ФБР снова арестовало домены хакерского форума BreachForums (он же Breached), через который хакеры продавали украденные данные другим киберпреступникам. Судя по всему, действия властей связаны с недавней утечкой данных Европола, которую распространяли через BreachForums.
Конфискация произошла утром 15 мая, всего через несколько дней после того, как на сайте были опубликованы данные, украденные с портала Europol Platform for Experts (EPE), который эксперты правоохранительных органов используют для «обмена знаниями, передовым опытом и неперсонализированными данными о преступлениях».
В настоящее время на сайте отображается сообщение о том, что ресурс и все данные на бэкэнде были захвачены ФБР. То есть правоохранительные органы, похоже, изъяли как серверы, так домены сайта. Это сообщение сопровождается двумя изображениями из профилей текущих администраторов сайта (Baphomet и ShinyHunters), на аватары которых наложенные на прутья тюремной решетки.
Кроме того, ФБР заявляет, что захватило Telegram-канал сайта и другие каналы, принадлежащие лично Baphomet. Причем правоохранители уже опубликовали в Telegram сообщения, подтверждающие, что каналы действительно находятся под их контролем.
Интересно, что некоторые из сообщений, опубликованных властями в захваченных Telegram-каналах, отправлены непосредственно с аккаунта Baphomet. То есть, вероятно, он уже арестован, а его устройства теперь находятся в руках правоохранителей.
Теперь ФБР призывает пострадавших и других людей сообщить им любую информацию о хак-форумах BreachForums и Raidforums и их участниках, чтобы помочь в расследовании.
«С июня 2023 года по май 2024 года BreachForums (расположенный по адресам breachforums[.]st/.cx/.is/.vc и управляемый ShinyHunters) функционировал как клирнет-маркетплейс для киберпреступников, где они покупали, продавали и обменивались контрабандой, включая украденные устройства доступа, средства идентификации, инструменты для взлома, украденные базы данных и прочие незаконные товары и услуги, — объясняют правоохранители. — Ранее, с марта 2022 года по март 2023 года, отдельная версия BreachForums (размещенная по адресам breached[.]vc/.to/.co и управляемая pompompurin) функционировала как аналогичный хакерский форум. Raidforums (расположенный по адресу raidforums.com и управляемый Omnipotent) был хакерским форумом-предшественником обеих версий BreachForums и работал с начала 2015 года до февраля 2022 года».
Напомним, что летом прошлого года власти уже изымали домены BreachForums, а также арестовали администратора ресурса — Конора Брайана Фитцпатрика (Conor Brian FitzPatrick), также известного под ником Pompompurin.
В итоге он признал себя виновным по нескольким пунктам обвинениям, и в январе 2024 года его приговорили к 20 годам под надзором. Тогда прокуроры заявляли, что при Фицпатрике на BreachForums «слили» доступ к личной информации миллионов граждан США.
Однако вскоре после закрытия этой версии сайта BreachForums вернулся, и его возглавили другие люди: один из прежних администраторов сайта, Baphomet, объединился с известным продавцом данных ShinyHunters, и они возродили сайт на другом домене (по словам ФБР, домен с тех пор менялся трижды).
В настоящее время неясно, были ли арестованы Baphomet и ShinyHunters (хотя на это намекают прутья тюремных решеток на их аватарах), но похоже, правоохранительные органы давно имели доступ к серверам сайта и следили за деятельностью хакеров. Судя по всему, после слива данных Европола, правоохранители решили, что все зашло слишком далеко, и были вынуждены принять меры.