволяет площадке не только зарабатывать деньги, но и окупать затраты на хостинг, защиту от DDoS и мотивировать модераторов.

Все транзакции на дарквеб-форумах происходят в криптовалюте, но выбор конкретного ее вида — это вопрос баланса между прозрачностью и приватностью. Технически, особенно с развитием банковской сферы и криптовалют, экономическая инфраструктура форумов становится все сложнее. Автоматизированные транзакции — это не только кошелек на форуме. Крупные платформы внедряют скрипты мультиподписей, авторассылку платежей, проверку баланса через API блокчейна. Например, при создании сделки форум может сгенерировать уникальный биткоин-адрес для депозита, контролируемый через Bitcoin Core API. Как только на него поступит нужная сумма с достаточным количеством подтверждений, форум при помощи бота отметит сделку как «депозит внесен» и уведомит обе стороны. Затем по завершении сделки бот же отправит BTC на адрес продавца, высчитав комиссию. Все это без участия человека, мгновенно и точно по правилам. Лишь при споре включается живой арбитр. Такая автоматизация повышает доверие пользователей: они видят, что деньги распределяются алгоритмом и никто из администраторов не исчезнет с их криптовалютой.

 Сама же модель заработка имеет следующие составляющие.

Таблица 4. Монетизация дарквеб-форумов

Биткоин исторически стал основной валютой дарквеба: он наиболее распространен, пользователи знакомы с ним и умеют им пользоваться. BTC очень надежен в плане сохранности, однако обладает публичным реестром транзакций, что означает возможность отслеживания платежей и связей между кошельками. Это минус с точки зрения анонимности: правоохранители и аналитики блокчейна успешно устанавливали личности многих преступников, прослеживая транзакции. Это вынуждает киберпреступников использовать миксеры, которые позволяют запутать следы.

С середины 2010-х годов началось продвижение анонимных криптовалют, в первую очередь Monero (XMR). Monero скрывает практически все детали транзакций. Уже к 2021–2022 годам эта криптовалюта стала набирать популярность в дарквебе. Некоторые форумы ввели опцию гаранта сделки в Monero или поощряли расчеты вне площадки именно в ней. Тем не менее полностью вытеснить BTC она не смогла: биткоин по-прежнему остается фаворитом у киберпреступников благодаря удобству и ликвидности. На сегодняшний день мелкие сделки и оплата услуг форума обычно происходят при помощи BTC, а крупные сделки часто проводятся в XMR. Также в мире набирают популярность и стейблкоины (USDT), но на дарквеб-форумах это пока редкость, поскольку они связаны с государствами и ценятся меньше за низкую анонимность. Из других монет можно отметить Litecoin (LTC): его иногда применяют из-за низких комиссий. Однако ни одна из альтернатив не достигла популярности BTC и XMR.

Несмотря на четкую схему и организацию бывают, конечно, и исключения из правил. Известны случаи, когда сам гарант оказывался мошенником и не возвращал деньги. Известен инцидент, когда официальный гарант двух крупных форумов присвоил около 170 тысяч долларов, не выполнив условия четырех сделок. Это подрывает доверие, но на дарквеб-форумах с высокой репутацией такое происходит редко. В целом система гарантов и комиссий зарекомендовала себя, реальная доля сделок с гарантом может составлять до трети всех сделок (точнее сказать сложно, поскольку часть условий обсуждается приватно). Это свидетельствует, что форумы выработали механизмы саморегуляции и доверия, схожие с обычными маркетплейсами, и экономическая составляющая продумана у них не менее тщательно, чем техническая.

Одной из постоянных угроз для подпольных форумов является инфильтрация — проникновение в среду оперативников, представителей правоохранительных органов, исследователей ИБ или конкурентов в сообщество с целью сбора информации или саботажа. Для противодействия этому форумы внедряют специальные меры на уровне организации сообщества и технологий безопасности.

В сообществе любого закрытого форума царит четкая система уровней доступа. Участники делятся не только по интересам, но и по уровню доверия. Новые пользователи видят лишь ограниченную информацию, тогда как истинная активность происходит за завесой внутренних разделов, доступ к которым открыт только проверенным пользователям. Подобная модель не случайна: она служит инструментом самозащиты сообщества, позволяя отсечь случайных людей, мошенников и, главное, сотрудников правоохранительных органов. Новый человек на подобном дарквеб-форуме никогда не увидит чувствительных обсуждений или контактов. Чтобы продвинуться на следующий уровень, новый пользователь должен заработать репутацию — скажем, поделиться полезной информацией, совершить несколько мелких сделок, получить отзывы от старших участников. Лишь после этого его могут отметить как верифицированного и дать доступ к закрытым разделам. Такой пошаговый допуск сильно затрудняет работу: оперативнику или исследователю придется действовать под прикрытием, вживаться в роль киберпреступника, проводить сделки — чтобы его приняли. Причем проверяют новичка не формально: старожилы могут задавать каверзные вопросы, требовать доказать опыт. Перед выдачей приглашения за кандидата могут поручиться два-три постоянных участника — либо его могут проверить по уже скомпрометированным ранее данным различных спецслужб, не связан ли он с правоохранителями. Конечно, стопроцентной гарантии это не дает, но многоступенчатый отбор существенно уменьшает поток потенциальных внедренных агентов. Многие элитные форумы намеренно усложняют получение репутации: ее нельзя купить, только заслужить реальными делами.

Некоторые площадки, помимо приглашений, требуют от нового пользователя при регистрации выполнить ту или иную нетривиальную задачу. Речь может идти о криптографической защите или вычислительной задаче proof-of-work (PoW). Например, нужно подобрать такое значение, чтобы хеш-сумма комбинации логина и случайной строки начиналась с заданного числа нулей. Подобные механизмы пришли из антиспам-решений и анти-DDoS, но хорошо работают и как фильтр для закрытых сообществ. Дарквеб-форум, куда можно попасть только решив шифр или задачу при регистрации, это не уникальный случай. Подобный подход характерен и для многих профессиональных ресурсов по информационной безопасности. Попавших на форум пользователей обычно принимают сразу, так как они уже прошли фильтрацию, — однако это, конечно, не дает гарантии того, что пользователь не имеет скрытых мотивов.

Оперативники или исследователи часто выдают себя: манерой речи, неуместными вопросами, нестыковками в легенде. Опытные участники форумов чутко реагируют на такие сигналы. Нередко на площадках появляются обсуждения о подозрительных аккаунтах, а модераторы могут без объяснений заблокировать пользователя, если тот задает вопросы о личностях участников или проявляет интерес к темам, которые обсуждать не принято (связи с правоохранительными органами, вопросы об инфраструктуре форума и т.п.).

Анализ стилеметрии — еще один инструмент фильтрации пользователей. Если новый участник форума пишет так же, как ранее забаненный (использует те же обороты, повторяет типичные ошибки), сообщество быстро это замечает. Теоретически форумы могут внедрять автоматические NLP-средства для выявления подобных совпадений, хотя прямых подтверждений этому нет. На практике чаще работает коллективный круг доверия: активные участники обмениваются наблюдениями и сигналами.

К поведенческим красным флагам также относят чрезмерную вежливость, отсутствие характерного сленга, невозможность подтвердить репутацию с других площадок, а также поспешность — желание как можно быстрее получить доступ или услуги. Сообщества постоянно совершенствуют свои защитные механизмы против таких пользователей, хотя идеальных методов пока не существует.

Когда речь доходит до прямой угрозы рейда⁸ или следственных действий, на первый план выходит подготовленность инфраструктуры. Форумы реализуют несколько мер:

• Резервные каналы связи. Администраторы заранее обзаводятся способами уведомить пользователей, если основной сайт выйдет из-под контроля. Это могут быть Telegram-каналы, XMPP-конференции⁹, альтернативные форумы. Например, у XSS был настроен Jabber-сервер: администратор в сообщении о захвате домена упомянул, что форум и Jabber могут быть недоступны какое-то время, тем самым напомнив про Jabber как канал связи. Многие крупные форумы ведут Telegram-каналы с новостями или ветку на другом форуме. Когда случается инцидент (арест, DDoS), в этих резервных точках появляются инструкции: куда мигрировать, какой новый адрес использовать и т. п. Это каналы на случай блокировки, чтобы сообщество не распалось. В случае XSS после ареста домена администрация через альтернативные каналы сообщила onion-адрес нового сервера уже на следующий день, а модераторы и вовсе приглашали пользователей на новый проект через личные контакты.

• Регулярные бэкапы и шифрование данных. Естественно, все ценные данные форума (база пользователей, переписки, записи о сделках) должны регулярно архивироваться вне основного сервера. Администраторы настраивают автоматическое резервное копирование на закрытые хранилища или распределенно, между доверенными лицами. Причем хранятся бэкапы в зашифрованном виде, чтобы, даже если они «утекут», посторонний не смог получить открытые данные. Эта практика оправдана: например, форумы RaidForums и BreachForums имели бэкапы, что позволило, несмотря на аресты, частично восстановить информацию и перенести ее на новые платформы-преемники. В случае с XSS администратор уверял, что бэкенд и бэкапы в безопасности даже после изъятия домена.

• Минимизация журналирования. Чтобы обезопасить себя, администраторы форумов стараются не хранить лишних журналов: IP-адреса, истории входов, открытый текст переписок. Все пароли хранятся в хешированном виде (на передовых платформах — bcrypt или Argon2). Чувствительные сообщения рекомендуют шифровать PGP — или форум даже предоставляет сквозное шифрование. Если сервер изымают, в идеале у правоохранителей не должно быть доступной для чтения информации. На практике это не всегда так: иногда форумы невнимательно относятся к хранению данных, и это приводит к раскрытию личности пользователей при анализе изъятой базы. Но в целом современные администраторы осознают риски; некоторые внедряют возможность автоудаления старых сообщений или добавляет функцию, которая стирает чувствительные разделы при активации специального ключа.

Администраторы форумов учатся на ошибках предшественников. Каждый громкий провал — совокупность уроков: что не так сделал владелец, где были ошибки модераторов, через какой канал проникли правоохранители, как вычислили хостинг. Новые площадки стараются не повторять этих ошибок, становясь все более закрытыми и продуманными с точки зрения фильтрации. Тем не менее полностью исключить наличие оперативника внутри сложно: человеческий фактор, подкуп или социальная инженерия могут обойти технические барьеры. Поэтому паранойя — неизменный спутник любого администратора дарквеб-форума

Ни один дарквеб-форум не живет вечно. Рано или поздно наступает событие (рейд, кража данных, внутренний конфликт), которое приводит площадку к упадку или закрытию. Однако сама подпольная экосистема продолжает существовать за счет преемственности и адаптации. Рассмотрим, как форумы стремятся выжить после различных ударов и какие жизненные циклы у них наблюдаются.

Когда форум подвергается рейду правоохранительных органов, у сообщества есть шанс уцелеть при условии готовности инфраструктуры. В идеале администраторы заранее продумывают план на этот случай: как только пропадает основной домен, они включают зеркальный сервер, чтобы аудитория могла переместиться. Например, в случае XSS в день ареста одного из администраторов в июле 2025 года основной clearnet-домен (xss.is) стал показывать страницу уведомления о блокировке ресурса. Однако сайт в Tor-сети еще работал некоторое время, хотя и подвергся мощной DDoS-атаке. Это дало администрации форума время сообщить на самом форуме и в Telegram о дальнейших шагах. Буквально через сутки они запустили новый onion-домен и объявили о нем пользователям. Параллельно были зарегистрированы и альтернативные clearnet-домены (xss.pro и другие). Такой маневр — классический пример миграции: сообщество перегруппировалось на запасной площадке. Конечно, часть пользователей потерялась, но ядро сохранилось. В этом помогают зеркала, бэкапы базы (чтобы не потерять учетные записи, данные о репутации) и внешние каналы связи. Иногда новый форум даже носит имя предшественника («версия 2.0»), чтобы связь была очевидна. Однако зачастую возникают споры о «легитимности» форума-преемника: вдруг его создали спецслужбы, чтобы заманить пользователей в ловушку? Такой спор был вокруг возрождения XSS: часть модераторов не поверила новому администратору и провозгласила, что XSS теперь под контролем полиции. Они предпочли разделить сообщество и открыть свой форум DamageLib. То есть бывает и так: после удара образуется несколько осколков, и каждый претендует на право быть «тем самым продолжением». В итоге выживает сильнейший (или оба форума находят свою аудиторию).

При этом сами связи между участниками никуда не исчезают, и они возрождают площадки в новых местах, продолжая киберпреступную деятельность. Как отмечалось, резервные каналы — Telegram, Jabber, Discord — это один из столпов. Некоторые сообщества идут дальше: вшивают в правила или в клиент форума инструкции на случай рейдов или закрытия. К примеру, могут всем новым пользователям выдавать PGP-шифрованное сообщение с адресами onion-зеркал и контактами администраторов вне форума — куда обращаться, если форум офлайн. Или на самом сайте в незаметном месте публикуется хеш-фраза, по которой потом можно анонсировать новый форум (администратор на другой платформе публикует фразу, подходящую под этот хеш, доказывая преемственность). Такие методы аутентификации позволяют верифицировать новый форум после «падения» старого, чтобы основная часть сообщества не исчезла. Большинство форумов планируют, что делать при блокировке — вплоть до того, что держат на другом континенте резервный сервер с актуальной копией базы, готовый «подняться» под новым именем через час после обыска основного дата-центра.

Интересная тенденция — появление форумов, которые заведомо не рассчитывают на долгий срок жизни. Они работают некоторое время, потом самостоятельно закрываются или уходят в тень, а спустя еще время могут запуститься под новой маркой, взяв избранных участников с собой в новый проект. Пока форум молод, правоохранители не успевают глубоко внедриться, технические слабости не успели проявиться, администраторы не успевают оставить следы. Как только площадка достигает определенного размера или узнаваемости — операторы ее сворачивают, очищают следы и исчезают с деньгами, которые на данный момент находятся в системе гаранта. Киберпреступники, которые решили купить какие-то данные или арендовать ВПО могут остаться без денег и без услуги или данных, продавцы без оплаты за свои действия. Иногда это может быть экзит-скам¹⁰(, но не всегда мотив — обман ради денег. Затем, через несколько месяцев, та же команда может открыть новый форум и пригласить старых проверенных членов сообщества: фактически это реинкарнация. Пример: немецкоязычный Deutschland im Deep Web и Germania. Форумы приходят и уходят, а на деле одно сообщество может мигрировать по кругу... Такой жизненный цикл затрудняет долгосрочное наблюдение за киберпреступниками, но имеет для них и минусы: нет времени, чтобы заработать репутацию, сложнее привлекать новых клиентов — поэтому данная модель пока не является массовой.

В итоге, проведя анализ технических и экономических особенностей дарквеб-форумов, можно сказать, что устойчивость форума напрямую зависит от степени развития технических, экономических мер, от социального доверия — и некоторой доли удачи. Даже самые защищенные площадки могут пасть жертвой обычной ошибки или инсайда. Пример администратора Silk Road не единственный. Например, части финансовой и организационной структуры форума AlphaBay, RaidForums и HansaMarket оказались связаны с реальными сервисами и персональными действиями администраторов, которые имели достаточное количество цифровых следов в публичной части интернета. Повторное использование ников, фраз, привычек, связь анонимной инфраструктуры с неанонимными сервисами, финансовые операции, которые можно отследить и определить личность, а также избыточная публичность и самоуверенность приводили к деанонимизации и закрытию форумов.

Однако на месте заблокированных форумов неизменно появляются новые. После каждого громкого закрытия пользователи рассредотачиваются, часть уходит на конкурирующие форумы, часть создает что-то новое. Таким образом, дарквеб-форумы постоянно самовоспроизводятся. Экосистема форумов функционирует как эволюционная система: слабые или неосторожные не существуют долго, а на их опыте растут более сильные форумы. Адаптация идет как в плане технологий (шифрование, распределение, бэкапы), так и в стратегии (закрытость, миграции, коллаборации с другими платформами). Можно ожидать, что и в дальнейшем форумы будут придумывать новые способы защититься и выжить, а правоохранители и специалисты по ИБ — новые способы вычислить и закрыть их. Хотя уже сейчас очевидно, что подпольные сообщества стали профессиональнее и организованнее, чем 10–15 лет назад. Самые закрытые из них могут превосходить по уровню безопасности многие продвинутые легальные сервисы. Тем не менее, как показывает история, идеальной защиты не существует: человеческий фактор и активная деятельность по противодействию киберпреступности со стороны правоохранительных органов могут погубить даже легендарный форум.

В данной статье мы рассмотрели, как устроены киберпреступные форумы дарквеба с технической и экономической точки зрения и какие изменения претерпела их организация за последние годы. Технологическая эволюция привела от простых форумных платформ к многоуровневым гибридным системам с onion-сервисами, веб-зеркалами и сложной интеграцией. Анонимность и безопасность пользователей по-прежнему обеспечивается комбинацией Tor или I2P, в совокупности с VPN-цепочками, механизмами антискрепинга, закрытой модерацией и строгой системой доверия. В то же время ради удобства и скорости некоторые форумы интегрируются с Telegram-ботами, предлагают API и даже выходят частично в открытый интернет, балансируя на грани риска. Внутри этих сообществ сформировалась своя экономическая инфраструктура: гаранты, криптовалютные транзакции, комиссии и рейтинги — все это делает форумы своего рода подпольными корпорациями, которые дорожат репутацией. Противодействуя внешним угрозам, администраторы применяют антиинфильтрационные меры — от приглашений и проверки новых пользователей до резервных каналов на случай рейдов. Жизненный цикл форума может закончиться внезапно, но благодаря бэкапам, зеркалам и сплоченности участников сообщество часто возрождается в новой форме.

Основываясь на вышесказанном, можно предположить, что ждет дарквеб-форумы в ближайшем будущем:

• Гибридизация инфраструктуры. Дарквеб-форумы будут ориентироваться на распределенные системы с зеркалами в Tor, clearnet и мессенджерах. Все чаще они интегрируются с Telegram и другими мессенджерами, получают API и внешние бот-интерфейсы.
• Рост автоматизации и умных экосистем. Развиваются API, автопостинг и кроссплатформенные аккаунты, объединяющие форум, маркетплейс и бота. Все чаще будут использоваться AI-боты для сделок, поиска информации и верификации участников.
• Монетизация и интеграция. Со временем форумы могут эволюционировать в дарк-биржи с собственными токенами и механизмами доверия.
• Сегментация по уровням доверия и специализации. Элитные сообщества будут становиться все более закрытыми и автономными: доступ туда только по приглашениям, с использованием PoW и PGP. Массовые форумы, напротив, останутся полуоткрытыми и более уязвимыми.
• Укрепление антиинфильтрационных технологий. Администраторы будут применять машинное обучение для анализа поведения и выявления агентов, а также переходить к децентрализованным системам хранения данных.
• Рост числа временных форумов. Такие площадки будут появляться чаще, будут работать ограниченное время и автоматически стирать данные, что значительно осложнит их отслеживание и анализ.
• Слияние форумов и маркетплейсов. Граница между общением и торговлей постепенно исчезает: формируются социальные дарк-маркеты, где обсуждения, сделки и репутация объединены в едином интерфейсе.

Дарквеб-форумы — не хаотичное явление, а динамично развивающиеся платформы, где действуют свои правила. Их способность адаптироваться к преследованию со стороны правоохранительных органов постоянно растет: киберпреступники перенимают лучшие практики ИБ и стремятся хотя бы на шаг опередить тех, кто пытается их разоблачить. Тем не менее сами теневые площадки остаются уязвимыми. В итоге можно сделать вывод, что киберпреступные форумы дарквеба превращаются в сложные социально-технические системы, где непрерывно идет гонка между мерами защиты и методами взлома. Специалистам по кибербезопасности и исследователям угроз следует отслеживать эти изменения и адаптировать свои подходы: только так можно успевать реагировать на новые вызовы, исходящие из теневого сегмента интернета.