Les forces de l’ordre américaines ont saisi aujourd’hui le domaine Web clair du célèbre forum de piratage BreachForums (alias Breached) trois mois après avoir appréhendé son propriétaire Conor Fitzpatrick (alias Pompompurin), sous l’inculpation de cybercriminalité.
Hébergé sur Breached[.]vc, le domaine affiche désormais une bannière de saisie indiquant que le site Web a été supprimé par le FBI, le ministère de la Santé et des Services sociaux, le Bureau de l’inspecteur général et le ministère de la Justice sur la base d’un mandat délivré par le tribunal de district des États-Unis pour le district oriental de Virginie.
D’autres autorités chargées de l’application de la loi dans le monde ont également participé à cette action, notamment les services secrets américains, les enquêtes sur la sécurité intérieure, le département de police de New York, le service d’inspection postale des États-Unis, la police nationale néerlandaise, la police fédérale australienne, l’agence nationale britannique contre la criminalité et Police Ecosse.
Comme c’est souvent le cas avec les messages de saisie de domaine, les forces de l’ordre ont affiché le logo du site. Cependant, dans un affichage unique, les forces de l’ordre ont adopté une approche non conventionnelle en présentant également des menottes ajoutées à l’avatar de Pompompurin dans la bannière de saisie.
Breachtrace a appris que les forces de l’ordre avaient également saisi le domaine pompur[.]in, qui était le site personnel de Pompompurin, dans le cadre de cette opération.
Alors que le domaine net clair de BreachForums a été saisi, son homologue du dark web n’affiche pas encore la bannière de saisie mais affiche à la place une erreur Nginx « 404 Not Found ».
Les porte-parole du FBI et du ministère de la Justice n’étaient pas immédiatement disponibles pour commenter lorsqu’ils ont été contactés par Breachtrace plus tôt dans la journée.
Comme signalé pour la première fois par DataBreaches.net, ces saisies de domaine ont également conduit à la saisie de l’un de leurs propres sites utilisés pour signaler les violations de données.
Tous les domaines saisis ont vu leurs serveurs DNS changés en ns1.seizedservers.com et ns2.seizedservers.com, deux serveurs de noms utilisés par les forces de l’ordre lors des saisies.
Breached contre le nouveau Breached
Après l’arrestation de Fitzpatrick, Baphomet, l’administrateur restant, a tenté de maintenir le fonctionnement des domaines d’origine. Cependant, Baphomet pensait que des agents fédéraux avaient eu accès aux serveurs, incitant l’administrateur à fermer le site le 20 mars.
Peu de temps après, la visite du domaine a affiché des messages d’erreur « 502 – Bad Gateway », indiquant que le site était maintenant fermé.
En juin, après des rumeurs selon lesquelles Baphomet s’associerait à Shiny Hunters, un acteur menaçant connu pour ses nombreuses violations de données, pour relancer BreachForums sur un nouveau domaine, l’ancien domaine Breached a commencé à afficher par défaut « Bienvenue dans nginx ! » page.
Cela indiquait que quelqu’un d’autre avait pris le contrôle des domaines et modifiait leur contenu et leur configuration. Baphomet a nié la responsabilité de ces changements.
Encore plus étrange, des messages sont apparus sur les anciens domaines avertissant les utilisateurs que BreachedForums ne reviendrait jamais et soulignant que tout forum prétendant être une nouvelle version de BreachedForum doit être abordé avec prudence.
« Tous les forums prétendant être ‘Breached’ ou ‘BreachForums’ doivent être utilisés avec prudence. BreachForums ne reviendra jamais », lit-on dans un message publié sur le domaine Breached[.]vc.
Cette alerte a ensuite été mise à jour avec des messages présumés de Baphomet avertissant que tout forum prétendant être le nouveau BreachForums devrait être considéré comme dangereux. Baphomet a nié que ce sont eux qui faisaient ces mises à jour sur les anciens domaines.
Dans un conflit croissant entre divers forums de piratage, les nouveaux BreachForums de Baphomet et Shiny Hunter ont été touchés par leur propre violation de données, les acteurs de la menace libérant la base de données volée du site.
Par la suite, une mise à jour est apparue sur l’ancien domaine Breached[.]vc, déconseillant de faire confiance au clone BreachForums car il avait déjà été piraté. Ce message contenait également un lien vers un fichier SQL pour la base de données volée divulguée des nouveaux BreachedForums.
Toutes ces nouvelles mises à jour sur le site incluaient un commentaire HTML masqué indiquant « Meow », suivi d’un smiley en pleurs :
Alors que certains membres de la communauté de la cybersécurité ont estimé qu’il s’agissait d’une tentative des forces de l’ordre de décourager le retour de nouvelles violations de données et de forums de piratage, ce message a également divulgué la nouvelle base de données BreachForums, ce que vous ne verriez généralement pas de la part des forces de l’ordre.
Il est plus probable que d’autres acteurs de la menace aient eu accès aux serveurs et aient publié ces messages.
Le domaine de l’ancien forum a commencé à afficher la bannière de saisie du FBI trois jours plus tard.
L’arrestation de Pompompurin
Lors de son arrestation le 15 mars, le propriétaire de BreachForums a ouvertement admis sans la présence d’un avocat et après avoir renoncé à ses droits constitutionnels que son vrai nom était Connor Brian Fitzpatrick et qu’il était bien Pompourin, selon une déclaration de l’agent spécial du FBI John Longmire inclus dans le tribunal documents.
Il a été accusé d’avoir participé au vol et à la vente d’informations personnelles sensibles appartenant à « des millions de citoyens américains et à des centaines d’entreprises, d’organisations et d’agences gouvernementales américaines et étrangères ».
Fitzpatrick a été libéré un jour plus tard moyennant une caution de 300 000 $ et devait comparaître devant le tribunal de district du district oriental de Virginie le 24 mars.
Le jour de sa mise en accusation, le FBI a confirmé dans de nouveaux documents judiciaires qu’il avait accès à la base de données de BreachForums.
Après l’arrestation du propriétaire, Baphomet a fermé Breached après avoir déclaré qu’ils pensaient que les forces de l’ordre avaient accès aux serveurs du forum.
Qui est Pompompurin ?
Pompompurin a été un membre de premier plan de RaidForums et fait partie d’un réseau de cybercriminels axé sur le piratage des réseaux d’entreprises et la vente ou la fuite de données volées en ligne.
Suite à la saisie de RaidForums en 2022, Pompompurin a créé le forum BreachForums (ou Breached), qui est rapidement devenu la plus grande plateforme de fuites de données, fréquemment utilisée par des groupes de rançongiciels et d’autres acteurs de la menace pour divulguer des informations volées.
Notamment, avant l’arrestation de Fitzpatrick, un individu non identifié a tenté de vendre des données personnelles appartenant à des politiciens américains. Ces données ont été obtenues lors de la violation de D.C. Health Link, le fournisseur de soins de santé pour les membres de la U.S. House, leurs familles et le personnel.
Pompompurin a également été impliqué dans la violation d’autres organisations et entreprises de premier plan. Par exemple, il a exploité une vulnérabilité dans le Law Enforcement Enterprise Portal (LEEP) du FBI pour envoyer de faux e-mails d’alerte de cyberattaque.
Il a également volé les données des clients de Robinhood et prétendument exploité un bogue Twitter pour trouver les adresses e-mail d’environ 5,4 millions d’utilisateurs.
Il convient également de noter que les documents judiciaires publiés à la suite de l’arrestation de Fitzpatrick n’ont pas encore révélé d’accusations contre Pompompurin liées à des violations et à des activités malveillantes au-delà de BreachForums.