美国司法部周三表示,美国指控一名网名为“IntelBroker”的英国公民入侵全球数十家公司,窃取和出售敏感数据,造成超过2500万美元的损失。
根据本站(anwangxia.com)之前的报道,IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员,面临多项与非法网络攻击活动相关的指控。IntelBroker是入侵D.C. Health Link(国会健康数据)、“五眼”情报泄露和大规模T-Mobile数据盗窃的幕后黑手,他与出售美国政府系统访问权限和泄露军事文件有关。
25岁的凯·韦斯特(Kai West)于今年2月在法国被捕,据新闻报道,他自2月22日以来一直被关押,目前正在等待引渡至美国。一旦罪名成立,他将面临最高20年的监禁。美国司法部表示,韦斯特及其同伙试图在非法论坛上以超过200万美元的价格出售被盗数据。
根据最新公布的起诉书,韦斯特以“IntelBroker”的绰号在一个热门黑客论坛上出售被盗数据,该论坛据信是暗网论坛BreachForums——一个泄露数据库和黑客工具的交易市场。本周早些时候,法国媒体报道了几名涉嫌BreachForums管理员的嫌疑人被逮捕的消息。
警方表示,他们通过卧底侦探使用加密货币购买被盗数据,从而将韦斯特与IntelBroker联系起来。他们追踪到这笔加密货币付款来自一个以韦斯特真实身份注册的Coinbase账户。对他的Gmail账户进行搜索后,发现了他与该网络别名相关的个人和财务记录。起诉书称,调查人员还发现韦斯特使用相同的IP地址登录他的个人账户和IntelBroker的个人资料。
BreachForums是一个臭名昭著的交易被黑客入侵数据和网络犯罪工具的中心,在其创始人康纳·菲茨帕特里克(Conor Fitzpatrick)在美国被捕后,IntelBroker是该平台的管理员和所有者之一。
IntelBroker的罪行 “IntelBroker”是韦斯特的网名,他与同伙合谋入侵受害者(通常是公司)的计算机系统,窃取其中的数据(例如客户名单和公司营销数据),然后将窃取的数据出售牟利。韦斯特的计划实施与他领导的一个名为“CyberN[——]”的在线黑客组织有关,该组织经常访问一个特定的互联网论坛(“Forum-1”,即暗网论坛BreachForums)。
约在2023年至2025年期间,韦斯特约41次出售被窃取的数据;并约117次免费(或以Forum-1积分为代价)分发被窃取的数据。韦斯特及其同伙试图通过出售被窃取的数据至少牟取约200万美元。根据从这些违规行为的受害者处获得的信息,韦斯特及其同伙累计已给受害者造成至少2500万美元的损失。
根据对韦斯特在Forum-1中以IntelBroker身份发布帖子的审查,自2023年1月左右到2025年2月左右,韦斯特发布的大约158个帖子提供被盗数据以论坛-1积分或免费或以其他方式出售。在这158条公开消息中,至少有41条出售来自美国公司的数据。在这158条消息中,大约有16条为被盗数据提供了具体的要价,累计总额至少为2,467,000美元。在158条公开消息中,至少有25条邀请论坛1用户向IntelBroker(即韦斯特)发送私人消息以协商销售价格。其余117条公开消息向论坛-1用户免费提供被黑数据或以论坛-1积分换取数据。158条公开消息中至少有46条表明韦斯特与某个论坛-1用户(“CC-1”)合谋通过“入侵”(即“黑客攻击”)获取数据。韦斯特的公开信息(以IntelBroker的身份)表明他接受通过Monero付款,这是一种使用具有隐私增强技术的区块链来试图混淆交易并寻求实现匿名性和可替代性的加密货币。
韦斯特以“IntelBroker”的名义频繁发帖,并出售被盗数据,这使得他在Forum-1社区中声名狼藉。事实上,从2024年8月左右到2025年1月左右,“IntelBroker”在Forum-1上一直被认定为该网站的“所有者”。为了进一步提升其用户名的知名度,韦斯特将不同的图片与“IntelBroker”联系起来。
韦斯特的受害者包括一家美国电信供应商。韦斯特使用IntelBroker的绰号出售该电信公司的数据,其中包括其客户信息。韦斯特通过非法访问一台配置不当的服务器获取了这些数据。大约在2023年3月6日,韦斯特使用IntelBroker的绰号在Forum-1上发布了一条公开帖子,标题为“CyberN[——][删除受害者信息]数据库”。在该帖子中,韦斯特出售一家市级医疗保健供应商的数据,其中包括受害者患者的姓名、社保号码、出生日期、性别、健康计划信息、雇主信息等。
IntelBroker如何被FBI追踪到 根据@nattyfried,刑事指控将 “kyle.northern1337@outlook[.]com ”列为其主要电子邮箱账户。 该电子邮箱有一个与之相连的微软账户,通过该电子邮箱的 “用户名 “部分(kyle.northern1337),发现了另一个电子邮箱账户:kyle.northern1337@icloud[.]com
这个新的ICloud地址有几个与之相关的账户,包括一个在某时尚品牌留下评论的谷歌账户。在Luxottica数据泄露事件中,该电子邮件还与一个英国电话号码同时出现。
数据泄露事件中出现的电话号码有一个Facebook账户,该账户连接了一个新的电话号码(以64结尾)和一个新的电子邮件地址,该电话号码与 icloud 电子邮件中的电话号码一致,并与他的AppleID和Paypal账户相连。
2023年1月,联邦调查局的一名卧底特工在BreachForums上购买了属于名为“Victim-7”的组织的API密钥和登录凭证,发现该黑客的比特币钱包中的支付款来自一个与Ramp账户相连的独立钱包,而该账户是用Kai Logan West的驾照注册的。West在Bitcoin和Coinbase上的两个网站账户(后者以“Kyle Northern”的名字注册)都与West的Gmail账户有关联,该账户显示West参加了一个网络安全项目。其他线索还包括IntelBroker在BreachForums上发布的帖子,其中提到使用其个人电子邮件账户观看YouTube视频,以及不断更新的签名。
IntelBroker曾经被抓过,后被NCA招安 实际上,韦斯特(IntelBroker)曾于2018年被英国国家犯罪署(NCA)逮捕,罪名是抡棍抢劫和炸弹威胁骗局。当时其化名“Partial Duplex”,加入了一个自称为“Apophis Squad”的组织。
他有一个名为凯尔·诺尔(Kyle Northern)的 LinkedIn(法庭文件上也有)。在他以“PartialDuplex ”的身份被捕后,LinkedIn上显示他是英国国家犯罪署(NCA)的一名实习生。
据@vxunderground透露,NCA将韦斯特招入一个网络安全培训生项目,希望能够引导他向积极的方向发展,给他一个光明的前景。NCA清理了他的犯罪记录正式,将他招为正式学员,这让他的履历看起来不错,使他上了大学。结果不到两年后,他重操网络犯罪旧业。
他还使用过 “GnosticPlayers”、“DoxingMethod”、‘SeekedNow’、“TheRealCr4xy ”和 “kaibandit123 ”等化名。
等待韦斯特的将是相当漫长的刑期 根据美国司法部的公开报道,韦斯特,25岁,英国公民,被指控密谋实施计算机入侵,最高可判处5年监禁;密谋实施电信欺诈,最高可判处20年监禁;访问受保护的计算机获取信息,最高可判处5年监禁;以及电信欺诈,最高可判处20年监禁。
如果韦斯特被判有罪(他很可能被判有罪),他将面临20年(或更长时间)的联邦监禁。假设韦斯特的父母现在40多岁,当他出狱时,他们将被视为老年人。威斯特先生将在远离朋友和家人数千英里的铁窗中度过每一个圣诞节、新年、生日,甚至葬礼。
20年后,Breached(BreachForums)和Raid很可能会成为一个遥远的记忆,偶尔或在讨论网络犯罪历史时会被提起。IntelBroker 可能会被讨论,也可能不会。无论如何,随着生活的继续,他将被关在牢房里。
美国对IntelBroker的后续判决,“暗网下/AWX”将继续关注。
臭名昭著的暗网论坛BreachForums自今年4月起再次在明网与暗网同时消失,紧接着谣言与诈骗四起。昨日,事情逐渐明朗,法国媒体《巴黎人报》率先援引警方消息报道,法国警方逮捕了臭名昭著的BreachForums黑客论坛的五名成员,其中包括与发布大公司被盗数据有关的知名成员。
该网站是全球最活跃的地下数字交易市场之一,用于买卖被盗数据。此次执法行动在法国各地同步进行。
此次逮捕行动由巴黎警察总部网络犯罪大队的特种警官执行。该报道还指出,尽管此前BreachForums被推测与俄罗斯有联系,但被捕者均为欧洲人。据称被捕的五名成员中,四人于周一被捕,而该组织的第五名成员,即“IntelBroker”,早在今年二月份就已经被捕。
IntelBroker于今年二月份被捕 美国已经起诉了另一名BreachForums成员IntelBroker,又名Kai West,他于今年2月被法国执法部门逮捕。法国巴黎检察院的一份新闻稿称,“IntelBroker”是英国公民。
IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员。IntelBroker在BreachForums论坛上发布被盗数据的历史可谓丰富多彩,其中包括2023年3月从DC Health Link窃取的国会议员个人身份信息、 2023年11月从通用电气公司窃取的个人信息(包括国防高级研究计划局(DARPA)的文件)、2024年6月从超微半导体公司(AMD)窃取的个人信息以及2024年1月从惠普企业公司窃取的个人信息。
IntelBroker面临多项与非法网络攻击活动相关的指控,造成的损失超过2500万美元。他即将被引渡到美国,可能被判处最高50年监禁。
Sophos Field首席信息安全官Aaron Bugal对这种协调一致的执法行动表示赞赏。“虽然清除这些犯罪网站看起来像是一场永无止境的猫捉老鼠游戏,但网络犯罪分子已经意识到,任何网站或活动都无法逃脱调查,执法部门追捕他们只是时间问题。” Bugal补充道。
本周另外四名BreachForums成员被捕 本周被捕的四名BreachForums成员包括ShinyHunters、Hollow、Noct和Depressed,这四名犯罪嫌疑人年龄在二十多岁左右,本周早些时候被法国网络犯罪大队(BL2C)拘留。
其中,ShinyHunters最为知名,也是“暗网下/AWX”梳理的暗网论坛BreachForums的第三位管理员,曾经号称因为厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休。
法国当局指控黑客“ShinyHunters”、“Hollow”、“Depressed”和“Noct”参与了针对法国多家大型机构计算机系统的攻击,其中包括电子巨头Boulanger、运营商SFR、France Travail和法国足协。ShinyHunters此前曾参与入侵AT&T、必胜客和Ticketmaster等公司。
与 IntelBroker 一样,ShinyHunters 的名字也多次出现在BreachForums上与被盗数据相关的事件中。ShinyHunters发布的数据记录包括:2020年7月来自金融服务供应商Dave Inc. 的750万条记录、 2021年1月来自Pixlr的180万条记录、 2021年1月来自约会网站MeetMindful的记录、2021年4月来自5.33亿Facebook用户的记录,以及2024年6月来自Advance Auto Parts Inc.的3TB数据。
五人可能都面临严重的监禁 目前尚不清楚具体的指控,BreachForums的各位管理员与主要成员究竟是真正的黑客攻击的幕后黑手,还是充当了买卖被盗数据的中间人,又或者两者兼而有之,也一直是个谜。就ShinyHunters的案例而言,两者兼而有之的可能性很大,因为去年7月的一份报告显示,AT&T公司曾向ShinyHunters支付了37万美元的比特币,以阻止被盗信息的泄露。
无论他们被指控什么犯罪,考虑到BreachForums的运营范围以及被窃取、出售或发布的数据量,这五人都可能面临严重的监禁。
BreachForums是一个臭名昭著的交易黑客数据和网络犯罪工具的中心,该暗网论坛已成为全球被盗数据交易的中心枢纽,为数百万敏感信息和个人凭证的出售提供了便利。此次对网络犯罪基础设施的打击凸显了国际合作在打击跨国数字威胁方面日益重要。
BreachForums的创始人,第一位管理员来自美国的康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)已经于2023年3月被美国联邦调查局逮捕,该暗网网站第一版于2024年5月被FBI查封并下线。同月晚些时候,该网站在第二位管理员Baphomet与ShinyHunters的合作控制下重新上线。
BreachForums被捕的各位管理员与主要成员的后续判决,“暗网下/AWX”将继续关注。
BreachForums是一个交流与交易泄露数据的黑客论坛,在暗网与互联网同时可以访问,大量网络犯罪分子利用该论坛交换、销售和购买被窃取的数据。
自第一版暗网数据泄露论坛BreachForums于2022年3月成立以来,经”暗网下/AWX“梳理,BreachForums已经经历了5任运营管理员(真正能接触到数据库源码等基础设施的Owner级别的管理员),本文将细数这5位运营管理员以及他们的下场命运。
第一位管理员:Pompompurin,被FBI逮捕,后被判处20年监管释放 在首个知名的暗网数据泄露论坛RaidForums在2022年被FBI查封之后,”Pompompurin“创建了名为BreachForums(又名Breached)的一个新论坛,这就是第一版BreachForums(BreachForums v1),Pompompurin也就是BreachForums的创始人。
2023年3月,BreachForums的创始人”Pompompurin“,真实身份为纽约州的康纳·布赖恩·菲茨帕特里克(Conor Brian Fitzpatrick),被美国联邦调查局(FBI)逮捕。
2024年1月,Pompompurin在美国弗吉尼亚州东区法院被判处20年监管释放(无需在监狱服刑),但需在家中服刑2年(佩戴GPS定位器和接受心理健康治疗),且第一年也被禁止使用互联网。
第二位管理员:Baphomet,消失不见 在Pompompurin被捕后,BreachForums的一位管理员“Baphomet”接管了该网站,但是由于怀疑FBI已经获取了第一版BreachForums的基础设施权限,Baphomet选择关闭了第一版BreachForums论坛。
2023年6月,在第一版BreachForums论坛数周后,Baphomet宣布与黑客兼数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
由于担心第一版BreachForums的数据库已经被FBI掌握,第二版BreachForums论坛是一个全新论坛,并没有导入已经关闭的第一版BreachForums的老数据。
2024年5月,第二版BreachForums论坛也被FBI查封,FBI的扣押横幅上贴出了管理员Baphomet和ShinyHunters的两张论坛个人头像图片,BreachForums的官方Telegram频道和Baphomet拥有的其他频道和群组也同时被FBI掌控。
Baphomet似乎已经被FBI逮捕,但是却没有任何报告,于是有人怀疑他是联邦卧底。
总而言之,第二版BreachForums论坛管理员Baphomet奇怪地消失了。
第三位管理员:ShinyHunters,自称退休 在第二版BreachForums论坛被FBI查封后,另一位管理员“ShinyHunters”接管了该网站,并在与FBI的拉锯战中重新获得了明网域名的访问权,同时更换了暗网域名,并很快(2024年5月底)重新上线,本站(anwangxia.com)称之为第三版BreachForums论坛(BreachForums v3)。ShinyHunters还透露,BreachForums前管理员Baphomet已被执法部门逮捕。
然而,第三版BreachForums论坛运营不足一个月,自2024年6月10日起,该论坛再次无法访问,且管理员ShinyHunters的Telegram以及BreachForums的新Telegram频道、群组均被删除,两天后,BreachForums又再次在暗网与明网恢复访问。
随着第三版BreachForums论坛的运营出现问题,外界普遍认为当前BreachForums论坛已经成为FBI的蜜罐。此时ShinyHunters因厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休,并于6月14日重返论坛并发布公告宣布该论坛现在归一名昵称为“Anastasia”的威胁行为者所有。
第四位管理员:Anastasia,无存在感地消失 外界对”Anastasia”这个昵称并不熟悉,但BreachForums论坛的用户“earflaps”发帖称,Anastasia据说是BreachForums的前管理员,也被称为“Anastasia Belshaw”,据说他是Shiny的朋友,这也是他被授予所有者(Owner)称号的原因。
“earflaps”说,许多人都猜测Anastasia是Shiny的替代人或冒充原管理员Anastasia的联邦特工,理由是他既不说话,也不发帖,除了存在在论坛几乎什么都不做。
泄露第一版BreachForums数据库的威胁行为者emo在自己的Telegram频道称,Anastasia其实是前管理员Hollow。BreachForums论坛此刻由三个人在管理,一是替换ShinyHunters的Anastasia,但却什么也不做,另外两个分别是版主Armadyl与WillyWonka。
据“暗网下/AWX”监测,虽然第四任管理员名义上是Anastasia,但在其领导下,BreachForums论坛明显缺乏积极的管理与活力,一直处于停滞和消极状态,且该论坛大部分时间由版主WillyWonka进行管理。
第五位管理员:IntelBroker,仍然在位 2024年8月15日,BreachForums论坛开始由臭名昭著的黑客“IntelBroker”接管,这是BreachForums论坛的第五位管理员。有趣的是,一些老版主选择了离开,比如“WillyWonka”,甚至禁止了自己的帐户。
IntelBroker是一个在暗网上活动的个人(或犯罪黑客团体),活动范围涵盖XSS、BreachForums和Exposed等地下论坛。他们是黑客团体“Cyberniggers”内活动的威胁行为者,活跃于黑客行动主义和网络犯罪,尤其是作为初始访问代理(IAB),IntelBroker专门识别和出售受感染系统的访问权限,为各种恶意活动铺平道路。
与此同时,emo在自己的Telegram频道披露,IntelBroker不仅是一名同性恋恋童癖者,而且还是一名FBI线人。但无法查证。
近期,“IntelBroker”与“DuperTrooper”拍摄了一段视频,其中他们通过付费复制物品来赢得Minecraft的BreachForums服务器,以扰乱他们的游戏经济。