Les autorités américaines saisissent plusieurs domaines de BreachForums

Le FBI a fait saisir les noms de domaine du nouveau site pirate BreachForums. Un jeu du chat et de la souris à la sauce voleur de données.

Je vous parlais, il y a quelques semaines, de la création d’espaces pirates tentant de relancer le business malveillant des forums Raid Forum (stoppé par le FBI en 2022) et Breached (saisi par le FBI en 2023). La mission des administrateurs était de proposer des espaces de vente de données piratées (bases de données, combos, etc.).

Deux espaces pirates ont vu le jour en avril et mai : Exposed et BreachForums 2. Ils se présentaient comme les fidèles et uniques successeurs des « anciens ».

Très vite, les failles ont commencé à apparaître. Sur Exposed, je vous expliquais comment accéder à la base de données, cela était aussi simple qu’un clic de souris. Quelques jours plus tard, et après avoir diffusé sur la toile la base de données de Raid Forum, Exposed a fermé. Le code source (et la base de données) d’Exposed est mis en vente à 2 000$.

Même sort pour Breached 2. Une faille permettait d’accéder à la base de données. Il faut dire aussi que pour y accéder, il suffisait de rajouter « dump.sql » à l’URL du site. Une erreur de débutant !

La base de données, ainsi que quelques 5 000 membres, ont été diffusées par un inconnu. On découvre à l’intérieur des pseudonymes d’anciens administrateurs de Raid Forum et Breached ! Un espace pirate qui avait été annoncé par le groupe Shiny Hunters.

Cette histoire aurait pu s’arrêter là. De jeunes adultes se battant pour un territoire numérique qui rapporte de l’argent, ce n’est pas nouveau.

Le FBI dans l’ombre !

Là où l’ambiance devient encore plus folle, c’est la saisie par le FBI des nouveaux noms de domaine concernant Breached 2. Les visiteurs de Breached.vc découvrent depuis quelques jours l’avis du DoJ : « Les domaines liés aux forums Breach ont été saisis par le Federal Bureau of Investigation, le Département américain de la santé et des services sociaux, le Bureau de l’inspecteur général et le ministère de la Justice, conformément à un mandat de saisie délivré en vertu des 18 US §§ 981, 982, entre autres, par le tribunal de district des États-Unis pour le district oriental de Virginie, dans le cadre d’une action d’application de la loi menée en parallèle avec les services secrets américains, Homeland Security Investigations, le New York Police Department, l’US Postal Inspection Service, la police nationale néerlandaise, la police fédérale australienne, l’Agence nationale de lutte contre le crime du Royaume-Uni et la police écossaise« .

À noter que pour bien faire passer le message, les autorités ont affiché à la fois le logo de BreachForums et un avatar utilisé par son propriétaire d’origine « Pompompurin » (alias Conor Fitzpatrick). L’avatar a été modifié par le FBI et porte dorénavant une paire de menottes.

L’autre domaine saisi, skidbin.net, appartenait à Fitzpatrick lui-même.

Quelques jours auparavant, ZATAZ avait détecté plusieurs messages diffusés par l’instigateur du nouveau Breachforums. « Ceci est notre seul domaine, aucun autre domaine ne doit être fait confiance. Cela inclut tous les anciens domaines compromis. » A première vue, il n’a pas vu venir le FBI « depuis [son] petit bateau« .

Pendant ce temps, chez les brokers de données

Le diffuseur de données Erkan Sezgin, aka DataBox sur Raidforum, s’en tire avec une peine de deux ans de prison [et suivi d’une peine d’un an avec sursis]. Un tribunal d’Amsterdam a rendu son verdict dans l’affaire visant cet informaticien de 25 ans. Comme je vous l’expliquais ici, ce pirate était devenu un « brokers » [fournisseur de données] respecté sur Raidforum. Il avait mis en vente, par exemple, des bases de données de millions de citoyens autrichiens. Sezgin travaillait comme ingénieur de données pour la société Matrixian Group.

Arrêté en novembre 2022, il était en prison jusqu’à ce que ses associés de RaidForum soient arrêtés en janvier 2023. En plus des tentatives répétées de vente de bases de données contenant des informations personnelles, Sezgin a été accusé de développer des sites de phishing et d’intercepter des données de portefeuille de crypto-monnaie à l’aide de stealer. Il aurait blanchi des crypto-monnaies pour un montant de 717 000 euros et il en aurait volé pour une valeur de 428 000 euros.

Le tribunal a tenu compte du fait que le cyber voleur n’a que 25 ans, ainsi que de son absence d’antécédents judiciaires.