اختراق BreachForums يكشف هويات 324 ألف مجرم إلكتروني

في تطور ساخر، تعرضت BreachForums - واحدة من أكبر الأسواق العالمية للبيانات المسروقة - للاختراق مجددًا، مما كشف عن الهويات الحقيقية لمئات الآلاف من مجرمي الإنترنت الذين اعتقدوا أنهم يعملون في إطار من السرية.

في 9 يناير، نشر شخص يستخدم الاسم المستعار "James" قاعدة بيانات تحتوي على معلومات مفصلة عن 323,986 مستخدمًا لبريتش فورمز على موقع يبدو أنه يحمل اسم مجموعة الابتزاز ShinyHunters. تضمنت قاعدة البيانات أسماء المستخدمين، وعناوين البريد الإلكتروني، وعناوين IP، وتواريخ التسجيل، وغيرها من البيانات الوصفية التي يمكن أن تساعد وكالات إنفاذ القانون في جميع أنحاء العالم في تحديد وملاحقة أعضاء مجتمع القرصنة الشهير.

أصلي وشامل

أكدت شركة الأمن السيبراني Resecurity، التي قامت بتحليل قاعدة البيانات المسربة ونشرت تقريرًا شاملاً، صحة البيانات. وفي تعليقات لموقع Dark Reading، قال أحد أعضاء فريق استخبارات التهديدات HUNTER في Resecurity إن المعلومات المسربة تضمنت رسائل بريد إلكتروني نصية واضحة وغيرها من المعلومات التي يمكن أن تكون مفيدة جدًا لوكالات إنفاذ القانون. "السجلات أصلية وبعض هذه المعلومات قد تم استخدامها بالفعل من قبل وحدتنا HUNTER للتعزيز والتقاطع"، يقول عضو الفريق.

يبدو أن James قرر نشر قاعدة بيانات BreachForums بسبب شعوره المتزايد بخيبة الأمل تجاه بعض أعضائها الرئيسيين. في بيان طويل، وغالبًا ما يكون دراميًا، من 23 جزءًا، عرّف James نفسه على أنه هاكر أسطوري بلا عمر، يبدو أنه يعمل منذ عقود وقد عمل كمرشد لعدة مجموعات من الجرائم الإلكترونية، بما في ذلك ShinyHunters وAnonymous. "هؤلاء الأطفال كانوا لي. لقد نماوا كما نمت. لقد نماوا لأنني نمت"، كتب James، قبل أن يضيف أنه حان الوقت لـ "ابتلاع أطفالي" وتسليم هوياتهم للسلطات.

بيان متشعب

يسمي البيان عدة أفراد يُزعم أنهم متورطون في إدارة BreachForums وShinyHunters، بما في ذلك الفرنسيون Dorian Dali وNahyl Ojeda وAli Aboussi وآخرون، العديد منهم بدا أنهم مراهقون أو شباب بالغون. وفقًا لـ James، كانت القشة التي قصمت ظهر البعير هي عندما هاجمت هذه المجموعات أهدافًا فرنسية. "عندما قررت أن تتجه ضد الأمة الفرنسية، ابنة الكنيسة، فهمت أن الوقت قد حان"، كتب، مؤطرًا التسريب كوسيلة لحماية مصالح فرنسا قبل التغيير السياسي.

تعتبر BreachForums، خلفًا لـ RaidForums، منتدى رئيسيًا للجرائم الإلكترونية الذي أغلته السلطات الأمريكية في عام 2022. منذ ذلك الحين، خدمت إصدارات مختلفة من BreachForums كمراكز للهاكرز لتبادل البيانات المسروقة، والمعلومات الشخصية، وأدوات القرصنة لتسهيل مجموعة واسعة من الجرائم الإلكترونية. بين مارس 2022 ومارس 2023، كان شخص يستخدم الاسم المستعار "pompompurin" يدير المنتدى. اعتقلت السلطات الفيدرالية الأمريكية الهاكر في نيويورك في مارس 2023 وتعرفت عليه على أنه Conor Brian Fitzpatrick.

كانت مجموعة ShinyHunters، المرتبطة بالعديد من الهجمات على المنظمات الكبيرة، بما في ذلك SalesForce، تدير BreachForums من يونيو 2023 إلى مايو 2024 قبل أن تغلق السلطات الأمريكية الموقع.

📌 احجز مساحتك

A chart showing the location of BreachForums members

المصدر: Resecurity

مادة لجهات إنفاذ القانون

أظهر تحليل Resecurity للبيانات المسربة أن العديد من الأعضاء الحاليين في المنتدى شباب، ودوليون في طبيعتهم. أظهر تحليل الشركة لعناوين IP في قاعدة البيانات المسربة أن الأعضاء يتركزون في الولايات المتحدة، وألمانيا، وهولندا، وفرنسا، وتركيا، والمملكة المتحدة. كما أن لبريتش فورمز وجود كبير في الشرق الأوسط وشمال إفريقيا، بما في ذلك المغرب، والأردن، ومصر.

وجدت Resecurity أيضًا أن قاعدة البيانات تتضمن سجلات تفصيلية لمشرفي المنتدى، والمشرفين، والأعضاء العاديين. استخدم العديد منهم خدمات بريد إلكتروني مجهولة، لكن البعض استخدم مزودين رئيسيين مثل Gmail، مما قد يسهل عملية التعرف عليهم من قبل جهات إنفاذ القانون.

"تزيل بيانات مثل هذه الكثير من الاحتكاك بالنسبة للمحققين"، يقول Shane Barney، كبير مسؤولي الأمن المعلوماتي في Keeper Security. بينما قد لا تعني اسم المستخدم أو عنوان IP الكثير بشكل فردي، يمكن أن تسرع البيانات الأخرى في قاعدة البيانات المسربة من تحديد الهوية وتقصير التحقيقات. "بالنسبة لمجموعات مثل ShinyHunters، فإن عدم الكشف عن الهوية ليس مجرد تفضيل بل هو نموذج التشغيل"، يقول Barney.

يشير عضو فريق Resecurity إلى كيف تم اختراق قاعدة بيانات BreachForums سابقًا وعرضها للبيع. على الرغم من أن جهات إنفاذ القانون استهدفت العملية من قبل، إلا أن المجموعة استمرت في إعادة الفتح.

حاول أعضاء BreachForum التقليل من أهمية التسريب قائلين إن البيانات قديمة، من العام الماضي وما قبله، كما يقول عضو فريق Resecurity. "لكن ذلك لا يجعل معلومات المهاجمين وهوياتهم قديمة حيث إن العديد منهم يعيدون استخدام نفس تفاصيل التسجيل في مجتمعات تحت الأرض الأخرى."