FBI ve ABD Adalet Bakanlığı’nın BreachForums’u kapatmasından yalnızca iki hafta sonra, kötü şöhretli veri sızıntısı sitesi yeniden çevrimiçi görünüyor ve 500 milyondan fazla Live Nation/TicketMaster müşterisine ait olduğu iddia edilen kişisel verileri ve ödeme kartı verilerini satıyor.
Hakikat mi yoksa Kanun Uygulama Blöfü mü?
Malwarebytes’teki araştırmacılar bu hafta, BreachForums sitesinin yöneticisi olan “ShinyHunters”ın, iddia edilen TicketMaster verilerini orijinal etki alanlarından birinde 500.000 dolara satışa sunduğunu fark etti. Ancak operasyonun görünürdeki yeniden canlandırılmasının yasal olup olmadığından veya kolluk kuvvetlerinin bir kez daha forumdan çalınan verileri satın almak isteyen kötü aktörleri tuzağa düşürmek için bir tuzak olup olmadığından emin değiller.
Malwarebytes araştırmacısı, “Bu veri kümesinin amacının biraz dikkat çekmek ve eski forum kullanıcılarının BreachForums’un canlı ve etkili olduğunu bilmelerini sağlamak için bir cazibe görevi görmek olduğu sonucuna varıyoruz.” Pieter Arntz bir blog yazısında şunu yazdı: Bu hafta. “Fakat gösteriyi kimin yürüttüğü, yakında cevaplamayı umduğumuz sorudur.”
BreachForums, siber suçluların kredi kartı verileri, banka hesap bilgileri, Sosyal Güvenlik numaraları, banka hesap bilgileri, bilgisayar korsanlığı araçları, hesap kimlik bilgileri ve kişisel kimlik bilgileri dahil olmak üzere her türlü çalıntı veriyi alıp satabileceği bir bilgisayar korsanlığı forumu ve pazar yeridir. Bu yılın başlarında yaklaşık 340.000 üyeye sahip olmakla övünen forum, FBI’ın kararının ardından 2022 ortalarında yasa dışı veriler için başvurulan pazar haline geldi. RaidForums’un kesintiye uğramasıo zamanlar türünün en büyüğü olan başka bir veri sızıntısı sitesi.
Bu ayın başlarında FBI ve Adalet Bakanlığı BreachForums’un kontrolü ele geçirildi Ana yöneticilerinden ikisi olan “Baphomet” ve “ShinyHunters”a ait alan adları ve Telegram kanalları. Bu hareket, BreachForums’un yaratıcısı olduğu iddia edilen Conor Fitzpatrick’in (diğer adıyla “pompompurin”) Mart 2023’te tutuklanmasının ardından geldi. Ne FBI ne de Adalet Bakanlığı, BreachForum alan adının kaldırılmasıyla ilgili pek fazla ayrıntı sunmasa da ShinyHunters, FBI’ın Baphomet’i de tutukladığını iddia etti. Alevlenme noktası bu hafta bir raporda söyledi.
“Avatar ve Tanıtıcı Kolayca Kopyalanır”
Malwarebytes’e göre BreachForums’un kolluk kuvvetlerinin alan adlarına el koymasından sadece iki hafta sonra yeniden ortaya çıkması çeşitli nedenlerden dolayı şüpheli. Öncelikle, ShinyHunters’ın BreachForums’ta satışa sunduğu verilerin aynısı, başka bir Dark Web sitesinde SpidermanData tanıtıcısını kullanan bir kişi tarafından da satılıyor. 560 milyon müşteriye ait verileri içerdiği iddia edilen veri kümesinin kendisi şüpheli derecede büyük görünüyor ve bu nedenle muhtemelen iddia ettiği gibi değil. Yeniden canlanan BreachForums sitesi, kullanıcıların satışa sunulan içeriği görmek istemeleri durumunda kayıt olmalarını da gerektiriyor.
Arntz, Malwarebytes blog yazısında şöyle yazdı: “Bir avatar ve bir kullanıcı adı kolaylıkla kopyalanabilir ve bir şeylerin ters gittiğine dair örümcek hislerimizi uyandıran birkaç şey vardır.”
Arntz, Dark Reading’e yaptığı ayrı yorumda, kolluk kuvvetlerinin siber suçluları tuzağa düşürmek için benzer tuzakları ilk kez kullanmayacağını söylüyor. 2018’de Dark Web uyuşturucu sitesinin kapatılmasıyla sonuçlanan bir operasyona işaret ediyor Hansa Pazarı ve şifrelenmiş bir cihaz şirketinin çökertilmesi ANOM iki örnek olarak.
Önceki Yayından Kaldırma İşlemleriyle Tutarlı
Ancak Arntz, eğer BreachForums’un yeniden canlanması gerçekten gerçekse, bunun da önceki eğilimlerle tutarlı olacağını belirtiyor. “Suçlular işe yaradığını bildikleri şeyleri yapmaya devam etmeyi severler” diyor. “Dolayısıyla aynı yöneticilerle ve özellikle de güvenilir emanet hizmetiyle uğraşmak, henüz bilmedikleri yeni bir hizmet bulmaktan daha iyidir. Yani mevcut kullanıcıların geri dönme olasılığı yüksektir.”
Ian Gray, istihbarattan sorumlu başkan yardımcısı Flashpoint, kanıtların BreachForums’un çalışır durumda olduğunu gösterdiğini söylüyor. Dark Web sohbeti, kolluk kuvvetleri tarafından ele geçirildikten sonra ana BreachForums alanının başka bir yere aktarıldığına işaret ediyor. Gray, “Ele geçirmeden kısa bir süre sonra site, BreachForums için bir Telegram sohbeti olan ‘Jacuzzi 2.0’a bir bağlantı ekledi” diyor. Amerikan hip hop grubu NWA’nın protesto şarkısına atıfta bulunarak, “Bugün sitenin açılış sayfasında NWA’nın “F*** Tha Police” adlı şarkısına bir bağlantı yer alıyor, diyor.
Kapatılan BreachForums’un yöneticisi ShinyHunters, FBI’dan ele geçirilen alanın kontrolünü geri aldığını iddia ediyor.
Gray, daha fazla sohbetin, başka bir BreachForums üyesi “USDoD”un 4 Temmuz’da BreachForums’un mevcut yinelemesiyle ilişkili olmayan benzer bir sızıntı sitesi başlatacağını öne sürdüğünü belirtti. Yeni forumun alan adının ihlalnation.io veya databreached.io olması planlandığını söylüyor.
E-posta güvenlik sağlayıcısı SlashNext’in CEO’su Patrick Harr, ne yazık ki dünyadaki BreachForum’ların metastaz yapmaya hazır olduğunu söylüyor. “Bunlar hiçbir zaman tamamen ortadan kaldırılmadı tedaviye veya bu durumda ortadan kaldırılmasına rağmen” diyor. “Grup, tıpkı kanser gibi, hâlâ arka planda gizleniyor, yeniden ortaya çıkmayı bekliyor, bazen farklı bir isim veya biçimde ama aynı amaç doğrultusunda.”