”暗网下/AWX“长期追踪的臭名昭著的BreachForums,是一个拥有蓬勃发展的网络犯罪社区的封闭暗网论坛,访问该暗网网站,可以了解暗网数字黑市上销售的产品和服务。本文仅用于教育目的,不鼓励使用暗网。
什么是暗网 本站首先解释一下暗网和网络犯罪论坛的含义。暗网是互联网的一个隐藏部分,只能通过Tor等专注于用户匿名性的特殊浏览软件访问。
暗网既是合法用途的中心,例如注重隐私的浏览,也是非法活动的中心,包括出售被盗数据、毒品、武器、服务和其他违禁品。
暗网上的网络犯罪论坛是黑客、诈骗者和其他犯罪分子交换信息、工具和服务的社区,通常涉及加密货币以促进匿名交易。
BreachForums是什么网站 BreachForums的前身是葡萄牙黑客Diogo Santos Coelho于2015年创建的RaidForums。RaidForums最初是一个专注于“袭击”网站和在线空间的社区,以恶作剧、挑衅或在线破坏的形式出现。
然而,随着网站上的黑客开始入侵社交媒体平台和网站并窃取数百万用户凭证,他们开始将这些凭证卖给出价最高的人。RaidForums迅速发展成为暗网上最复杂、最成熟的有组织犯罪活动中心之一。
Binance users KYC data seems to be on sale on the dark web now
alleged github hack leak pic.twitter.com/SPjGQPsIlS
— otteroooo (@otteroooo) February 4, 2024 2024年2月币安遭遇黑客攻击后,BreachedForums是第一个出现出售用户KYC详情的地方;同年4月,萨尔瓦多州使用的比特币ATM代码被泄露,该代码也出现在BreachForums上出售。
该网站开始吸引网络犯罪分子购买企业安全漏洞中的敏感信息,甚至是泄露的政府文件,这使其成为国际执法工作的重点。
2022年,欧洲刑警组织和美国情报机构合作查封了该网站,并确定并逮捕了创始人迪奥戈·桑托斯·科埃略(Diogo Santos Coelho),他目前被英国拘留,等待因网络犯罪指控被引渡到美国。
RaidForums很快被一个名叫PomPomPurin的用户重新建立为BreachForums,此人于2023年被FBI逮捕,该网站被另一个名叫Baphomet的用户接管。2024年5月,联邦调查局查封了BreachForums,但此后该网站的克隆版本再次出现。
虽然该暗网论坛仍然活跃,但正如”暗网下/AWX“之前的介绍,许多暗网用户猜测,该暗网网站可能是美国联邦调查局设置的一个“蜜罐”或陷阱,目的是监视网络犯罪分子并揭露他们,以对其进行起诉。
在暗网犯罪中心BreachForums论坛上发现了什么 进入BreachForums论坛后,可以一眼看到大量的非法网络活动。虽然一些网络犯罪论坛采用更隐蔽的方式,例如将自己伪装成IT和网络安全爱好者社区,但BreachForums论坛从未做出任何努力来掩盖自己的真实性质。
例如主页上有用户以10000美元的价格提供MS13或La Mara Salvatruca黑帮的暴力服务,但是像所有涉及暴力的暗网帖子一样,这更可能是骗局,而不是真正的要约,但非法活动并不止这些。该网站的滚动聊天框还显示用户实时讨论论坛市场的销售情况,该市场上有很多卖家提供非法产品,如被盗数据、银行欺诈和信用卡欺诈教程、IP跟踪等等。
当然,也有一个对动漫和漫画欣赏的主题,因为即使是网络犯罪分子也有爱好。
BreachForums论坛的最新帖子都是在最近几小时内发布的,表明该暗网论坛的活动仍然非常活跃,尽管人们推测该社区受到了执法部门的严密监视。如有用户正在出售从Paramount Plus和Netflix等在线视频流媒体平台到被攻破的OnlyFans账户的访问权限。
”泄露数据“子版块中的帖子显示,用户正在出售各种各样泄露的数据,包括各公司高管的电子邮件登录信息,阿联酋、印度、卡塔尔和沙特阿拉伯的身份证件,以及从沙特阿拉伯军方电子邮件中窃取的文件和图像。
根据我们的初步调查,最近这次泄露的军事文件似乎是真实的,但同时也表明它来自2016年,这表明该用户试图将旧的泄露信息冒充为新的信息,这是网络犯罪分子在网上进行诈骗的众多例子之一。
一位用户声称自己独家获得了澳大利亚医疗保险MedBank泄露的信息,而澳大利亚的MedBank确实在2022年被俄罗斯网络犯罪分子入侵,970万澳大利亚人的个人信息被窃取。
与暗网以雇佣杀手而闻名的帖子不同,这些文件和身份信息的泄露是非常可信的,因为BreachForums论坛创建的主要目的确实是出售这种性质的被盗数据,而且多年来生意一直很红火。
然而,随着执法部门的屡次查封和逮捕,其中一些帖子可能也是联邦调查局或其他机构为抓捕犯罪分子而设置的陷阱蜜罐。
在BreachForums论坛上找到的服务 除了窃取数据外,勤奋的网络犯罪分子还在暗网上提供各种出租服务,并且总是以加密货币作为支付方式。
在BreachForums上,可以发现有用户声称提供DDoS服务,即分布式拒绝服务攻击,犯罪分子利用僵尸网络阻塞目标网站的运营,以向受害者勒索钱财、攻击竞争对手或仅仅是为了报复敌人。
一个网络犯罪开发者在线群组发布了一则HNVC或隐藏虚拟网络计算服务的广告,这些服务可用于远程访问受害者的计算机。
有趣的是,该帖子与合法在线服务的广告非常相似,列出了可用的功能和定价选项的详细列表,并提供俄语和英语的客户支持。
其他服务包括接码服务,即提供电话号码的服务,允许犯罪分子接收登录代码以激活在线帐户,而无需表明身份或自己的电话号码。
在BreachForums上,可以发现群发电子邮件发送者用于非法大规模营销产品、网络钓鱼诈骗或其他恶意软件活动,还看到了电子邮件轰炸者的广告,他们用于堵塞目标的电子邮件收件箱,以使电子邮件无法使用或隐藏恶意活动(例如尝试登录的警告)。
其中一名垃圾邮件发送者不辞辛劳地创建了一个看似由人工智能生成的横幅广告和其服务的标志,这里对其名称进行了隐藏,以免宣传其服务。
在BreachForums的某个版块,多数帖子都致力于销售远程在线服务器访问权限、网络开发编程服务甚至图形设计服务,所有这些服务都可以用于创建复杂的骗局,例如欺诈性登陆页面以窃取受害者的用户数据。
当然,虽然其中一些服务可能是合法的,但其中大多数服务可能是假的,而且由于BreachForums网站多次被查封和重新开放,这里的账户都是两年以下的新账户。
网络犯罪论坛通常在托管的基础上运作,或者在信任的基础上运作,即用户有“诚实”销售的记录,而这个重新恢复启用的暗网网站几乎没有采取任何措施来防止诈骗。
在BreachForums论坛里,确实看到一些服务广告称他们接受托管付款,即由经过审查的第三方保管资金,直到双方对付款满意为止,如某个开发商提供预制钓鱼网站和登陆页面,允许托管交易。
愿意接受托管表明该用户确实在出售他们声称要出售的商品,尽管该网站上也可能存在许多涉及托管付款的骗局。
事实上,该网站上有许多完整的诈骗主题,显示了用户报告现场诈骗的日志。
BreachForums是一个交流与交易泄露数据的黑客论坛,在暗网与互联网同时可以访问,大量网络犯罪分子利用该论坛交换、销售和购买被窃取的数据。
自第一版暗网数据泄露论坛BreachForums于2022年3月成立以来,经”暗网下/AWX“梳理,BreachForums已经经历了5任运营管理员(真正能接触到数据库源码等基础设施的Owner级别的管理员),本文将细数这5位运营管理员以及他们的下场命运。
第一位管理员:Pompompurin,被FBI逮捕,后被判处20年监管释放 在首个知名的暗网数据泄露论坛RaidForums在2022年被FBI查封之后,”Pompompurin“创建了名为BreachForums(又名Breached)的一个新论坛,这就是第一版BreachForums(BreachForums v1),Pompompurin也就是BreachForums的创始人。
2023年3月,BreachForums的创始人”Pompompurin“,真实身份为纽约州的康纳·布赖恩·菲茨帕特里克(Conor Brian Fitzpatrick),被美国联邦调查局(FBI)逮捕。
2024年1月,Pompompurin在美国弗吉尼亚州东区法院被判处20年监管释放(无需在监狱服刑),但需在家中服刑2年(佩戴GPS定位器和接受心理健康治疗),且第一年也被禁止使用互联网。
第二位管理员:Baphomet,消失不见 在Pompompurin被捕后,BreachForums的一位管理员“Baphomet”接管了该网站,但是由于怀疑FBI已经获取了第一版BreachForums的基础设施权限,Baphomet选择关闭了第一版BreachForums论坛。
2023年6月,在第一版BreachForums论坛数周后,Baphomet宣布与黑客兼数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
由于担心第一版BreachForums的数据库已经被FBI掌握,第二版BreachForums论坛是一个全新论坛,并没有导入已经关闭的第一版BreachForums的老数据。
2024年5月,第二版BreachForums论坛也被FBI查封,FBI的扣押横幅上贴出了管理员Baphomet和ShinyHunters的两张论坛个人头像图片,BreachForums的官方Telegram频道和Baphomet拥有的其他频道和群组也同时被FBI掌控。
Baphomet似乎已经被FBI逮捕,但是却没有任何报告,于是有人怀疑他是联邦卧底。
总而言之,第二版BreachForums论坛管理员Baphomet奇怪地消失了。
第三位管理员:ShinyHunters,自称退休 在第二版BreachForums论坛被FBI查封后,另一位管理员“ShinyHunters”接管了该网站,并在与FBI的拉锯战中重新获得了明网域名的访问权,同时更换了暗网域名,并很快(2024年5月底)重新上线,本站(anwangxia.com)称之为第三版BreachForums论坛(BreachForums v3)。ShinyHunters还透露,BreachForums前管理员Baphomet已被执法部门逮捕。
然而,第三版BreachForums论坛运营不足一个月,自2024年6月10日起,该论坛再次无法访问,且管理员ShinyHunters的Telegram以及BreachForums的新Telegram频道、群组均被删除,两天后,BreachForums又再次在暗网与明网恢复访问。
随着第三版BreachForums论坛的运营出现问题,外界普遍认为当前BreachForums论坛已经成为FBI的蜜罐。此时ShinyHunters因厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休,并于6月14日重返论坛并发布公告宣布该论坛现在归一名昵称为“Anastasia”的威胁行为者所有。
第四位管理员:Anastasia,无存在感地消失 外界对”Anastasia”这个昵称并不熟悉,但BreachForums论坛的用户“earflaps”发帖称,Anastasia据说是BreachForums的前管理员,也被称为“Anastasia Belshaw”,据说他是Shiny的朋友,这也是他被授予所有者(Owner)称号的原因。
“earflaps”说,许多人都猜测Anastasia是Shiny的替代人或冒充原管理员Anastasia的联邦特工,理由是他既不说话,也不发帖,除了存在在论坛几乎什么都不做。
泄露第一版BreachForums数据库的威胁行为者emo在自己的Telegram频道称,Anastasia其实是前管理员Hollow。BreachForums论坛此刻由三个人在管理,一是替换ShinyHunters的Anastasia,但却什么也不做,另外两个分别是版主Armadyl与WillyWonka。
据“暗网下/AWX”监测,虽然第四任管理员名义上是Anastasia,但在其领导下,BreachForums论坛明显缺乏积极的管理与活力,一直处于停滞和消极状态,且该论坛大部分时间由版主WillyWonka进行管理。
第五位管理员:IntelBroker,仍然在位 2024年8月15日,BreachForums论坛开始由臭名昭著的黑客“IntelBroker”接管,这是BreachForums论坛的第五位管理员。有趣的是,一些老版主选择了离开,比如“WillyWonka”,甚至禁止了自己的帐户。
IntelBroker是一个在暗网上活动的个人(或犯罪黑客团体),活动范围涵盖XSS、BreachForums和Exposed等地下论坛。他们是黑客团体“Cyberniggers”内活动的威胁行为者,活跃于黑客行动主义和网络犯罪,尤其是作为初始访问代理(IAB),IntelBroker专门识别和出售受感染系统的访问权限,为各种恶意活动铺平道路。
与此同时,emo在自己的Telegram频道披露,IntelBroker不仅是一名同性恋恋童癖者,而且还是一名FBI线人。但无法查证。
近期,“IntelBroker”与“DuperTrooper”拍摄了一段视频,其中他们通过付费复制物品来赢得Minecraft的BreachForums服务器,以扰乱他们的游戏经济。
一个名为“888”的知名威胁行为者声称对泄露宝马香港公司客户的敏感数据负责。
知名威胁行为者发布了宝马香港公司的完整数据库 据暗网数据泄露论坛BreachForums的帖子,“888”直接发布了香港宝马的敏感数据库,影响了约14057条客户记录。“888”在帖子中称,这一次是完整的泄露,数据量远超上一次帖子中的泄露(7月份其只泄露了客户数据)。
BreachForums是一个以托管和销售被盗数据而闻名的暗网论坛。
BreachForums的帖子称,本次泄露的数据量更大,包括宝马汽车及客户的更多信息:车辆品牌、底盘编号、注册详情、车型系列、车主账户信息、车主姓名、联系方式、公司客户标识符以及通话和短信通信的退出偏好设置。
恶意行为者可能会利用这些全面的信息进行各种欺诈活动,包括身份盗用和有针对性的网络钓鱼攻击。
这些数据在臭名昭著的黑客平台BreachForums上被公开,”888“在该平台上声称对此次泄露事件负责。
”888“曾于2024年7月15日在BreachForums发布宝马香港客户数据 今年早些时候,”888“也曾发布过一起针对宝马的数据泄露事件,凸显了宝马数据安全措施中持续存在的漏洞。
”888“于2024年7月15日公开了被盗的客户数据。那次数据泄露包括香港宝马客户的详细个人信息,例如称呼、姓氏、名字、手机号码和短信退出偏好。
当时宝马报告了一起重大数据泄露事件,称影响了香港约14000名客户,这对数据隐私造成了重大打击。宝马数据泄露事件于2024年7月18日首次向个人资料私隐专员公署报告,引起了受影响个人的严重担忧,并引发了当地隐私机构的调查。
该公司透露,被泄露的数据由第三方承包商Sanuker管理,该公司已向警方和隐私监管机构通报了宝马数据泄露的情况。
宝马称其不断努力加强系统安全性并保护客户数据免遭未经授权的访问 此次数据泄露的具体持续时间仍不清楚,因此在全面了解数据泄露情况方面还存在很大问题。
随着调查的继续,宝马强调了其对客户隐私的承诺,并不断努力加强其系统的安全性。然而,2024年发生的两起信息泄露事件引发了人们对宝马能否充分保护客户敏感信息的担忧。
早在2020年,有黑客组织曾在暗网论坛上出售英国384,319名宝马车主的数据库,并称宝马数据来自“呼叫中心”,该呼叫中心管理着不同汽车供应商的客户。
此次泄密事件是针对汽车行业的网络攻击趋势的一部分,汽车行业拥有大量客户数据。该事件凸显了采取强有力的网络安全措施和定期审计以保护敏感信息的必要性。
随着企业越来越依赖数字平台进行客户管理和沟通,数据泄露的风险不断升级。
本周,第一版BreachForums论坛(BreachForums v1)的数据泄露事件持续发酵,”暗网下/AWX“一直在追踪此事件。从初始仅公开了用户信息数据,到后来整个论坛的完整数据库泄出,这为执法部门及网络安全情报分析人员提供了绝佳情报源。
第一版BreachForums论坛的21万名成员的个人信息以及论坛完整的数据库,是一位名为emo的知名威胁行为者在自己的Telegram频道泄露的,”暗网下“作为该频道的长期关注者,看到emo的许多吐槽,也能理解其为什么会释出该数据库。
emo在7月20日一开始只是发布了用户数据,文件名为”breachtoleak.tsv“,大小为15MB,共有212214行数据,也就意味着超过21万会员,该数据已经治理好,仅有5列,分别为论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及访问网站时最后使用的IP地址。随后,7月24日,emo进一步发布了第一版BreachForums论坛的完整数据库,这是一个Mysql的备份文件,文件名为”backup__20221129_000001_2kQ3WCQe2odVrejd.sql“,也就是数据库的备份时间为2022年11月29日,包含论坛私信、主题帖、回复、付款日志、论坛用户数据等全部数据表,该sql文件大小为2.05GB,文件的注释显示”– MyBB Database Backup — Generated: 29th November 2022 at 00:00“。
据emo称,这些数据直接来自第一版BreachForums论坛的创始人Conor Fitzpatrick,据称他在2023年6月保释期间试图以4000美元的价格出售这些数据。emo说,这些数据最终被三名威胁行为者购买。
在此之前,2023年7月,名为“breached_db_person”的人曾试图在BreachForums论坛上以100000至150000美元的价格出售BreachForums论坛数据库,但是否成功售出,不得而知。
虽然该论坛前期已经被查封,意味着该数据库已经落入了FBI手中,但除了执法部门,这些数据对于安全研究人员来说,同样可以提供许多帮助:利用泄露的电子邮件地址和IP地址,研究人员和执法人员可以将BreachForums成员与其他网站、他们的地理位置甚至真实姓名联系起来。
第一版BreachForums论坛数据库来自哪里 早在7月19日,在Telegram频道”explain“(ugly inside and out)里,频道管理员emo透露了许多内幕消息。emo称BreachForums是一个令人尴尬的论坛,由一名FBI线人和一名“Blooket”黑客运营了一年,他们还在试图出卖论坛的用户信息。emo表示在原管理员pompompurin在2023年被捕后曾与多人联系过,第二版BreachForums的工作人员得知Baphomet很可能已被FBI识别,但不知道出于什么原因,他们决定忽略所有警告。
emo称自己掏腰包,花了将近0.5个BTC,从BreachForums论坛的版主”Dedale“那里购买了第一版BreachForums论坛的数据,以防止它被出售而导致最终泄露。此外,他还自掏腰包支付了人肉”Dedale“的费用。
据emo称,开发者和版主“Dedale”试图在BreachForums上出售以前的论坛数据库,因此他对“Dedale”进行了人肉搜索,由于“Dedale”的安全防护意识(opsec)极其糟糕,他发现了“Dedale”的许多信息。在成为版主之前,Dedale曾使用别名Gliz,他通过编写糟糕的Python脚本来操纵Blooket游戏大厅(Blooket是一款面向儿童的互动教育类儿童游戏),扮演一名黑客。Gliz非常愚蠢,在github提交中泄露了他的一封私人电子邮箱:[email protected],而该邮箱与其别名”Gliz“、oblox的用户名”xXCOOLKID_MONEYxX“和fortnite的用户名”Trxpzz“都关联上了。emo称Gliz去年年底入侵并联手ShinyHunters从U-Haul勒索了高达7位数的款项!此外,由于Dedale没有安全意识,emo还有两点发现:
在Steam上搜索Dedale的独特用户名,会显示“Wasil”这个名字( https://steamcommunity.com/search/users/#text=itrxpzz0 ) 在BreachForum数据库中,Dedale多次泄露自己的家庭IP地址,该地址位于伊利诺伊州德斯普兰斯。 emo称,如果想知道这个数据库是如何存在的……首先,数据库并没有被“破解”,pompompurin同意在2023年6月以4000美元的价格将数据库卖给他的一个密友,但他的朋友没有足够的钱购买数据库,所以他们找到了版主“Dedale”,后者也没有足够的钱购买数据库,所以Dedale找到了ShinyHunters组织(他联合这个组织一起勒索了U-Haul)。ShinyHunters提供了资金,朋友、Dedale和ShinyHunters三个人都拿到了数据库。Dedale后来试图在论坛上以“breached_db_person”的名义出售数据库,因为只有3个人拥有数据库(不包括pom本人),很明显ShinyHunters知道并愿意Dedale背叛、允许其出卖论坛的用户信息,从而获得5位数的金钱。
多个版本的BreachForums论坛 正如”暗网下/AWX“曾经报道,近年来有多个论坛以数据泄露论坛的名义在运营,致力于建立一个云集黑客、数据收集者和威胁行为者的社区,他们交易、出售和泄露从被入侵公司窃取的数据。
第一个声名鹊起的数据泄露论坛是RaidForums,在2022年被FBI查封之后,一个名为Pompompurin的威胁行为者推出了一个名为BreachForums(又名Breached)的新论坛来填补空白,这就是第一版BreachForums(BreachForums v1)。
BreachForums论坛迅速崛起,威胁行为者自豪地泄露了大量被盗数据,包括来自美国国会医疗保健提供商DC Health Link、RobinHood的数据,以及使用暴露的API爬取的Twitter数据。
然而,在DC Health Link数据泄露后不久,FBI于2023年3月逮捕了第一版BreachForums论坛的创始人Conor Fitzpatrick(论坛昵称为Pompompurin)。
不久之后,第一版BreachForums论坛的一位前管理员(昵称为Baphomet)与臭名昭著的被盗数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
今年5月,第二版BreachForums论坛突然被FBI查封,据称Baphomet被捕,几天后ShinyHunters抢回域名BreachForums.st并恢复了论坛的访问,因此本站(anwangxia.com)将目前的BreachForums称为第三版BreachForums(BreachForums v3)。
由于存在多个版本的BreachForums论坛,根据emo泄露的文件名称,本次泄露的论坛备份文件时间为2022年11月29日,也就意味着最近泄露的数据来自第一版BreachForums论坛,该网站最初由Pompompurin于2022年创建,后来被FBI查封。
emo坚称BreachForums论坛是FBI的蜜罐 根据”暗网下/AWX“对网络犯罪圈子的长期研究,多数黑客以及威胁行为者均认为BreachForums论坛是FBI的蜜罐,emo同样如此,他也坚称BreachForums论坛是FBI的蜜罐。
emo表示,如果在经历了这一切之后你还继续使用BreachForums论坛,那你就太弱智了。emo称,请远离BreachForums,这是一个真实存在的蜜罐,由三人运营,这三人分别是:
ShinyHunters(阿纳斯塔西娅)——这个团体的核心成员被美国司法部起诉,但却没有被关进监狱???好奇🤔 Armadyl – 一名同性恋吸毒成瘾者,被我曝光了XD WillyWonka – 这黑鬼到底是谁啊😹 很奇怪的是,Baphomet(一名FBI线人)将BreachForums的控制权移交给了ShinyHunters。但不知何故ShinyHunters却没有被关进监狱;更奇怪的是ShinyHunters位于法国,其论坛托管着许多法国数据库。。,但他们并没有入狱,也没有因为运营论坛而遇到任何法律问题!
emo说自从这个狗屁蜜罐论坛开始以来,他和其他人也一直在幕后表达担忧,来提高人们对该论坛可疑程度的认识。这个论坛曾三次向FBI泄露其成员的信息,并由一名FBI线人担任管理员。一个论坛将其自己的数据库转储到网站根目录,从而泄露了自己的数据库……一个论坛的管理员是FBI线人……一个论坛的版主试图出售自己的数据库。这样的论坛还能使用?
”暗网下/AWX“刚刚报道了暗网数据泄露论坛BreachForums的扑朔迷离,是谁在幕后控制不得而知。但当该论坛再次恢复访问后,大多数网友坚持相信该论坛已经被FBI掌控。
在先前的公告里,ShinyHunters称对维护BreachForums的积极性降低了,并表示将把该论坛转交给另一位管理员Hollow。
然而,6月14日,ShinyHunters再次发布了新的告别公告”一个时代的终结“(The end of an era):
Hello breachforums
I know it’s been a confusing week and for that I apologize. However, it’s time for us to part ways. It has been a wild ride but all good things must come to an end. This has been a fun project and we will miss leading the forum but you all deserve better. I’m handing the project off to an OG some of you may remember, @Anastasia.
自从5月中旬暗网数据泄露论坛BreachForums被FBI扣押之后,发生了太多故事,“暗网下/AWX”也在持续跟进,5月24日,第三版BreachForums就在管理员ShinyHunters的带领下强势回归。
然而,6月10日起,该论坛再次无法访问,且管理员Telegram以及BreachForums的Telegram频道、群组均被删除,经历了两天的猜疑后,6月12日,BreachForums又再次在暗网与明网恢复访问,没人知道发生了什么。
再次恢复访问后,管理员ShinyHunters在论坛发布了发布了有关近期问题的公告:
Hello BreachForums users!
Some wild stuff has gone down recently. First off, Spamhaus has blacklisted our SMTP host. Then, we ran into more issues with our NGINX config. To top it off, our Telegram account (@shinycorp) and the “Jacuzzi 2.0” group got banned and blacklisted. Because of all this, we’re stepping away from using any Telegram account for ShinyHunters, and honestly, it’s kind of sapped our motivation to keep the forum going, though we’ll keep it alive.
就在北京时间今天上午,第三版BreachForums再次遭受了巨大打击,明网与暗网网站无法访问,管理员ShinyHunters的Telegram账户被删除,BreachForums的新频道与Jacuzzi 2.0的聊天群组同样被删除。
vx-underground发布推文称,ShinyHunters,负责管理Breached的小组(个人?)Breached 在明网和暗网上都已下线。此外,Shiny的Telegram和Telegram频道已被删除。人们猜测他们已经被捕。
vx-underground戏称,我们唯一可以确定的是,今天是星期天。我们不喜欢周日发生事情。(美国时间,现在为周日)
DarkWebInformer总结了BreachForums的最后一小时:
Clearnet 和 Tor 网站瘫痪 Shiny 的 Telegram 帐户被删除 BreachForums 公告 Telegram 频道变为空白 Jacuzzi 2.0 Telegram 聊天被删除。 经”暗网下/AWX“测试,BreachForums的明网网站(breachforums.st)目前提示502错误:
502 – Bad Gateway . That’s an error.
Looks like we have got an invalid response from the upstream server. That’s all we know.
访问BreachForums暗网网站(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion)提示“Onionsite Not Found”:
Onionsite Not Found
Details: 0xF0 — The requested onion service descriptor can’t be found on the hashring and therefore the service is not reachable by the client.
“道高一尺魔高一丈”,这是一个令网络犯罪群体振奋的故事,也是让世界最顶级执法机构尴尬的故事。
正如“暗网下/AWX”前期报道的,网络犯罪分子正计划全面恢复BreachForums网站。在美国联邦调查局(FBI)查封BreachForums基础设施并逮捕两名管理员仅两周后,暗网上最大的数据泄露论坛BreachForums再次重返明网和暗网。尽管FBI做出了十足的努力,但第二版BreachForums管理员之一ShinyHunters还是重新获得了明网域名,并开启了新的暗网域名。
针对BreachForums的执法行动于2024年5月15日开始,本站(anwangxia.com)做了及时详尽的报道,当时FBI在国际执法协调努力下查封了属于BreachForums网站的基础设施,包括所有域名。同时据称,FBI在此执法过程中逮捕了两名管理员。然而没过几天,BreachForums的主要管理员ShinyHunters(同时也是黑客)通过联系位于中国香港的域名注册商NiceNIC,在FBI眼皮底下成功夺回被扣押的明网域名“breachforums.st”,.st为圣多美和普林西比国家及地区顶级域(ccTLD)的域名。
ShinyHunters如何夺回明网域名 由于FBI已经掌握BreachForums的暗网域名私钥,之前的暗网域名处于与FBI的争夺战中,已经无法正常使用。因此该论坛已经为暗网采用了一个新域名(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion),同时也已使用原始明网域名(breachforums.st)重新上线。其他BreachForums相关的明网域名,包括escrow.breachforums.st、breached.in和另外两个停放域名,也已从FBI的扣押中收回。
ShinyHunters分享了一封电子邮件,声称这是联邦调查局网络部门的一名计算机科学家与域名注册商NiceNIC之间的正式对话。这封电子邮件提供了有关明网域名争夺事件的深入背景,并解释了ShinyHunters如何重新获得对被扣押域名的访问权限。
根据这封电子邮件,FBI的网络部门于2024年5月15日对BreachForums进行了一次行动,扣押了多个域名,包括在NiceNIC注册的域名breachforums.st。这些域名是通过法院下达的搜查令合法扣押的。
然而,在扣押几个小时后,breachforums.st域名被归还给原所有者ShinyHunters,而FBI的NiceNIC账户(注册为“bf_fbi”)被暂停。
随后,FBI要求NiceNIC重新激活其账户并归还被扣押的域名,理由是NiceNIC的服务条款禁止宣传网络犯罪。FBI敦促,如果无法归还域名,则应该将该域名解析的服务器更改为FBI拥有的服务器,或者应该暂停解析这些域名以防止进一步的伤害。
目前无法得知NiceNIC对FBI的回应。然而,该域名以原始形式归还给ShinyHunters的事实表明该公司没有遵循FBI的要求。
ShinyHunters在TG频道宣布了新的消息 5月28日,ShinyHunters先是在其Telegram频道发布了breachforums.st域名,Telegram的预览已经显示了该网站的介绍,证明该明网域名已经可以访问了,该域名赢得了很多红心点赞。
接着,15个小时后,ShinyHunters又发布新的公告“Registrations now open”,至此BreachForums完全恢复了被FBI查封前的状态,也恢复了往日的繁华。
电子邮件对话 FBI发给域名注册商NiceNIC的邮件:
我是联邦调查局网络部的计算机科学家,也是联邦调查局域名业务的主要联系人之一。本周早些时候,即2024年5月15日,联邦调查局针对非法论坛和市场“BreachForums”采取了行动。
一些公共网络安全机构注意到了这些行动,并发布了关于域名查封和随后的扣押页面的文章。在行动当天早上,FBI查封了与BreachForums相关的几个域名,包括由NiceNic托管的breachforums.st和其他域名。我们通过向位于美国的账户所有者送达法院命令的扣押令,合法地扣押了这些域名。
我们从该账户中查封的所有网站都用于窃取、出售和共享从世界各地受害者那里窃取的数据。最终,我们努力关闭BreachForums是为了防止该网站对全球无数受害者造成进一步的伤害。
然而,在域名被扣押几小时后,大约在太平洋标准时间5月15日晚上9点,我们注意到,breachforums.st域名已从我们的监管中释放出来,并归还给最初的威胁行为者。我们还注意到,我们无法登录FBI在NiceNic的官方账户,该账户使用电子邮件[email protected](用户名:bf_fbi)注册,这让我们相信该账户已被暂停。
因此,除了将合法查获的域名归还给FBI的NiceNic账户之外,我还想提供一些有关情况的补充信息,希望能推翻账户被暂停的决定。
此外,在您的域名注册服务条款中,您提到所提供的服务不会用于“促进黑客攻击、破解或其他网络犯罪或活动”,但这些都是BreachForums中常见的活动。
如果无法将域名归还给FBI,我们将根据您的服务条款请求将域名解析的服务器更改为FBI拥有的域名服务器,或通过客户保留(clientHold)以防止其造成进一步损害。目前持有这些域名的NiceNic帐户“vincenzotroia”无视并违反了贵公司的服务协议,继续托管这些域名。
我期待着您的回复–如果您能就这一情况提供任何帮助或指导,我们将不胜感激。
敬上,
S***
FBI的尴尬局面 至此,“暗网下/AWX”认为,联邦调查局的局面略显尴尬。尽管他们努力查封了BreachForums的域名并摧毁其基础设施,但该论坛能够迅速恢复其原始的明网域名。这一事实凸显了几个问题,包括国际执法、运营困难、跨国基础设施、安全漏洞、公众看法以及法律和程序问题。
这也解释了为什么尽管事情已经过去了两周,以至于网站已经恢复,联邦调查局或司法部仍未发布详细扣押情况说明的新闻稿。尽管如此,目前而言,这种情况对网络犯罪分子来说是双赢的,既没有损失,也赚足了眼球。不过联邦调查局和其他参与该行动的执法机构下一步将如何采取行动,也将至关重要。
不过,这也间接证明了新的BreachForums并非FBI的蜜罐,而SecretForums大概就是哗众取宠地蹭热度罢了。
更多暗网新闻动态,请关注“暗网下/AWX”。
最近,BreachForums的竞争对手、另一个数据泄露论坛SecretForums的管理员Astounding在其Telegram连续发布多个公告,质疑第三版BreachForums是否是FBI的蜜罐。
名不见经传的SecretForums是个什么网站 SecretForums也是一个数据泄露论坛,在暗网与明网均可以访问,与BreachForums系列不同的是,SecretForums使用开源CMS程序XenForo搭建,而BreachForums系列一直使用的是开源CMS程序PHPBB。
根据SecretForums网站上的数据统计,该论坛拥有4000多用户,1000多主题帖,因此该网站具备一定的用户底数与访问量。在第二版BreachForums被FBI摧毁后,SecretForums宣布将给予前BreachForums会员与他们在网站上类似的排名。
SecretForums的明网域名是:
https://secretforums.net
SecretForums的暗网域名是:
http://secretsmt222qvdg6rcmgvx4dqqc2673yzyxjrrnabwklnn6qddyv5ad.onion
Astounding是Secretforums的管理员和Blackforums前所有者。本站(anwangxia.com)发现,Astounding连续三次在SecretForums的Telegram频道发布声明,质疑Baphomet以及新成立的BreachForums。当然,由于是竞争关系,也许是趁机打压BreachForums。但是在暗网下,一切皆有可能。
Astounding首次质疑被捕的BreachForums管理员Baphomet 5月17日,SecretForums在其Telegram频道发布公告”关于 Baphomet 和 BreachForums 的官方声明“,质疑Baphomet是FBI的线人,称Baphomet之前表达了协助管理Blackforums基础设施的强烈兴趣,还表示BreachForums存在安全问题。具体声明如下:
为什么我相信Baphomet是线人
大约五个月前,Baphomet 表达了协助管理 Blackforums 基础设施的强烈兴趣。 他多次请求建立堡垒服务器来帮助解析日志并解决安全问题。 但是,我从未授予任何人访问权限,也没有创建堡垒服务器。 我坚信我应该是唯一有权访问基础设施的人。 这项政策全年有效,我管理该网站一个月了。
需要澄清的是,其他管理员(包括 Lemonade、Eom 和 Lucy)都不拥有对Blackforums基础设施的完全访问权限。 我是负责其管理和安全的唯一个人。
当我在 Jacuzzi 2.0 中表达这一立场时,我收到了前论坛运营者ShinyHunters 的禁令。 这种反应增强了我对我的陈述的真实性的信心。
Breachforum 的安全问题
新的 Breachforum 存在切实的安全问题,该论坛将由 ShinyHunters 拥有,并根据旧备份构建。 Baphomet 作为该网站的开发者,对旧备份的使用提出了进一步的担忧。
如前所述,Baphomet 请求访问解析日志。 然而,值得注意的是,我们在任何情况下都不会保存我们网站的日志。 我们仅记录网站功能所需的关键信息,例如电子邮件地址、用户名和密码哈希值。 IP 仅从我们的反向代理记录,因为我们没有启用 X-Forwarded-For。
确保安全并记住保持您的运营安全达到标准以避免法律纠纷。
~Secretforums 管理员和 Blackforums 前所有者
Astounding在Telegram发布怀疑Baphomet的证据截图 5月23日,Astounding在Telegram频道发布了一些证明baphomet想要帮助维护服务器的聊天截图。
截图看出,2023年12月29日,Astounding说baphomet帮他修改了nginx配置,但并没有更改;2024年1月14日,baphomet要求Astounding创建一个堡垒服务器。
Astounding第三次发布与BreachForums相关声明 5月25日,Astounding在Telegram频道第三次发布了与BreachForums相关声明。称这是其第三次更新BreachForums声明,因为Aegis(”暗网下/AWX“注:BreachForums的另一位管理员)说其已经绝望了。
Astounding在声明中表示,管理员“ShinyHunters”从2024年5月8日的备份中发布了BreachForums的新版本。管理员不仅使用了旧的备份,还禁用了注册。如果大家回顾一下历史,2022年RaidForums还在的时候,FBI也做了同样的事情。他们禁用了注册功能,将网站变成了一个蜜罐。
目前尚未证实BreachForums是一个蜜罐,但Astounding称,必须让大家知道要格外小心,尤其是现在。他给BreachForums管理员“ShinyHunters”发了信息,但“ShinyHunters”不想对此发表评论。而另一位管理员“Aegis”则声称他绝望了。
Astounding还称,第三版BreachForums的暗网网站似乎非常死气沉沉,在过去60分钟内只有50位用户活跃。
第三版Breachforums的故事、SecretForums的故事、FBI蜜罐的故事,“暗网下/AWX”将长期保持高度关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
臭名昭著的网络犯罪暗网论坛BreachForums卷土重来! 新的洋葱域名证实了其在暗网的复活,而明网网站可能会在未来几周的某个时候重新启动。
“暗网下/AWX”上周报道,第二版BreachForums的创建者Baphomet被FBI逮捕后,BreachForums管理员ShinyHunters声称已从FBI手中收回域名,并开启了第三版BreachForums的重建。
ShinyHunters既是黑客又是第二版BreachForums的管理员,他声称一直在为恢复BreachForums而努力。
第二版BreachForums于2024年5月15日被FBI扣押,据报道,管理员Baphomet被捕,并向FBI交出了后端服务器凭证,从而导致该论坛的数据、域名(包括暗网和明网域名)被FBI完全控制。
随后,ShinyHunters宣布从FBI处夺回了BreachForums明网域名(BreachForums.st)的访问权限,并在页面提供了跳转至其Telegram频道的链接。但是5月23日,ShinyHunters在新建立的Telegram频道发布公告称:“去你妈的警察,域名转移到了其他地方”(Fuck tha police. Domain transferred elsewhere.)这时候起,BreachForums明网域名(BreachForums.st)已经无法正常访问,似乎被当局转移控制了。
虽然目前美国联邦调查局和美国司法部都没有发布有关扣押BreachForums或任何与该事件相关的新闻稿,但是联邦调查局已承认查获此事,并敦促BreachForums数据泄露的受害者站出来填写表格以方便进一步调查。
5月24日,ShinyHunters在Telegram频道发布公告宣布了第三版BreachForums新的暗网域名:
http://breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion
公告称,新的暗网网站仍在测试中。 除了SMTP和CDN服务之外,请用户报告可能发现的任何其错误。公告提醒用户记得从URL中删除https,因为暗网域名没有使用证书。
New Tor domain for BreachForums is announced
According to the announcement, the site is still being tested.#DarkWeb #BreachForums #cybersecurity pic.twitter.com/XX6Hl9mQXl
— Dark Web Intelligence (@DailyDarkWeb) May 24, 2024 “暗网下/AWX”访问了新建立的BreachForums暗网网站,应使用的与第一版第二版相同的CMS代码(PHPBB),但目前不支持注册,“暗网下”(anwangxia.com)使用了第二版BreachForums中注册的账号密码,也未能成功登录,但是,据称第三版BreachForums使用的是第二版BreachForums的数据库的备份,而并非是一个全新的开始。
第三版BreachForums的多个暗网域名 ShinyHunters在第三版BreachForums的网站上发布了带有PGP签名的新canary公告,宣布了暗网的域名及镜像地址:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Next update by 06-25-2024.
Current:
breachforums.st
breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion
Mirrors:
breached4lhlibrqmzj7h2n4unu7wdzkg7gczcggufbqufwmmdraiyqd.onion
breachedetbw6gnud64wvuld3xkyrrbz5eijhvjbbix72izpegjdvcyd.onion
breachedhr2hxxranvbogkth63cpxwdcelsetui4uqavejvsqes4thid.onion
breachedm6qqmtc2ksrdhhtdr6o4erzudgx4blvkcxhyeruudtibizqd.onion
PGP Key: http://breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion/pgp.txt
Fingerprint: 1FC4 D0B1 DEE9 14BB 05B5 7FAB F1F1 B98A 51C9 89B3