Dans les petits secrets de la fin du forum pirate Breached

Le 15 mars, le FBI a arrêté l’administrateur principal du forum Breached. L’espace spécialisé dans les données piratées aurait été tout simplement vendu par la concurrence.

Je vous expliquais, vendredi 17 mars, comment le FBI a mis la main, trois jours plus tôt, sur l’administrateur du forum pirate Breached. Ce pirate, connu sous le pseudonyme de Pompompurin, s’était mis à dos tout le monde numérique, y compris les autorités américaines. Il faut dire aussi que, à force de se sentir intouchable, certaines juridictions avaient clairement envie de faire subir quelques vérifications à cet homme d’une vingtaine d’années. Son forum proposait à la vente, via d’autres pirates, des données volées, telles que celles des USA Marshals ou du FBI de New York.

Pompompurin, alias Conor Brian Fitzpatrick, a été arrêté le 15 mars à 16h30 et accusé par le FBI devant la cour de justice du district sud de New York d’avoir sollicité des individus pour vendre des accès non autorisés sur le portail qu’il avait créé à cet effet, BreachForum.

Le concurrent Hydra balance Pompompurin

On ne sait pas vraiment pour quelle raison la guerre entre Pompompurin, BreachForum et un autre portail de vente de données a débuté, mais je pense que cela est dû à la fin de Raid Forum. Cet espace permettait également à des pirates informatiques de revendre des données copiées. Le FBI avait mis fin à son existence en 2022.

Le message de Pompompurin sur un Tweet du FBI aprés la fermeture de Raid Forum !

Des forums ont voulu prendre la place vacante, tels que BreachForum et un second larron, très agressif, Hydra Market. Pour vous donner une idée, Pompompurin a taggué le FBI sur Twitter, le 12 avril 2022, à la suite d’un message de l’agence annonçant la fin de Raid Forum.

Détail important, Hydra Market n’est pas le Hydra stoppé par la police allemande en avril 2022, peu de temps après Raid Forum. La version « allemande » était considérée à l’époque comme l’une des plus importantes et anciennes destinations du Dark Web. 80% des transactions de cryptomonnaies passaient par ses murs numériques.

Hydra Market

Le Hydra Market, nouvelle version, celui qui est rapidement entré en guerre contre BreachForum, se veut être le « Raid Forum original« . Il est apparu officiellement en avril 2022, quelques jours après l’infiltration du FBI dans Raid Forum et le lancement de BreachForum.

Le document déposé par le FBI à l’encontre de Pompompurin.

Très rapidement, le ton est donné : « Pour acheter des données, précisez les données que vous souhaitez. Si nous les avons, nous vous enverrons une preuve et les vendrons. Sinon, nous vous informerons que les données ne sont pas disponibles. » À l’époque, Bitcoin, Ethereum, et USDT étaient acceptés. « Bonne chance à tous, restez anonymes« , affichait le gestionnaire.

Personne ne connaît son identité. En juillet, un mystérieux Monsieur Moot New annonce, sur le tchat officiel d’Hydra, qu’il  commercialise des bases de données et des 0days.

Par exemple, il proposera les fuites de Wattpad (35 $), WhatsApp (2 100 $), ou encore une faille de type 0day (et la vulnérabilité) pour des machines bitcoin de rue (ATM, GAB) pour 12 000 $.

Un Américain ? Un Français ? Un Chinois ? Un Russe ? Il ne semble pas être perturbé par les pays dont les données ont été copiées et vendues. On y croise du Russe (la bdd de Yandex, à 50 $), de l’Ukrainien, du Chinois (Alibaba Cloud, 60 $), du Français, des données d’un serveur du FBI ou encore d’un sous-domaine du Département de la Justice US (octobre 2022), etc.

Il écrit en chinois simplifié, en anglais, en russe, et en hindi. Des langages que n’importe qui peut utiliser, les traducteurs sont là. Il n’emploie cependant pas d’Allemand, d’Espagnol, d’Arabe ou toute autre langue usitée dans le monde.

Pour adhérer à ce portail Hydra, rien de bien compliqué. Présent sur le web et dans le darkweb, il suffit de montrer patte blanche. C’est gratuit. Les messages, les propositions, etc. Seules les données sont commercialisées. Même principe que chez Raid Forum, Breached, ou dans les centaines d’autres portails, plus petits, proposant ce type de « service ». Vous pouvez acheter un accès VIP. Très intéressant pour la cyber-intelligence.

Certains des premiers messages d’Hydra étaient en Russe.

Le VIP permet d’accéder à des parties « protégées ». Les malveillants peuvent acquérir des « points » qui donnent accès aux espaces de téléchargement des fichiers copiés lors de piratages informatiques. Les prix de départ sont sans équivoque. Chez Hydra, on a besoin d’argent. Chez Raid Forum et Breached, un VIP à vie était proposé aux alentours de cinquante dollars. Hydra affiche 700 $ pour être membre à vie.

Ce groupe s’est mis en place, à ses débuts, avec de vieilles données, souvent d’ailleurs tirées de Raid Forum. Ils diffuseront également de nombreux documents volés à des entreprises, artistes, comme des photos et vidéos de Billie Eilish extraits de son iCloud, ou encore des accès à d’importants sites spécialisés dans la cryptomonnaie, comme le turc Thodex. La commercialisation d’outils DDoS aussi.

Une publicité de l’espace pirate.

Guerre de Territoire

Tout a commencé avec des propos « d’adolescents ». Pompompurin a diffusé avoir trouvé l’identité du propriétaire d’Hydra, le fameux Monsieur Moot New qui apparait dès le début d’Hydra. Ni une, ni deux, les deux parties se sont lancées dans une guerre de territoire, avec des DDoS (blocage de site), des annonces de piratage de bases de données, des offres commerciales, etc.

Moot New ne serait pas l’instigateur d’Hydra, c’est du moins ce qu’affirmera Hydra plus tard ! Des rumeurs persistantes indiquent que l’administrateur d’Hydra serait Turc. Un Russe qui aurait fui son pays pour s’installer en Turquie ?

Novembre 2022, Hydra a lancé des attaques DDoS contre le premier site web de Breached (.to). Le motif annoncé : « copie de raidforum […] Vous ne réussirez à rien en imitant les autres, au lieu d’imiter raidforum, vous devriez plutôt retourner à votre ancien script et choisir des hébergeurs plus fiables avec l’argent que vous gagnez grâce aux ventes« , a déclaré l’administrateur d’Hydra. Il a également admis que des anciens membres de Raid Forum travaillent maintenant avec Hydra.

Le 17 novembre, Hydra a réussi à faire bloquer le domaine en .to de Breached. Ce dernier est obligé de passer sous des domaines en .co et .vc.

Les deux groupes se sont « calmés » à la fin du mois de novembre. La tempête s’est-elle vraiment apaisée ? L’arrestation de Pompompurin et le message de son second administrateur, Baphomet, obligé de fermer toute la structure Breached après la saisie du matériel de son collègue, montrent que la vague venait des profondeurs.

Tout d’abord, les IP (serveurs, PhpMyAdmin) de Breached étaient connues depuis des semaines. Des informations sur le jeune Américain avaient déjà fuité sur des sites spécialisés dans le doxxing. Hydra a confirmé avoir utilisé ces IP dans les attaques DDoS.

Ensuite, l’accès à l’espace d’administration de Breached (PhpMyAdmin) aurait été exploité et transmis au FBI, selon Hydra. « Cela nous a permis d’accéder à la table SQL lorsque nous avons publié la fuite SQL de BreachForums […] Les adresses IP de tous les membres sont disponibles dans les données sous une forme analysable, mais nous n’avons transmis les informations qu’à des personnes de l’administration au FBI.« 

Dans certains espaces du darkweb, les informations sur Breached circulaient.

Enfin, Pompompurin aurait commis une erreur. Il aurait été possible de démasquer Fitzpatrick après son enregistrement sur la plate-forme IntelX. Il n’aurait pas utilisé de VPN ! L’entreprise a transmis les informations en sa possession au FBI.

Le site Breached est fermé le 19 mars. Le second administrateur, d’abord confiant, « Ils [le FBI] n’ont même pas essayé d’accéder à l’URL du panneau d’administration« , a rapidement changé de ton lorsque, dans la nuit du 18 au 19 mars, le compte de Pompompurin s’est connecté sur l’un des serveurs de Breached. « Nous pouvons en conclure que quelqu’un a eu accès à l’ordinateur de Pompompurin« . Logique ! Les agents du FBI travaillent !

Pompompurin a été libéré sous caution. Les parents n’ont pas eu à verser 300 000 dollars au tribunal pour la libération de leur fils. Ils devront le faire si le garçon ne respecte pas les règles énoncées par le juge Davidson, telles que l’interdiction de contacter ses anciens collègues, Etc.

Les enquêteurs considèrent le jeune homme de 21 ans comme l’une des figures incontournables du monde criminel numérique américain. Il comparaîtra devant le juge le 24 mars.

L’IP au phpMyAdmin de Breached a été diffusé par Hydra. Serveur en Suisse et un site web Russe y est accroché !!

Depuis, les personnes qui ont acquis des accès VIP ou des « points » auprès de Breached sont contactées par leurs opérateurs de cryptomonnaies. Certaines ont perdu leur accès en raison de « transactions vers une destination finale liée à une plateforme de FraudShop« . PayPal, par exemple, ne cherche même pas à savoir. Il bannit, que vous soyez un professionnel légitime ou un pirate de passage.

Hydra, quant à lui, continue de se développer. Le 22 mars, le responsable de cet espace pirate a diffusé des publicités sur Facebook et Instagram en Inde, en Chine et en Ukraine, en affirmant « bientôt, nous deviendrons la communauté la plus demandée […] Ne vous inquiétez pas, utilisateurs de BreachForums ! Nous avons de bonnes nouvelles concernant BreachForums : le forum est fermé, mais nous avons encore quelques liens de téléchargement cachés :)) Pour rencontrer et connaître une équipe de gestion meilleure que Pompompurin, vous pouvez nous contacter« .

A noter qu’il pourrait y avoir eu, aussi, des fuites visant Hydra. L’administrateur vient de renforcer sa sécurité en refusant toute discussion qui ne passe pas par Qtox, le chat sécurisé via Tor. Les moyens de paiement ont également été réduits. Adieu Bitcoin et compagnie. « Nous n’acceptons dorénavant que les paiements en XMR (Monero). Nous ne acceptons pas les paiements par d’autres moyens.« 

Bref, encore pas mal de travail sur la planche des autorités.

Pour finir, je vous déconseille fortement de chercher l’accès à Hydra, et de vous y connecter. Il en va de votre sécurité !