Правоохранительные органы США официально захватили контроль над доменом хакерского форума BreachForums (он же Breached) спустя три месяца после задержания его владельца и администратора Коннора Брайана Фитцпатрика (Conor Brian FitzPatric), также известного под ником Pompompurin.
Теперь по адресу breached[.]vc отображается баннер, в котором сказано, что сайт был закрыт ФБР, Министерством здравоохранения и социальных служб, Управлением генерального инспектора и Министерством юстиции США.
Также баннер гласит, что в закрытии BreachForums принимали участие и другие правоохранительные органы со всего мира, включая Национальную полицию Нидерландов, Федеральную полицию Австралии, Национальное агентство по борьбе с преступностью Великобритании и полицию Шотландии.
Интересно, что на этот раз, помимо логотипа закрытого сайта, баннер демонстрирует аватар Pompompurin’а, закованный в наручники.
Издание Bleeping Computer отмечает, что также был конфискован домен pompur[.]in, принадлежавший лично Фицпатрику, а сайт BreachForums в даркнете теперь отображает ошибку Nginx «404 Not Found».
DNS-серверы всех захваченных доменов изменены на ns1.seizedservers.com и ns2.seizedservers.com, которые обычно используются правоохранителями в таких случаях.
Кто такой Pompompurin?
Pompompurin личность широко известная не только в хакерских кругах. Раньше он занимался взломом компаний, а затем продавал или сливал украденные у них данные на черном рынке, а также был активным участником хак-форума RaidForums. Но после того как ФБР закрыло RaidForums в 2022 году, Pompompurin решил создать собственный сайт — Breach Forums.
Вскоре ресурс стал крупнейшим хак-форумом, посвященным утечкам данных, и чаще всего именно он использовался взломщиками и вымогателями для «слива» информации.
Помимо создания Breach Forums Pompompurin известен и рядом громких взломов. В частности, в конце 2021 года из-за конфликта с ИБ-экспертом Винни Троей (Vinny Troia) он взломал почтовые серверы ФБР и разослал фейковые предупреждения о кибератаках, заявив, что ответственность за эти инциденты лежит на Трое.
Также Pompompurin’а связывают с кражей данных миллионов пользователей Robinhood, утечкой данные 5,4 млн пользователей Twitter и другими крупными инцидентами.
Возрождение BreachedForum?
Напомню, что после ареста Pompompurin’а в марте 2023 года, оставшийся на свободе администратор сайта, известный как Baphomet, был вынужден закрыть хак-форум окончательно, так как обнаружил, что продолжать работу небезопасно. Ведь он считал, что к инфраструктуре BreachForums получили доступ правоохранители.
Тогда Baphomet сообщал, что всем пользователям закрытого форума стоило думать о собственной операционной безопасности (OPSEC).
«Самое важное для нашего сообщества сейчас — знать, что теперь ФБР официально подтвердило, что имеет доступ к базе данных Breached. Они ясно заявляют об этом в последних опубликованных документах, — говорил Baphomet. — На данный момент документы демонстрируют то, о чем я говорил на протяжении всего моего пребывания на Breached: вы не должны доверять собственную OPSEC никому. <...> Поэтому просто собрать всех обратно в одно сообщество, не думая о том, как нам безопасно двигаться дальше, это, по сути, смертельная ловушка».
Невзирая на это, в июне текущего года появились слухи, что Baphomet работает над перезапуском BreachForums на новом домене и сотрудничает с группировкой Shiny Hunters, известной многочисленными «сливами» данных. Одновременно с этим старый домен ресурса отключился и отображал лишь сообщение «Добро пожаловать в nginx!». То есть кто-то получил контроль над доменами и изменил их содержимое и конфигурацию. При этом Baphomet отрицал свою причастность к этим изменениям.
Затем на старых доменах сайта и вовсе появилось сообщение, предупреждающие пользователей о том, что BreachedForums никогда не вернется, а к любым форумам, претендующим на статус новой версии BreachedForum, следует подходить с осторожностью.
Позже это предупреждение было дополнено сообщениями якобы от лица Baphomet, так же предупреждавшими, что любые форумы, претендующие на роль BreachForums, следует считать небезопасными. Сам Baphomet опять отрицал, что вносил какие-либо изменения на старых доменах.
В итоге, через считанные дни новый BreachForums, запущенный Baphomet и Shiny Hunter, пострадал от утечки данных, и неизвестные хакеры опубликовали в открытом доступе украденную БД сайта. Впоследствии на старом домене Breached[.]vc появилось обновление, в котором рекомендовалось не доверять новому BreachForums, поскольку он уже взломан. Теперь послание содержало ссылку на SQL-файл с дампом украденной БД.
Журналисты отмечают, что все эти обновления сайта включали и скрытый HTML-комментарий «Мяу», за которым следовал плачущий смайлик: <!-- meow :'(( -->
.
Хотя некоторые ИБ-специалисты предполагали, что все происходящее было попыткой правоохранительных органов воспрепятствовать дальнейшим утечкам данных, в итоге это привело к новому «сливу» базы данных BreachForums, и за этим вряд ли стояли власти. Скорее доступ к серверам получили другие злоумышленники, которые и публиковали упомянутые сообщения.