圈小蛙

联邦调查局如何抓住暗网黑客论坛BreachForums的管理员

周五,美国司法部宣布,现已被捕的臭名昭著的黑客论坛BreachForums的据称管理员促进了属于“数百万美国公民以及数百家美国和外国公司、组织和政府机构”的私人信息的买卖。”

在一份声明中,检察官证实逮捕了来自纽约州皮克斯基尔市的20岁的Conor Fitzpatrick,网上昵称为Pompompurin。Fitzpatrick被控一项共谋实施访问设备欺诈罪,如果罪名成立,最高可判处五年监禁。

为了证明BreachForums促进了被盗或被黑数据的买卖,联邦调查局卧底探员购买了五组数据:1.从一家未具名的美国互联网托管和安全服务公司窃取的数据,其中包含姓名、地址、电话号码、大约8000名客户的用户名、密码哈希和电子邮件地址,以及1900名客户的支付卡信息;2.从一家未具名的美国投资公司窃取的一个数据集,包含至少500万个电子邮件地址;3.一份包含“大量美国人”的私人信息,包括全名、电子邮件地址、电话号码、家庭住址、出生日期、社会安全号码、驾照号码、银行名称、路由号码和帐号;4.另一个来自同一卖家,其中包含约1500万美国人的私人信息和银行账户信息;5.以及从一家美国医疗保健公司获取的一组数据集。

联邦调查局收集了几项证据来逮捕Pompompurin。首先,他们获得了Pompompurin用来访问RaidForums的IP地址,RaidForums是BreachForums的前身,于2022年4月被联邦调查局查获。根据Fitzpatrick的互联网服务提供商Verizon的资料,其中9个IP地址与Fitzpatrick有关,正如联邦调查局特别探员John Longmire在Fitzpatrick被捕前两天,即3月15日的宣誓书中写道。

在黑客方面的一个惊人的混乱中,Longmire写道,第二个证据来自Pompompurin本人。在与RaidForums管理员的聊天中,Pompompurin说他注意到网站上发布的数据泄露不包括“我的一封旧电子邮件地址”,他在合法的数据泄露通知网站Have I Been Pwned上进行了查找。

尽管Pompompurin然后说“(出于显而易见的原因,我不想分享我的实际电子邮件,但这封电子邮件似乎与我的情况相同):conorfitzpatrick02@gmail.com,”探员在宣誓书中写道,该电子邮件地址确实是Pompompurin,因为联邦调查局从谷歌获得的记录显示,Fitzpatrick在那次聊天前几个月就注册了这个地址。根据宣誓书,被指控的黑客还将Google Pay账户与该电子邮件地址以及一个较新的电子邮件地址“conorfitzpatrick2002@gmail.com”相关联,这两个账户都与Fitzpatrick拥有的一个号码相关联。

此外,该探员写道,他从谷歌获得了更多记录,这些记录显示邮箱账户conorfitzpatrick2002@gmail.com,有一个恢复用的电子邮件地址funmc59tm@gmail.com链接到一个IP地址,该IP地址由一个姓氏为Fitzpatrick的人和不同的电话号码注册,该探员说他认为这个号码属于Fitzpatrick的父亲。

然后,根据宣誓书,Pompompurin使用多个VPN连接到他的Gmail帐户,其中一些与他在互联网上其他地方的活动重叠。

该探员还表示,FBI从加密货币交易所Purse.io获得了记录。该公司的记录显示,用于连接该交易所的四个IP地址也被用于连接conorfitzpatrick2002@gmail.com Gmail账户和Pompompurin的RaidForums账户。此外,该Purse.io账户的注册名称为Conor Fitzpatrick,电子邮件地址为“conorfitzpatrick2002@gmail.com”。宣誓书称。

根据该探员的说法,这四个IP地址归VPN提供商所有,Pompompurin还使用这些地址连接到“conorfitzpatrick2002@gmail.com”帐户。

根据宣誓书,另一个VPNIP地址也被用来登录名为“pompompurin”的Zoom帐户,该帐户与Riseup电子邮件地址相关联,该电子邮件地址也用于注册他的RaidForums帐户。

来自Purse.io的记录还显示,Fitzpatrick的账户购买了“几件物品”,并将它们运送到他的地址,联邦调查局已经确定该电话号码是他的。此外,用于连接Purse.io的9个IP地址中有7个也用于连接Pompompurin在RaidForums上的帐户。最后,根据宣誓书,Purse.io账户的资金“完全来自于Pompompurin在RaidForums上的帖子中讨论过的比特币地址”。

证据并没有就此停止。根据宣誓书,在RaidForums论坛活动的数据库中,联邦调查局看到Pompompurin从Fitzpatrick的父亲注册的IP地址访问他的账户,该地址与当局先前确定的家庭地址相同。

Longmire在宣誓书中写道,同一个IP地址被用来访问与Fitzpatrick相关联的iCloud帐户。

此外,Longmire指出,RaidForums和BreachForums上的Pompompurin账号很可能属于同一个人,正如Pompompurin在BreachForums上的一篇帖子中所写:“如果你使用RaidForums,你很可能记得我,我是那里比较活跃的用户之一”,以及BreachForums上的新Pompompurin帐户“暗示了RaidForums上的pompompurin帐户过去的活动。”

最后,Longmire写道,联邦调查局获得授权,从Verizon获得了Fitzpatrick的实时手机GPS定位,使特工能够观察到Pompompurin登录了BreachForums,而他的手机位置显示他在自己家里"。

联邦调查局还在Fitzpatrick的家中监视他,而探员们注意到Pompompurin的帐户在论坛上很活跃。

这些证据让执法部门获得了搜查Fitzpatrick家的搜查令,他同意与探员交谈并“承认他是pompompurin帐户的使用者”,并且“他拥有并管理BreachForums,之前经营过RaidForums上的pompompurin帐户。”

联邦调查局没有立即回应置评请求。Fitzpatrick的律师也没有回应置评请求。

具有讽刺意味的是,当Fitzpatrick推出BreachForums时,他可能认为这一天会到来。在DataKnight网站的一次采访中,采访者问他,“你不觉得联邦调查局取缔RaidForums是有原因的吗?既然知道你可能会面临同样的命运,无论它[可能是什么],你为什么还要把它带回来?”

Pompompurin回答说:“这其实并不困扰我。如果有一天我被逮捕,我也不会感到惊讶,但正如我所说的,我有一个值得信赖的人,他将有充分的机会在没有我的情况下重新启动它所需要的一切。”

司法部在其周五的声明中表示,它还“进行了一次破坏行动,导致BreachForums下线。”当记者联系到其置评时,司法部发言人Joshua Stueve拒绝详细说明。目前,BreachForums已经彻底无法访问,无论暗网还是明网,并显示一条错误消息“错误的网关”,但该域名似乎仍处于当前新的管理员的控制之下。

在司法部宣布Fitzpatrick被捕后,接替他的人,被称为Baphomet的新管理员,宣布他们将关闭该论坛。

周五,在宣誓书在网上流传后,Baphomet在Telegram频道上写了一条消息,称“我们社区现在最重要的是要知道,联邦调查局现在被证实可以进入Breached数据库,”并且“在这一点上,整个文档将清楚地显示我在整个Breached期间所说的话,并且你不应该相信任何人来处理你自己的OPSEC。作为一名管理员,我从来没有做出过这种假设,其他人也不应该做出这种假设。”

这就是为什么,Baphomet补充说,“简单地把每个人都堆回同一个社区,而不考虑我们如何正确地安全前进,基本上是一个死亡陷阱。”

Exit mobile version