米国の法執行機関は本日、悪名高いハッキングフォーラム「BreachForums」(別名「Breached」)のクリアウェブドメインを、サイバー犯罪容疑で所有者のコナー・フィッツパトリック(別名ポムポムプリン)を逮捕してから3か月後に押収した。
Breached[.]vc でホストされているこのドメインには、現在、Web サイトが FBI、保健福祉省、監察総局、および司法省によって発行された令状に基づいて削除されたことを示す押収バナーが表示されています。バージニア州東部地区連邦地方裁判所。
米国シークレットサービス、国土安全保障捜査局、ニューヨーク市警察、米国郵便検査局、オランダ国家警察、オーストラリア連邦警察、英国国家犯罪庁など、世界中の他の法執行機関もこの行動に参加した。スコットランド警察。
ドメイン差し押さえのメッセージではよくあることですが、法執行機関はサイトのロゴを表示しました。しかし、法執行機関はユニークな表示で、押収バナーのポムポムプリンのアバターに手錠も追加するという、型破りなアプローチを採用しました。
警察はこの作戦の一環として、ポムポムプリンの個人サイトであるpompur[.]inドメインも押収したことが判明した。
BreachForums のクリア ネット ドメインは押収されましたが、そのダーク Web ドメインにはまだ押収バナーが表示されず、代わりに「404 Not Found」という Nginx エラーが表示されます。
FBIと司法省の報道官は本日までに連絡を取ったが、現時点ではコメントは得られていない。
DataBreaches.netが最初に報告したように、これらのドメインの差し押さえは、データ侵害の報告に使用されていた独自のサイトの 1 つも差し押さえられました。
ブリーチ済み vs. 新しいブリーチ済み
フィッツパトリックの逮捕後、残りの管理者であるバフォメットは、元のドメインの機能を維持しようとしました。しかし、バフォメット氏は連邦職員がサーバーにアクセスしたと信じており、管理者は3月20日にサイトを閉鎖した。
その直後、ドメインにアクセスすると、サイトがシャットダウンされたことを示す「502 – Bad Gateway」エラー メッセージが表示されました。
6 月、Baphomet が、多数のデータ侵害で悪名高い脅威アクターである Shiny Hunters と提携して新しいドメインで BreachForums を再起動するという噂が流れた後、古い侵害されたドメインにはデフォルトの「nginx へようこそ!」が表示され始めました。ページ。
これは、他の誰かがドメインの制御を取得し、そのコンテンツと構成を変更していることを示していました。バフォメットはこれらの変化に対する責任を否定した。
さらに奇妙なことに、古いドメインには、BreachedForums が二度と戻らないことをユーザーに警告し、BreachedForum の新バージョンを名乗るフォーラムには慎重にアプローチする必要があると強調するメッセージが表示されました。
Breached[.]vc ドメインに投稿されたメッセージには、「『Breached』または『BreachForums』を主張するフォーラムは慎重に使用する必要があります。BreachForums は決して戻ってきません」と書かれています。
このアラートは後に更新され、新しい BreachForum であると主張するフォーラムは安全ではないと警告する Baphomet からのメッセージとされるもので更新されました。バフォメット氏は、古いドメインでこれらの更新を行ったのは彼らであることを否定した。
さまざまなハッキング フォーラム間の対立が激化する中、Baphomet と Shiny Hunter の新しい BreachForums が独自のデータ侵害に見舞われ、攻撃者がサイトの盗まれたデータベースを公開しました。
その後、古い Breached[.]vc ドメインに更新が表示され、BreachForums クローンはすでにハッキングされているため信頼しないよう勧告されました。このメッセージには、新しい BreachedForums から流出した盗まれたデータベースの SQL ファイルへのリンクも含まれていました。
サイト上のこれらの新しい更新にはすべて、「ニャー」という隠れた HTML コメントと、その後に続く泣き顔が含まれていました。
<!– ニャー:'(( –>
サイバーセキュリティ コミュニティの一部は、これはさらなるデータ侵害やハッキング フォーラムへの復帰を阻止する法執行機関の試みであると感じていましたが、このメッセージは新しい BreachForums データベースも漏洩しました。これは法執行機関では通常目にするものではありません。
他の攻撃者がサーバーにアクセスし、それらのメッセージを投稿していた可能性が高くなります。
古いフォーラムのドメインには、3 日後に FBI の押収バナーが表示され始めました。
ポムポムプリン逮捕
法廷に含まれたジョン・ロングマイヤーFBI特別捜査官の陳述によれば、 3月15日の逮捕中、ブリーチフォーラムのオーナーは弁護士の立ち会いなしで、憲法上の権利を放棄した後、本名がコナー・ブライアン・フィッツパトリックであり、実際にポンポリンであることを公然と認めたという。 書類。
同氏は「数百万の米国国民と数百の米国および外国の企業、組織、政府機関」に属する機密個人情報の盗難と販売に関与した罪で起訴された。
フィッツパトリックさんはその翌日に30万ドルの保釈金を支払って釈放され、3月24日にバージニア州東部地区地方裁判所に出廷する予定だった。
彼の罪状認否の日に、FBIは新しい法廷文書の中で、FBIがBreachForumsのデータベースにアクセスしたことを確認した。
オーナーの逮捕後、バフォメットは法執行機関がフォーラムのサーバーにアクセスできると信じていると述べ、 ブリーチドを閉鎖した。
ポムポムプリンって誰?
ポムポムプリンは、RaidForums の著名なメンバーであり、企業のネットワークをハッキングし、盗んだデータをオンラインで販売または漏洩することに重点を置いたサイバー犯罪地下組織の一員です。
2022 年の RaidForums の押収に続いて、ポムポムプリンは BreachForums (または Breached) フォーラムを作成しました。これはすぐにデータ漏洩のための最大のプラットフォームとなり、ランサムウェア グループやその他の脅威アクターが盗まれた情報を漏洩するために頻繁に使用されました。
注目すべきことに、フィッツパトリックが逮捕される前に、身元不明の人物が米国の政治家に属する個人データを販売しようとした。このデータは、米国下院議員、その家族、スタッフの医療提供者である DC Health Link の侵害中に取得されました。
ポムポムプリンは、他の著名な組織や企業の侵害にも関与していました。たとえば、 FBI の法執行エンタープライズ ポータル (LEEP)の脆弱性を悪用して、偽のサイバー攻撃警告メールを送信しました。
彼はまた、Robinhood から顧客データを盗み、Twitter のバグを悪用して約 540 万人のユーザーの電子メール アドレスを見つけたとされています。
また、フィッツパトリックの逮捕後に公開された法廷文書では、違反やBreachForums以外の悪意のある活動に関連したポムポムプリンに対する告訴はまだ開示されていないことにも注意すべきである。
Comments