Ранее в этом месяце ФБР во второй раз арестовало домены хакерского форума BreachForums (он же Breached), через который хакеры продавали украденные данные другим киберпреступникам. Однако ресурс вернулся в онлайн уже через пару недель и, похоже, теперь находится под контролем ShinyHunters — одного из прежних администраторов BreachForums (1, 2, 3).
Дело в том, что ShinyHunters не только восстановил сайт, но и выставил на продажу БД объемом 1,3 ТБ, содержащую данные 560 млн клиентов Ticketmaster (один из крупнейших в США сервисов по продаже билетов), оценив дамп в 500 000 долларов. Ранее эта БД выставлялась на продажу на русскоязычном хак-форуме Exploit.
Хакеры пишут, что дамп содержит полные имена пользователей, их адреса, адреса электронной почты, номера телефонов, информацию о продаже билетов и мероприятиях, а также последние четыре цифры номера банковских карт и связанные с ними даты истечения срока действия.
Напомним, что сайт и Telegram-канал BreachForums были закрыты правоохранителями 15 мая 2024 года, и на обоих появилось предупреждение о том, что теперь ресурсы и все данные на бэкэнде «находятся под контролем ФБР».
Более того, сообщение о конфискации сопровождалось двумя изображениями из профилей администраторов сайта (Baphomet и ShinyHunters), на аватары которых были наложенные на прутья тюремной решетки.
Из-за этого многие предположили, что Baphomet и ShinyHunters арестованы, хотя официально власти об этом не сообщали. Стоит добавить, что правоохранители также захватили и Telegram-канал, принадлежащий лично Baphomet: в канале появились сообщения, подтверждающие, что тот действительно находится под их контролем властей.
Однако, похоже, ShinyHunters удалось избежать ареста: недавно команда ShinyHunters сообщила, что осталась невредимой и похвасталась тем, что никто из ее участников не был арестован.
По информации сайта Hackread.com, который взял интервью у представителя ShinyHunters, хакеры якобы вернули себе доступ к сайту BreachForums и новому домену в даркнете всего через день после операции ФБР. Министерство юстиции США и ФБР пока не делали никаких официальных заявлений по этому поводу, а в ФБР отказались комментировать аресты и возможное возрождение BreachForums.
Издание The Register цитирует бывшего помощника специального агента ФБР, который возглавлявший киберотдел нью-йоркского отделения ФБР, Остина Бергласа (Austin Berglas). В период его работы правоохранители ликвидировали группу LulzSec, а также Берглас участвовал в закрытии Silk Road.
«Восстановление BreachForums не вызывает удивления. Полностью ликвидировать организованную преступную группу в интернете крайне сложно. Убедиться, что все люди, имеющие доступ, находятся под стражей и неактивны, выявить и захватить всю критически важную инфраструктуру, включая изъятие всей финансовой, технической и коммуникационной инфраструктуры… все это необходимо для ликвидации и жесткого ограничения возможности восстановления, — рассказывает Берглас. — Хотя правоохранительные органы могут конфисковать основной домен (или домены), а также связанные с ним серверы, могут существовать неизвестные им резервные серверы и домены, которые можно задействовать в случае необходимости. Также ранее неустановленные лица могут иметь административный или технический доступ, которым могут воспользоваться после конфискации».
Отметим, что летом прошлого года власти уже изымали домены BreachForums, а также арестовали администратора ресурса — Конора Брайана Фитцпатрика (Conor Brian FitzPatrick), также известного под ником Pompompurin.
В итоге он признал себя виновным по нескольким пунктам обвинениям, и в январе 2024 года его приговорили к 20 годам под надзором. Тогда прокуроры заявляли, что при Фицпатрике на BreachForums «слили» доступ к личной информации миллионов граждан США.
