FBI, çalınan kurumsal verileri diğer siber suçlulara sızdıran ve satan “BreachForums” hack forumunu ele geçirdi. Site geçen hafta Europol emniyet portalından çalınan verileri sızdırmıştı. Web sitesinde artık FBI’ın sitenin ve arka uç verilerinin kontrolünü ele geçirdiğini belirten bir mesaj görüntüleniyor; bu da kolluk kuvvetlerinin hem sitenin sunucularına hem de etki alanlarına el koyduğunu gösteriyor.
Sayfadaki mesaja göre, FBI arka uç verilerini inceliyor. Sayfada şöyle yazıyor;
“Bu sitenin arka uç verilerini inceliyoruz. BreachForums’ta siber suç faaliyetleri hakkında rapor verecek bilgileriniz varsa, lütfen bizimle iletişime geçin”
El koyma mesajında ayrıca site yöneticileri “Baphomet” ve “ShinyHunters”ın forum profil resimlerinin hapishane parmaklıkları arkasındaki hali yer alıyor.
Eğer kolluk kuvvetleri, iddia ettikleri gibi, bilgisayar korsanlığı forumunun arka uç verilerine erişim kazanırsa, üyeleri bulacak ve kolluk kuvvetleri soruşturmalarında kullanılabilecek e-posta adreslerine, IP adreslerine ve özel mesajlara sahip olacaklar. FBI ayrıca sitenin Telegram kanalına ve Baphomet’e ait diğer kanallara da el koydu ve kolluk kuvvetleri bu kanalın kendi kontrolleri altında olduğunu belirten mesajlar gönderdi.
Kolluk kuvvetleri tarafından ele geçirilen Telegram kanallarına gönderilen mesajlardan bazıları doğrudan Baphomet’in hesabından geldi; bu, tehdit aktörünün tutuklandığını ve cihazlarının artık kolluk kuvvetlerinin elinde olduğunu gösteriyor.
FBI’ın IC3 portalında konuyla ilgili olarak şöyle yazıyor:
“Federal Soruşturma Bürosu (FBI), BreachForums ve Raidforums olarak bilinen suç amaçlı bilgisayar korsanlığı forumlarını araştırıyor. Haziran 2023’ten Mayıs 2024’e kadar BreachForums (breakforums.st/.cx/.is/.vc adresinde barındırılıyor ve ShinyHunters tarafından yönetiliyor), siber suçluların çalıntı mallar da dahil olmak üzere kaçak malların alınıp, satılması için bir pazar yeri olarak çalışıyordu.
Daha önce, BreachForums’un ayrı bir sürümü (ihlaled.vc/.to/.co adresinde barındırılıyor ve pompompurin tarafından yönetiliyor) Mart 2022’den Mart 2023’e kadar benzer bir hack forumu işletiyordu. Raidforums (raidforums.com’da barındırılıyor ve Omnipotent tarafından yönetiliyor) BreachForums’un her iki versiyonunun önceki hackleme forumu ve 2015’in başlarından Şubat 2022’ye kadar sürdü.”
BreachForums, çalınan verilerin ticareti, satışı ve sızdırılmasının yanı sıra kurumsal ağlara ve diğer yasa dışı siber suç hizmetlerine erişim satışı için kullanılan bir dizi hack forumunun devamıydı.
Bu sitelerden ilki RaidForums olarak biliniyordu; ilk olarak 2015’te faaliyete geçti ve çalınan verilerin dağıtıldığı en büyük site haline geldi ve fidye yazılımı ve gasp grupları tarafından yaygın olarak kullanıldı. Site sonunda kolluk kuvvetleri tarafından ele geçirildi ve polis “Omnipotent (Her Şeye Gücü Yeten)” olarak bilinen sahibini tutukladı.
Kısa bir süre sonra, daha aktif üyelerinden biri olan Pompompurin, RaidForums’un geride bıraktığı boşluğu doldurmak için ‘Breached’ adında yeni bir forum oluşturdu. Sitenin popülaritesi hızla arttı ve binlerce üye tarafından siber suç faaliyetleriyle övünmek ve çalıntı verileri sızdırmak ve satmak için kullanıldı. Ancak site, üyelerinden biri olan IntelBroker’ın ABD Temsilciler Meclisi üyeleri, çalışanları ve ailelerine yönelik bir sağlık hizmeti sağlayıcısı olan DC Health Link’in çalınan verilerini sızdırmasının ardından kısa sürede kolluk kuvvetlerinin öfkesini çekti.
Kısa bir süre sonra Breached kolluk kuvvetleri tarafından ele geçirildi ve yöneticisi Conor Fitzpatrick (diğer adıyla Pompompurin) tutuklandı.
Bu siber suç topluluğundakiler bir kez daha evsiz kaldı, bu nedenle Breached’in Baphomet olarak bilinen önceki yöneticilerinden biri, BreachForums adında yeni bir site açmak için çalıntı veri satıcısı ShinyHunters ile iş birliği yaptı.
Diğer siteler gibi BreachForums da AT&T, 23andMe, Hewlett Packard Enterprise, Home Depot, Dell gibi firmalardan çalınan kurumsal verilerin sızdırılmasıyla popüler hale geldi.
Bugünkü ele geçirme mesajı, kolluk kuvvetlerinin, tehdit aktörlerinin faaliyetlerini izledikleri için muhtemelen uzun bir süre boyunca sitenin sunucularına erişime sahip olduğunu gösteriyor. Ancak çok ileri giden ihlal, yakın zamanda Europol’ün Uzmanlar Platformu (EPE) portalından IntelBroker olarak bilinen bir tehdit aktörü tarafından çalınan ve kolluk kuvvetlerini harekete geçmeye zorlayan veri sızıntısı olabilir .
Kaynak : 