BreachForums : renaissance d’un forum criminel en ligne fermé par le FBI
Seulement deux semaines après sa saisie et son démantèlement orchestrés par une opération conjointe des forces de l’ordre, BreachForums, un marché noir notoire sur Internet, a fait son retour sur le web et le darkweb.
Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.
Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.
ZATAZ vous expliquait, le 15 mai 2024, l’actions des autorités américaines pour mettre fin aux activités de l’espace criminel, BreachForums, menant à l’arrestation présumée de son fondateur, connu sous le pseudonyme de Baphomet. Peu de temps après cette fermeture, deux nouveaux forums concurrents émergèrent, lancés par des figures mystérieuses, dont un Russe. Ces développements vous ont été présentés sur Twitch, où ZATAZ a montré la disparition de l’annonce de saisie du FBI, rapidement remplacée par des communications de ShinyHunters, un autre administrateur de BreachForums. Dans une manœuvre audacieuse, BreachForum a été relancé sous une nouvelle URL, confirmant que ShinyHunters détenait des copies complètes des données du site original, y compris les comptes utilisateurs. Ce nouvel avatar, nommé Violation Forums, s’annonçait déjà comme un relais pour des activités similaires. Seulement, Violation Forums va disparaitre trés vite, pour laisser la place à … BreachForums.
Le FBI perd le contrôle ?
Le FBI a tenté de contrôler les nouveaux domaines liés à BreachForums en pointant leurs DNS vers les serveurs de l’agence. Cependant, malgré les arrestations présumées, dont celles de Baphomet et ShinyHunters, BreachForums est revenu aussi rapidement qu’il avait disparu ! A noter que ShinyHunters semble toujours actif. Il explique d’ailleurs comment il a pu récupérer les domaines. Selon ShinyHunters, qui nomme les entreprises et les agents du FBI impliqués dans l’opération judiciaire, l’agence fédérale et l’ICANN auraient contraint le fournisseur de noms de domaine de BreachForum à transmettre les domaines BreachForums aux autorités. « Pour être transparents avec tout le monde, nous tenons à confirmer qu’ils ont effectivement obtenu la base de données par l’intermédiaire de Baphomet. » souligne le pirate. « Rassurez-vous, nous avons les choses sous contrôle. » Le – nous – tendrait à dire que ShinyHunters ne serait pas qu’une unique personne, mais plusieurs malveillants signant sous le même pseudonyme ? Etonnant pour une population trés égocentrique !
Incertitudes et suspicions
Des doutes subsistent quant à la véritable identité de ShiningHunters et à la manière dont ils ont pu récupérer l’un des sites Clearnet saisis par le FBI. Il y a également des soupçons que le site relancé puisse être utilisé comme un « piège à miel« , un honey pot, destiné à attraper d’autres cybercriminels.
De son côté, ShinyHunters explique comment il a pu récupérer BreachForums. Le FBI et l’ICANN auraient contraint le fournisseur de domaines de BreachForum à transférer les noms de domaine aux autorités, une manœuvre que ShinyHunters aurait contrée en transférant préventivement les domaines à un autre registraire.
« Le FBI n’a pas encore divulgué de détails sur l’arrestation de notre précédent administrateur Baphomet, donc à ce sujet, tout ce que nous pouvons faire est de spéculer. » affiche ShinyHunters. Toujours selon le pirate, pour l’opération, Le FBI aurait fait fermer, complètement, le centre de données de la société NiceVPS « juste pour obtenir des données utilisateurs […] nous tenons à nous excuser auprès de NiceVPS pour avoir causé la fermeture de votre entreprise par le FBI« .
Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.
Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.
A noter que NiceVPS n’a pas communiqué sur ce fait. Un seul petit détail apparait, cependant. Avant le 15 mai, pas de message visible sur NiceVPS concernant les activités illicites. Aprés l’opération du FBI, comme le montre la capture écran de ZATAZ, un message en rouge, en première page : BEWARE: We do NOT allow any kind of illegal activity.
Bref, ShinyHunters aurait récupéré le nom de domaine aussi simplement qu’un courriel « nous avons décidé que la meilleure chose à faire serait de demander à NiceNIC de nous rendre les domaines, et contre toute attente, ils ont accepté. Nous avons ensuite remplacé leur bannière de saisie par notre nouveau groupe Telegram et la chanson ‘Fuck Tha Police’ de N.W.A.«
Pourquoi le FBI n’a pas pu refaire la même procédure ? « À leur insu, nous avions transféré les domaines à un autre registrar en utilisant le code EPP (enregistré avant la saisie).«
Pour parfaire leur égocentricité, ShinyHunters en a profité pour annoncer détenir la base de données de TicketMaster, évaluée à 500 000 dollars, contenant des informations sur 560 millions de clients. Les données exposées incluraient les noms complets, les adresses physiques et électroniques, les numéros de téléphone, des détails de transactions, les informations d’événements, ainsi que les quatre derniers chiffres des cartes de crédit avec leurs dates d’expiration.
Ce n’est pas la première fois que la justice US perd un nom de domaine aprés une saisie. En janvier 2020, le FBI saisi le site We Leak Info, une plateforme exposant des millions d’identifiants de connexion piratés. Le FBI y place sa page d’information judiciaire. Un an plus tard, un pirate a pris possession d’un des domaines pour extraire les données des utilisateurs. Et devinez qui était ce pirate …