28 sierpnia 2024

Breachforums: Decepcja czy rozczarowanie?

WPROWADZENIE

Od początku roku władze przeprowadziły wiele zakrojonych na szeroką skalę operacji przeciwko cyberprzestępczości. Niezależnie od tego, czy chodzi o operację Cronos przeciwko grupie cyberprzestępczej Lockbit, czy ostatnią operację Endgame wymierzoną w dostawców i operatorów botnetów, wydarzenia te trafiły na pierwsze strony gazet.

Jednak niektóre operacje, pomimo ich znacznej skali, nie były tak szeroko komentowane w mediach. Działania takie jak zajęcie serwerów Breachforums i aresztowanie ich administratora, przeprowadzone przez policję z kilku krajów, w tym FBI, też miały znaczący wpływ na walkę z cyberprzestępczością.

Założone w 2022 r. Breachforums szybko stało się niezbędne dla cyberprzestępców po zamknięciu Raidforums. Podobieństwa między nimi, zarówno pod względem struktury, jak i rodzajów wymienianych informacji, są godne uwagi. Fora te, począwszy od kupna i sprzedaży wyciekłych danych i złośliwego kodu, po szersze dyskusje na temat cyberbezpieczeństwa, a nawet pornografii, tworzą rodzaj cybernetycznej strefy bezprawia zarządzanej przez anonimowych administratorów.

Mówiąc o administratorach, nie można pominąć ich aresztowań i prób likwidacji tych platform. Pierwszym z serii było aresztowanie Conora Briana Fitzpatricka, znanego również jako "Pompurin", początkowego administratora i twórcy Breachforums. Wydarzenie to tymczasowo wstrzymało działanie forum, dopóki "Baphomet" i "ShinyHunters" nie przejęli zarządzania nim.

15 maja 2024 r. doszło do kolejnego przejęcia witryny. Według dostępnych informacji "Baphomet" został również aresztowany przez FBI, choć do tej pory nie było oficjalnego potwierdzenia tego aresztowania. Pomimo zajęcia wielu serwerów, Breachforums pojawiło się ponownie kilka tygodni później, teraz administrowane przez "ShinyHunters".

Zrzut ekranu z przejęcia przez FBI konta Telegram Baphometa.

Zrzut ekranu z przejęcia przez FBI konta Telegram Baphometa

W przeciwieństwie do innych administratorów, "Shinyhunters" nie jest nieznanym pseudonimem w świecie cyberprzestępczości. W rzeczywistości grupa o tej samej nazwie istnieje od 2020 roku, a trzy osoby z Francji zostały aresztowane za udział w powiązanych z nią działaniach. Należy jednak zauważyć, że poza nazwą i twierdzeniami, żadne oficjalne informacje nie potwierdzają hipotezy, że to właśnie ta grupa stoi za wskrzeszeniem forum.

ZBYT SZYBKIE ODRODZENIE?

Po interwencji i przejęciu serwerów pojawiło się wiele dyskusji na temat następcy Breachforums.

Jego zniknięcie było krótkotrwałe i zaledwie kilka tygodni później forum pojawiło się ponownie. Na kilku innych forach i kanałach Telegramu "prawdziwość” forum jest wysoce kwestionowana. Oto przykład komunikacji od cyberprzestępców Lapsus$, znanych ze swoich ataków ransomware i wymuszeń na wielu firmach:

Zrzut ekranu wiadomości o Breachforums na kanale Lapsus$ Telegram.

Zrzut ekranu wiadomości o Breachforums na kanale Lapsus$ Telegram

Nie są oni jedynymi, którzy zwracają uwagę na ten szybki powrót. Niektórzy kwestionują potencjalną współpracę między FBI a byłymi lub obecnymi administratorami. Jak widać na tym forum:

Zrzut ekranu reakcji na forum pod postem o przejęciu Breachforums.

Zrzut ekranu reakcji na forum pod postem o przejęciu Breachforums

Co więcej, według stenogramów z procesu "Pompurina", Conor Brian Fitzpatrick podpisał umowę o współpracy z władzami USA. W ramach dochodzeń i oskarżeń przeciwko użytkownikom i administratorom Breachforums, zobowiązał się on do współpracy z amerykańskim wymiarem sprawiedliwości. W momencie aresztowania pana Fitzpatricka jego dostęp do strony nie został cofnięty, co umożliwiło władzom uzyskanie uprzywilejowanego dostępu do forum.

SPRZECIW, WYSOKI SĄDZIE: WYJAŚNIENIE OD SHINYHUNTERS DOTYCZĄCE ODRODZENIA FORUM

Po tych wszystkich pytaniach, obecny administrator forum wydał oświadczenie:

Zrzut ekranu z wyjaśnieniem ShinyHunters dotyczącym odzyskania dostępu do domeny Breachforums.

Zrzut ekranu z wyjaśnieniem ShinyHunters dotyczącym odzyskania dostępu do domeny Breachforums

Do tego wpisu, zatytułowanego "Jak trollujemy FBI", należy podchodzić z ostrożnością. W publikacji tej autor i obecny administrator forum wyjaśnia, że po operacji FBI nie podano żadnych szczegółów dotyczących aresztowania "Baphometa", ale bazy danych forum zostały skonfiskowane.

Dalsza część wiadomości potencjalnie rzuca więcej światła na szybkie ożywienie forum. Autor wyjaśnia, że wkrótce po zajęciu nazwy domeny zainicjował dyskusję z firmą, w której nazwy domen zostały zarejestrowane: NiceNic. Zgodnie z postem, "Shinyhunters" nie mieli żadnych problemów z odzyskaniem nazwy domeny. Na poparcie tego twierdzenia administrator opublikował zrzut ekranu wiadomości e-mail rzekomo wysłanej przez FBI do NiceNic z pytaniem o odzyskanie nazwy domeny. Nie podano żadnej weryfikacji autentyczności tego zrzutu ekranu wiadomości e-mail.

Kolejna kwestia związana z tą operacją, według "Shinyhunters", dotyczy przejętych przedmiotów. FBI rzekomo nie ograniczyło się do przejęcia serwerów zawierających dane Breachforums, ale zamiast tego zajęło całe centrum danych. Operacja ta podobno wymusiła zamknięcie wielu legalnych usług, mając niewielki wpływ na forum, które zostało ponownie otwarte kilka dni później.

ANALIZA GATEWATCHER

Pomimo wszystkich informacji zebranych podczas tego dochodzenia żaden spójny zbiór dowodów nie pozwala nam na wyciągnięcie ostatecznych wniosków. Łatwo jednak zidentyfikować 2 hipotezy:

Za forum stoi FBI: FBI może prowadzić operację wpływu, aby na nowo legitymizować forum. Chociaż aktywność forum była mała, Breachforums nadal odnotowuje ruch, a sprzedaż skradzionych danych utrzymuje się. Jeśli ta hipoteza okaże się prawdziwa, umożliwi to amerykańskim służbom federalnym gromadzenie znacznych informacji za pomocą "czujnika” umieszczonego blisko świata cyberprzestępczego. Mogłoby to doprowadzić do przyszłych aresztowań i wzmocnienia międzynarodowej współpracy w walce z cyberprzestępczością.

Próba odzyskania danych przez Shinyhunters: Shinyhunters zdołało przekonać NiceNic do odzyskania nazwy domeny, umożliwiając odrodzenie Breachforums ze starych kopii zapasowych, które nie zostały przejęte podczas interwencji organów ścigania. FBI nie poinformowało o tym przejęciu, które może nie być tak znaczące, obawiając się, że może to zepsuć ich wizerunek w oczach opinii publicznej. Rzeczywiście, zajmując serwery hostujące witryny, mogli wpłynąć na działalność niektórych firm, powodując znaczne zakłócenia i straty finansowe. Pomimo potencjalnego aresztowania jednego z administratorów akcja ta mogła pozostawić gorzki posmak dla FBI ze względu na jej minimalny wpływ na forum i większy wpływ na legalne usługi.

Podsumowując, nikt spoza FBI nie może potwierdzić ani zaprzeczyć elementom przedstawionym w poście "Shinyhunters". Operacja ta jest podręcznikowym przypadkiem wojny wpływów. W ostatnich latach cyberprzestępcy nauczyli się opanowywać sztukę komunikacji, aby złagodzić lub usprawiedliwić swoje działania. Dopóki nie zostanie wydane oficjalne oświadczenie od certyfikowanego organu, należy zachować sceptycyzm wobec informacji. Konieczne jest zrozumienie, że instytucje są również zainteresowane prowadzeniem wojny wpływów, co znacznie komplikuje gromadzenie informacji. Dlatego też niezbędne jest porównywanie źródeł. Istnieje prawdopodobieństwo, że elementy tej operacji zostaną ujawnione dopiero w nadchodzących miesiącach, a nawet latach.

Aktualizacja z 06/10/2024:

Od dzisiejszego poranka Breachforums nie jest już dostępne. Nie jest to niczym niezwykłym w przypadku takich forów, które regularnie doświadczają przerw. Jednak spójne dowody, w tym usunięcie kanału dyskusyjnego forum, zablokowanie konta Telegram Shinyhuntera i prywatne wymiany, sugerują, że nie będzie kolejnej wersji Breachforums. Zamknięcie strony może być związane z presją ze strony władz.

Do tej pory instytucje amerykańskie ani Shinyhunter nie wydały żadnych oświadczeń.

Autorem tekstu jest Joanna Świerczyńska

Mateusz Nowak

Mateusz Nowak
product manager Gatewatcher / Sekoia

Masz pytania?
Skontaktuj się ze mną:
nowak.m@dagma.pl
32 793 11 19