Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
ShinyHunters, AWS Örneklerine Sızdığı İddia Edilen Tehdit Grubunun Önünde
Mathew J. Schwartz (euroinfosec) •
30 Mayıs 2024
Mekan bilet aracısı Ticketmaster’dan çalındığı iddia edilen büyük miktarda veri, yakın zamanda yeniden başlatılan BreachForums veri sızıntısı pazarında satışa sunuluyor.
Ayrıca bakınız: Canlı Web Semineri | Dijital Doppelgängers: Deepfake Teknolojisinin İkili Yüzü
Yönetici ShinyHunters tarafından yayınlanan listede, 560 milyon müşterinin tam adları, e-posta adresleri, telefon numaraları, karma ödeme kartı numaraları, kartların son kullanma tarihleri ve finansal işlemlerin tam geçmişini içeren 1,3 terabaytlık verinin “tek seferlik satış” için sunulduğu varsayılıyor. site.
Satışa sunulan veri örneklerini inceleyen araştırmacılar, bunların meşru göründüğünü ve bu yılın en az 10 Mart’ından başlayarak 2011’e, hatta muhtemelen 2000’lerin ortalarına kadar uzanan işlemleri içerdiğini söylüyor.
Kötü amaçlı yazılım araştırma grubu vx-underground, paylaşılan çalınan verilerin “saçma derecede büyük” bir örneğini incelemeyi başararak, “Nisan ayında bir ara kimliği belirsiz bir tehdit grubu, yönetilen bir hizmet sağlayıcıdan hareket ederek Ticketmaster AWS örneklerine erişim elde edebildi” dedi. Saldırgan tarafından sosyal medya platformu X’te yapılan bir paylaşımda şöyle söylendi.
ShinyHunters veya şu anda BreachForums’un önceki örneğine öncülük eden üretken siber suç grubunun adı olan bu tanıtıcıyı kullanan biri çalınan verilerin reklamını yaparken, kimliği belirsiz bir tehdit grubu AWS örneklerine sızarak verileri sızdırdığını iddia etti. -yeraltı dedi.
Vx-underground, bazı uyarılarla birlikte, “İhlalden sorumlu tehdit grubunun bize sağladığı verilere dayanarak, verilerin meşru olduğunu yüksek derecede güvenle iddia edebiliriz.” dedi. “Bize ‘örnek’ olarak sunulan veriler aşırı derecede büyüktü ve derinlemesine incelemeyi zorlaştırıyordu. Finansal bilgilerin gerçekliğini doğrulayamıyoruz.”
Ticketmaster’ın iddia edilen ihlali, Live Nation Entertainment’ın sahibi için zor bir zamanda gerçekleşti. Geçen hafta ABD Adalet Bakanlığı buna karşı bir antitröst davası açtı.
BreachForums’un Mayıs Ortası Kesintisi
Çalınan veri dilimi, bazen farklı alan adlarına bağlı olsa da hayata geri dönmeye devam eden BreachForums’un (eskiden BreachedForums, Breach Forums ve Breached olarak da biliniyordu) en son versiyonuna ait bir reklamdır.
FBI, çeşitli versiyonlarında siber suç sitesinin fidye yazılımı grupları ve diğer suçlular tarafından “çalıntı erişim cihazları, kimlik belirleme araçları, bilgisayar korsanlığı araçları, ihlal edilmiş veritabanları ve diğer yasa dışı hizmetler de dahil olmak üzere kaçak mal satın almak, satmak ve ticaretini yapmak” için kullanıldığını söyledi. .
İki hafta önce uluslararası bir kolluk kuvveti operasyonu Baphomet tarafından yönetilen BreachForums’u sekteye uğrattı. Sitenin hem clearnet hem de darknet sürümleri, Yeni Zelanda, Avustralya, Birleşik Krallık, Almanya, İzlanda ve Ukrayna’daki emniyet teşkilatlarının logolarının yanı sıra BreachForums’un “FBI’nın kontrolü altında” olduğunu belirten bir ele geçirme bildirimiyle çözüme kavuşturuldu (bkz: FBI, Suçlu Site BreachForums’u Ele Geçirdi).
Tehdit istihbarat firması Flashpoint, “Ayrıca hem Baphomet hem de BreachForums’un sahipleri ShinyHunters’a ait çeşitli Telegram kanallarının kontrolünü de ele geçirdiler” dedi. “Kolluk kuvvetleri, ele geçirmeyle ilgili herhangi bir ek ayrıntı paylaşmadı. Bu, tehdit aktörleri topluluğu içinde çeşitli söylentilerin dolaşmasına yol açtı; ShinyHunters, Baphomet’in FBI tarafından tutuklandığını iddia etti.”
Bu ayın başlarında BreachForums’un kapatılmasının ardından FBI, BreachForums kurbanlarının veya öncüllerinin öne çıkıp aktif soruşturmaya yardımcı olmalarını isteyen özel bir sayfa başlattı.
Daha sonra BreachForums “yeniden canlandı” ve ele geçirilen alan adlarından biri altında yeniden ortaya çıktı ve ShinyHunters’ın bir gönderisi “orijinal ekibin” hâlâ işin içinde olduğunu duyurdu. ShinyHunters, bir kullanıcının önceki sürümde sahip olduğu herhangi bir rütbeyi eski durumuna döndürme sözü verdi.
Büro, ABD mahkemesinin emrini kullanarak ele geçirdiği alan adlarından en az biri üzerinde bir çekişme içinde görünüyor. BreachForums, FBI tarafından ele geçirilen BreachForums alanlarından birinin kontrolünü yeniden ele geçirmek isteyen, Hong Kong merkezli alan adı kayıt şirketi Nice.nic’e bir FBI bilgisayar bilimcisi tarafından gönderildiği iddia edilen bir mektup yayınladı.
Mektupta, “Alan adlarının ele geçirilmesinden birkaç saat sonra, 15 Mayıs 21:00 PST civarında, ihlaliforums.st alan adının gözetimimizden çıkarıldığını ve orijinal tehdit aktörüne geri verildiğini fark ettik” deniyor. “Ayrıca, [email protected] (kullanıcı adı: bf_fbi) e-posta adresiyle kayıtlı NiceNic’teki resmi FBI hesabımıza giriş yapamadık ve bu da hesabın askıya alındığına inanmamıza neden oldu.”
ShinyHunters, alanın kontrolünü yeniden ele geçirdiğini doğruladı. BreachedForums’a Perşembe günkü gönderisinde “En iyi hareket tarzının NiceNIC’ten alan adlarını geri istemek olduğuna karar verdik ve çok beklenmedik bir şekilde bu isteği kabul ettiler.” dedi ve yaptığı bir sonraki şeyin alan adını farklı bir sağlayıcıya aktarmak olduğunu ekledi.
“İleriye gitmek: Kaydetmek .onion URL’si. Açıkçası, clearnet alan adları sonsuza kadar sürmeyecek” dedi ShinyHunters. “Her şeyi tekrar çalışır duruma getirmek için çalışıyoruz. Altyapımızı yenilerken herkesi bilgilendireceğiz.”
BreachForums’un Birçok Enkarnasyonu
Yeniden başlatmadan önce, BreachForums – şu adreste barındırılıyor: breachforums.st/.cx/.is/.vc – ShinyHunters veri hırsızlığı çetesi tarafından clearnet ve darknet pazarı olarak yönetiliyordu.
Bundan önce, BreachForums’un başka bir sürümü şu adreste barındırılıyor: breached.vc/.to/.co – Pompompurin olarak da bilinen Conor Brian Fitzpatrick tarafından yönetiliyordu ve benzer hizmetler sunuyordu. Flashpoint, siteyi Mart 2022’de açtıktan sonra popülaritesinin arttığını ve üye sayısının 1.500’den 192.000’e çıktığını söyledi.
Sitenin bu sürümü, ABD kolluk kuvvetlerinin o zamanlar 20 yaşında olan Fitzpatrick’i tutukladığı Mart 2023’e kadar varlığını sürdürdü. Ocak ayında bir yargıç onu 20 yıl denetimli serbestlik cezasına çarptırdı ve bir yıl boyunca interneti kullanmasını yasakladı (bkz: BreachForums Yöneticisi Hapis Cezasından Kurtuldu).
Fitzpatrick, Raidforums.com’da barındırılan ve Omnipotent tarafından yönetilen ve 2015’in başından Şubat 2022’ye kadar süren RaidForums’un yerine BreachForums’u başlattı.
Ocak 2022’de İngiliz polisi, RaidForums’un kurucusu veya kurucu ortağı olduğu iddia edilen Portekiz vatandaşı Diogo Santos Coelho’yu tutukladı. Şu anda 24 yaşında olan Coelho, dolandırıcılık ve kimlik hırsızlığı suçlamalarını içeren altı maddelik ABD iddianamesiyle karşı karşıya. Hem ABD hem de Portekiz, Coelho’nun mücadelesini sürdürdüğü İngiltere’ye iade talebinde bulundu.