Правоохранительные органы США официально захватили контроль над доменом хакерского форума BreachForums (он же Breached) спустя три месяца после задержания его владельца и администратора Коннора Брайана Фитцпатрика (Conor Brian FitzPatric), также известного под ником Pompompurin.

Теперь по адресу breached[.]vc отображается баннер, в котором сказано, что сайт был закрыт ФБР, Министерством здравоохранения и социальных служб, Управлением генерального инспектора и Министерством юстиции США.

Также баннер гласит, что в закрытии BreachForums принимали участие и другие правоохранительные органы со всего мира, включая Национальную полицию Нидерландов, Федеральную полицию Австралии, Национальное агентство по борьбе с преступностью Великобритании и полицию Шотландии.

Интересно, что на этот раз, помимо логотипа закрытого сайта, баннер демонстрирует аватар Pompompurin’а, закованный в наручники.

Издание Bleeping Computer отмечает, что также был конфискован домен pompur[.]in, принадлежавший лично Фицпатрику, а сайт BreachForums в даркнете теперь отображает ошибку Nginx «404 Not Found».

DNS-серверы всех захваченных доменов изменены на ns1.seizedservers.com и ns2.seizedservers.com, которые обычно используются  правоохранителями в таких случаях.

Кто такой Pompompurin?

Pompompurin личность широко известная не только в хакерских кругах.  Раньше он занимался взломом компаний, а затем продавал или сливал украденные у них данные на черном рынке, а также был активным участником хак-форума RaidForums. Но после того как ФБР закрыло RaidForums в 2022 году, Pompompurin решил создать собственный сайт — Breach Forums.

Вскоре ресурс стал крупнейшим хак-форумом, посвященным утечкам данных, и чаще всего именно он использовался взломщиками и вымогателями для «слива» информации.

Помимо создания Breach Forums Pompompurin известен и рядом громких взломов. В частности, в конце 2021 года из-за конфликта с ИБ-экспертом Винни Троей (Vinny Troia) он взломал почтовые серверы ФБР и разослал фейковые предупреждения о кибератаках, заявив, что ответственность за эти инциденты лежит на Трое.

Также Pompompurin’а связывают с кражей данных миллионов пользователей Robinhood, утечкой данные 5,4 млн пользователей Twitter и другими крупными инцидентами.

Возрождение BreachedForum?

Напомню, что после ареста Pompompurin’а в марте 2023 года, оставшийся на свободе администратор сайта, известный как Baphomet, был вынужден закрыть хак-форум окончательно, так как обнаружил, что продолжать работу небезопасно. Ведь он считал, что к инфраструктуре BreachForums получили доступ правоохранители.

Тогда Baphomet сообщал, что всем пользователям закрытого форума стоило думать о собственной операционной безопасности (OPSEC).

«Самое важное для нашего сообщества сейчас — знать, что теперь ФБР официально подтвердило, что имеет доступ к базе данных Breached. Они ясно заявляют об этом в последних опубликованных документах, — говорил Baphomet. — На данный момент документы демонстрируют то, о чем я говорил на протяжении всего моего пребывания на Breached: вы не должны доверять собственную OPSEC никому. <...> Поэтому просто собрать всех обратно в одно сообщество, не думая о том, как нам безопасно двигаться дальше, это, по сути, смертельная ловушка».

Невзирая на это, в июне текущего года появились слухи, что Baphomet работает над перезапуском BreachForums на новом домене и сотрудничает с группировкой Shiny Hunters, известной многочисленными «сливами» данных. Одновременно с этим старый домен ресурса отключился и отображал лишь сообщение «Добро пожаловать в nginx!». То есть кто-то получил контроль над доменами и изменил их содержимое и конфигурацию. При этом Baphomet отрицал свою причастность к этим изменениям.

Затем на старых доменах сайта и вовсе появилось сообщение, предупреждающие пользователей о том, что BreachedForums никогда не вернется, а к любым форумам, претендующим на статус новой версии BreachedForum, следует подходить с осторожностью.

Позже это предупреждение было дополнено сообщениями якобы от лица Baphomet, так же предупреждавшими, что любые форумы, претендующие на роль BreachForums, следует считать небезопасными. Сам Baphomet опять отрицал, что вносил какие-либо изменения на старых доменах.

В итоге, через считанные дни новый BreachForums, запущенный Baphomet и Shiny Hunter, пострадал от утечки данных, и неизвестные хакеры опубликовали в открытом доступе украденную БД сайта. Впоследствии на старом домене Breached[.]vc появилось обновление, в котором рекомендовалось не доверять новому BreachForums, поскольку он уже взломан. Теперь послание содержало ссылку на SQL-файл с дампом украденной БД.

Журналисты отмечают, что все эти обновления сайта включали и скрытый HTML-комментарий «Мяу», за которым следовал плачущий смайлик: <!-- meow :'(( -->.

Хотя некоторые ИБ-специалисты предполагали, что все происходящее было попыткой правоохранительных органов воспрепятствовать дальнейшим утечкам данных, в итоге это привело к новому «сливу» базы данных BreachForums, и за этим вряд ли стояли власти. Скорее доступ к серверам получили другие злоумышленники, которые и публиковали упомянутые сообщения.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии