ABD kolluk kuvvetleri, sahibi Conor Fitzpatrick’i (namı diğer Pompompurin) siber suç suçlamasıyla tutukladıktan üç ay sonra kötü şöhretli BreachForums (namı diğer Breached) bilgisayar korsanlığı forumunun net web etki alanına bugün el koydu.
Breached’de barındırılan[.]vc, alan adı artık web sitesinin FBI, Sağlık ve İnsani Hizmetler Departmanı, Genel Müfettişlik Ofisi ve Adalet Bakanlığı tarafından ABD Bölge Mahkemesi tarafından Virginia’nın Doğu Bölgesi.
ABD Gizli Servisi, İç Güvenlik Soruşturmaları, NY Polis Departmanı, ABD Posta Teftiş Servisi, Hollanda Ulusal Polisi, Avustralya Federal Polisi, Birleşik Krallık Ulusal Suç Teşkilatı ve dahil olmak üzere dünya çapındaki diğer kolluk kuvvetleri de bu eylemin bir parçasıydı. Polis İskoçya.
Alan ele geçirme mesajlarında yaygın olarak olduğu gibi, kolluk kuvvetleri sitenin logosunu görüntüledi. Bununla birlikte, benzersiz bir teşhirde kolluk kuvvetleri, el koyma pankartında Pompompurin’in avatarına eklenen kelepçelere de yer vererek alışılmadık bir yaklaşım benimsedi.
BleepingComputer, kolluk kuvvetlerinin pompura da el koyduğunu öğrendi[.]bu operasyonun bir parçası olarak Pompompurin’in kişisel sitesi olan etki alanında.
BreachForums’un açık net etki alanı ele geçirilmiş olsa da, karanlık web muadili henüz el koyma başlığını göstermiyor, bunun yerine “404 Bulunamadı” Nginx hatası gösteriyor.
FBI ve Adalet Bakanlığı sözcüleri, bugün erken saatlerde BleepingComputer ile iletişime geçtiğinde yorum yapmak için hemen müsait değildi.
İlk olarak DataBreaches.net tarafından bildirildiği üzere, bu alan adı ele geçirmeleri ayrıca veri ihlallerini bildirmek için kullanılan kendi sitelerinden birinin ele geçirilmesine yol açtı.
İhlal edilene karşı yeni İhlal edilen
Fitzpatrick’in tutuklanmasının ardından, kalan yönetici Baphomet, orijinal etki alanlarının işleyişini sürdürmeye çalıştı. Ancak Baphomet, federal ajanların sunuculara erişim sağladığına inanarak yöneticinin 20 Mart’ta siteyi kapatmasını istedi.
Kısa bir süre sonra, etki alanı ziyaret edildiğinde, sitenin artık kapatıldığını belirten “502 – Kötü Ağ Geçidi” hata mesajları görüntülendi.
Haziran ayında, Baphomet’in çok sayıda veri ihlaliyle nam salmış bir tehdit aktörü olan Shiny Hunters ile BreachForums’u yeni bir alanda yeniden başlatmak için ortaklık yaptığına dair söylentilerin ardından, eski Breached etki alanı varsayılan olarak ‘nginx’e hoş geldiniz!’ sayfa.
Bu, başka birinin etki alanları üzerinde kontrol sahibi olduğunu ve içeriklerini ve yapılandırmalarını değiştirdiğini gösteriyordu. Baphomet bu değişikliklerin sorumluluğunu reddetti.
Daha da tuhafı, eski alanlarda kullanıcıları BreachedForums’un asla geri dönmeyeceği konusunda uyaran ve BreachedForum’un yeni bir sürümü olduğunu iddia eden forumlara dikkatle yaklaşılması gerektiğini vurgulayan mesajlar çıktı.
Breached’da yayınlanan bir mesajda “‘İhlal’ veya ‘BreachForums’ olduğunu iddia eden herhangi bir forum dikkatli kullanılmalıdır. BreachForums asla geri dönmeyecek” dedi.[.]vc alan adı.
Bu uyarı daha sonra Baphomet’ten yeni BreachForums olduğunu iddia eden herhangi bir forumun güvensiz kabul edilmesi gerektiği konusunda uyarıda bulunduğu iddia edilen mesajlarla güncellendi. Baphomet, eski alanlarda bu güncellemeleri yapanların kendileri olduğunu yalanladı.
Çeşitli bilgisayar korsanlığı forumları arasında tırmanan bir çatışmada, Baphomet’s ve Shiny Hunter’ın yeni BreachForums’u, tehdit aktörlerinin sitenin çalınan veritabanını serbest bırakmasıyla kendi veri ihlaliyle sarsıldı.
Daha sonra, eski Breached’da bir güncelleme çıktı.[.]vc etki alanı, zaten saldırıya uğramış olduğu için BreachForums klonuna güvenmemenizi tavsiye ediyor. Bu mesaj ayrıca yeni BreachedForums’tan sızdırılan çalıntı veritabanı için bir SQL dosyasına bir bağlantı içeriyordu.
Sitedeki tüm bu yeni güncellemeler, ‘Miyav’ yazan gizli bir HTML yorumunu ve ardından ağlayan bir gülen surat içeriyordu:
Siber güvenlik topluluğundaki bazıları bunun kolluk kuvvetlerinin daha fazla veri ihlali ve forumları hacklemek için caydırıcı bir girişim olduğunu düşünürken, bu mesaj aynı zamanda yeni BreachForums veritabanını da sızdırdı, ki bu genellikle kolluk kuvvetlerinden göremeyeceğiniz bir şey.
Diğer tehdit aktörlerinin sunuculara erişimi olması ve bu mesajları göndermesi daha olasıdır.
Eski forumun etki alanı, üç gün sonra FBI’ın el koyma pankartını sergilemeye başladı.
Pompompurin’in tutuklanması
FBI Özel Ajanı John Longmire’ın mahkemeye sunduğu açıklamaya göre, 15 Mart’ta tutuklanması sırasında, BreachForums’un sahibi avukatı olmadan ve anayasal haklarından feragat ettikten sonra gerçek adının Connor Brian Fitzpatrick olduğunu ve gerçekten de Pompourin olduğunu açıkça kabul etti. belgeler.
“Milyonlarca ABD vatandaşına ve yüzlerce ABD ve yabancı şirket, kuruluş ve devlet kurumuna” ait hassas kişisel bilgilerin çalınması ve satışına karışmakla suçlandı.
Fitzpatrick, bir gün sonra 300.000 dolarlık bir kefaletle serbest bırakıldı ve 24 Mart’ta Virginia Doğu Bölgesi Bölge Mahkemesine çıkması planlandı.
Mahkemeye çıkarıldığı gün, FBI yeni mahkeme belgelerinde BreachForums’un veri tabanına erişimleri olduğunu doğruladı.
Sahibinin tutuklanmasının ardından Baphomet, kolluk kuvvetlerinin forum sunucularına erişimi olduğuna inandıklarını söyleyerek Breached’ı kapattı.
Pompompurin kimdir?
Pompompurin, RaidForums’un yüksek profilli bir üyesi ve şirketlerin ağlarını hacklemeye ve çalınan verileri çevrimiçi olarak satmaya veya sızdırmaya odaklanan yeraltı bir siber suçlunun parçası olmuştur.
2022’de RaidForums’un ele geçirilmesinin ardından Pompompurin, kısa sürede veri sızıntıları için en büyük platform haline gelen ve fidye yazılımı grupları ve diğer tehdit aktörleri tarafından çalıntı bilgileri sızdırmak için sıklıkla kullanılan BreachForums (veya Breached) forumunu oluşturdu.
Özellikle, Fitzpatrick’in tutuklanmasından önce kimliği belirsiz bir kişi, ABD’li politikacılara ait kişisel verileri satmaya çalıştı. Bu veriler, US House üyeleri, aileleri ve personeli için sağlık hizmeti sağlayıcısı olan DC Health Link’in ihlali sırasında elde edildi.
Pompompurin ayrıca diğer yüksek profilli kuruluşların ve şirketlerin ihlaline de karıştı. Örneğin, sahte siber saldırı uyarı e-postaları göndermek için FBI’ın Emniyet Teşkilat Portalındaki (LEEP) bir güvenlik açığından yararlandı.
Ayrıca Robinhood’dan müşteri verilerini çaldı ve iddiaya göre yaklaşık 5,4 milyon kullanıcının e-posta adreslerini bulmak için bir Twitter hatasından yararlandı.
Ayrıca, Fitzpatrick’in tutuklanmasının ardından yayınlanan mahkeme belgelerinin, BreachForums dışındaki ihlaller ve kötü niyetli faaliyetlerle bağlantılı olarak Pompompurin aleyhindeki herhangi bir suçlamayı henüz ifşa etmediğine dikkat edilmelidir.