Breach Forums, FBI’ın altyapısını ele geçirip iki yöneticiyi tutuklamasından sadece iki hafta sonra clearnet ve dark web’e geri dönüyor. Yöneticilerden biri olan ShinyHunters, FBI’ın çabalarına rağmen alan adlarını geri aldı ve önemli operasyonel aksaklıklar ve güvenlik açıklarının altını çizdi.
Kötü şöhretli siber suç ve bilgisayar korsanlığı forumu Breach Forums, FBI’ın tüm altyapısına el koymasından sadece iki hafta sonra clearnet ve dark web’e geri döndü. FBI bu süreçte iki yöneticiyi tutukladı.
Operasyon, 15 Mayıs 2024’te FBI’ın koordineli bir uluslararası çabayla Breach Forums’a ait tüm alan adlarına el koymasıyla başladı. Ertesi gün Hackread.com, Breach Forums’un hacker’ı ve ana yöneticisi ShinyHunters’ın, Hong Kong merkezli alan adı kayıt kuruluşu NiceNIC ile iletişime geçerek ele geçirilen alanı FBI’ın gözünün önünden nasıl geri almayı başardığını açıklayan özel bir rapor yayınladı.
Peki ShinyHunters clearnet alanlarını nasıl geri kazandı?
Forum, karanlık ağ için yeni bir alan adı benimsemiş olsa da orijinal alan FBI’dan geri alınamadığı için orijinal clearnet alan adı (breachforums.st) ile tekrar çevrimiçi durumda. Escrow.breachforums.st, ihlali.in ve diğer iki park edilmiş alan adı da dahil olmak üzere diğer ilişkili clearnet alanları da FBI’ın ele geçirmesinden sonra geri alındı.
ShinyHunters, bunun ajansın Siber Bölümünden bir FBI bilgisayar bilimcisi ile alan adı kayıt kuruluşu NiceNIC arasında resmi bir görüşme olduğunu iddia eden bir e-posta paylaştı. Hackread.com tarafından görülen e-posta, olaya ve bilgisayar korsanı yöneticisinin ele geçirilen alanlara nasıl tekrar erişim kazandığına dair derinlemesine bir arka plan sağlıyor.
FBI’ın E-postası
Mektuba göre FBI’ın Siber Bölümü, 15 Mayıs 2024’te Breach Forumlarına karşı bir operasyon gerçekleştirdi ve Breach Forums’un barındırdığı ihlaliforums.st de dahil olmak üzere çeşitli alan adlarını ele geçirdi. GüzelNIC. Alan adlarına mahkeme kararıyla yasal olarak el konuldu.
Ancak ele geçirmeden birkaç saat sonra, ihlaliforums.st alan adı asıl sahibi ShinyHunters’a iade edildi ve FBI’ın “bf_fbi” olarak kayıtlı NiceNIC hesabı askıya alındı.
FBI daha sonra NiceNIC’in siber suçun teşvikini yasaklayan hizmet şartlarını öne sürerek NiceNIC’ten hesaplarını yeniden etkinleştirmesini ve el konulan alan adlarını iade etmesini talep etti. Ajans, alan adlarının iade edilememesi durumunda, ad sunucularının FBI’a ait sunucularla değiştirilmesi veya daha fazla zararın önlenmesi için alan adlarının askıya alınması çağrısında bulundu.
NiceNIC’in FBI’a yanıtı bilinmiyor. Ancak alan adının orijinal haliyle geri dönmesi, şirketin FBI’ın talebini yerine getirmediğini gösteriyor.
E-posta Konuşması
Hackread.com tarafından görülen e-posta konuşması şöyledir: (Not: FBI ajanının adı güvenlik ve gizlilik nedeniyle e-postadan kaldırıldı).
FBI Mail to Registrar:I'm a Computer Scientist within the FBI's Cyber Division, and I'm one of the primary point-of-contacts for any domain operations for the FBI. Earlier this week, on May 15th, 2024, the FBI had conducted an operation against the illicit forum and marketplace 'BreachForums'.
Some public cybersecurity outlets caught wind of the actions, and posted articles on the domain seizure and subsequent splash page. On the morning of the operation, the FBI seized control of a few domains associated with BreachForums, including breachforums.st and others, that were hosted by NiceNic. We were able to lawfully seize them by serving a court-ordered seizure warrant on an account owner located in the United States.
All of the websites that we seized from the account were dedicated to the theft, sale, and sharing of data stolen from victims around the world. Ultimately, our efforts to take down BreachForums were done to prevent any further damage done by the website to countless victims globally.
However, a few hours after the seizure of the domains, around May 15th at 9PM PST, we noticed that the breachforums.st domain was released from our custody and given back to the original threat actor. We also noticed that we were unable to log into our official FBI account at NiceNic, which was registered with the email [email protected] (username: bf_fbi), leading us to believe that the account was suspended.
As such, I was wanting to provide some additional context around the situation to hopefully overturn the account suspension, in addition to returning the lawfully-seized domains back to the FBI NiceNic account.
Additionally, within your domain registration terms of service, you reference that the services will not be used to "promote hacking, cracking, or other cyber crimes or activities", which is a common activity found within and associated with BreachForums.
If the domains cannot be returned to the FBI, we would kindly request that the nameservers be changed to FBI-owned nameservers or suspended via a clientHold to prevent further harm in accordance to your terms of service. The NiceNic account which currently holds the domains, 'vincenzotroia', has actively disregarded and broken your service agreements by continuing to host these domains.
I look forward to hearing back from you - we would all really appreciate any help or guidance that you might be able to provide on the situation.
Respectfully,
S***
FBI için utanç verici durum
Durum FBI için oldukça utanç verici. Breach Forums’un etki alanlarını ele geçirme ve altyapısını kaldırma çabalarına rağmen, forumun orijinal clearnet etki alanlarını hızlı bir şekilde geri kazanabilmesi, operasyonel aksaklıklar, güvenlik açıkları, kamuoyu algısı ve yasal ve prosedürle ilgili kaygılar dahil olmak üzere birçok sorunu ön plana çıkarıyor.
Bu aynı zamanda aradan iki hafta geçmesine rağmen FBI veya Adalet Bakanlığı’nın neden ele geçirmeyi ayrıntılarıyla anlatan basın açıklamaları yayınlamadığını da açıklıyor. Yine de bu durum siber suçlular için bir kazan-kazan durumudur ancak FBI ve operasyona dahil olan diğer kolluk kuvvetlerinin bir sonraki hamlesinin izlenmesi çok önemli olacaktır.
İLGİLİ KONULAR
- Yasal Zorluklara Rağmen Yeni Soap2day Alan Adları Ortaya Çıkıyor
- New BreachForums’ta Veri İhlali: 4.000 üyenin verileri sızdırıldı
- AT&T ihlali mi? ShinyHunters, 70 milyon SSN ile AT&T veritabanını satıyor
- FBI RaidForums’u Ele Geçirdi, Kurucusu Olduğu İddia Edilen Diogo Santos Coelho’yu Tutukladı
- BreachForums’un Sahibi Pompompurin 20 Yıl Denetimli Ceza Aldı