Cuma günü, ABD Adalet Bakanlığı ilan edildi rezil bilgisayar korsanlığı forumu BreachForums’un şu anda tutuklanan sözde yöneticisinin “milyonlarca ABD vatandaşına ve yüzlerce ABD ve yabancı şirket, kuruluş ve devlet kurumuna” ait özel bilgilerin satışını ve satın alınmasını kolaylaştırdığını.
Savcılar yaptıkları açıklamada, Peekskill, New York’tan 20 yaşındaki Conor Fitzpatrick’in, namı diğer Pompompurin’in tutuklandığını doğruladılar. Fitzpatrick, hüküm giymesi halinde en fazla beş yıl hapis cezasına tabi olmak üzere, erişim cihazı dolandırıcılığı yapmak için bir kez komplo kurmakla suçlanıyor.
BreachForums’un çalınan veya saldırıya uğrayan verilerin satışını ve satın alınmasını kolaylaştırdığını kanıtlamak için, FBI gizli ajanları beş veri seti satın aldı: isimsiz bir ABD internet barındırma ve güvenlik hizmetleri şirketinden çalınan, isimler, adresler, telefon numaraları, yaklaşık 8.000 müşteri için kullanıcı adları, şifre karmaları ve e-posta adresleri ile 1.900 müşteri için ödeme kartı bilgileri; en az 5 milyon e-posta adresi içeren, adı açıklanmayan ABD merkezli bir yatırım şirketinden çalınan başka bir veri seti; tam adlar, e-posta adresleri, telefon numaraları, ev adresleri, doğum tarihleri, Sosyal Güvenlik numaraları, ehliyet numaraları, banka adları, yönlendirme numaraları ve hesap numaraları dahil olmak üzere “çok sayıda ABD’li kişinin” özel bilgilerini içeren; aynı satıcıdan, yaklaşık 15 milyon ABD’li kişinin özel bilgilerini ve banka hesabı bilgilerini içeren bir başkası; ve bir ABD sağlık şirketinden alınan bir başka veri seti.
Federaller, Pompompurin’i yakalamak için birkaç parça kanıt topladı. Önce Pompompurin’in BreachForums’un selefi olan RaidForums’a erişmek için kullandığı IP adreslerini aldılar. Nisan 2022’de FBI tarafından ele geçirilen. FBI Özel Ajanı John Longmire’ın Fitzpatrick’in tutuklanmasından iki gün önce 15 Mart tarihli yeminli beyanda yazdığı gibi, internet servis sağlayıcısı Verizon’a göre bu IP adreslerinden dokuzu Fitzpatrick ile ilişkilendirildi.
Longmire, bilgisayar korsanının muhteşem bir snafu’sunda, ikinci kanıtın bizzat Pompompurin’den geldiğini yazdı. RaidForums yöneticisiyle yaptığı bir sohbette Pompompurin, sitede yayınlanan bir veri ihlalinin meşru veri ihlali bildirim sitesi Have I Been Pwned’de aradığı “eski e-postalarımdan birini” içermediğini fark ettiğini söyledi.
Pompompurin daha sonra “(Bariz nedenlerle gerçek e-postamı paylaşmak istemiyorum, ancak bu e-postanın durumu benimkiyle aynı görünüyor): [email protected]” demesine rağmen, temsilci yeminli beyanda o e-postanın adres gerçekten de Pompompurin’di çünkü FBI, Google’dan Fitzpatrick’in bu adresi o sohbetten aylar önce kaydettiğini gösteren kayıtlar aldı. Yeminli beyana göre, hacker olduğu iddia edilen kişinin hem bu e-posta adresine hem de daha yeni bir adres olan “[email protected]”a bağlı Google Pay hesapları da vardı.
Ayrıca temsilci, Google’dan daha fazla kayıt aldığını yazdı; bu kayıtlar, [email protected]’un, Fitzpatrick soyadına ve farklı bir telefon numarasına sahip birine kayıtlı bir IP adresine bağlı [email protected] bir kurtarma e-posta adresine sahip olduğunu gösterdi. ajan, Fitzpatrick’in babasına ait olduğuna inandığını söyledi.
Daha sonra, yeminli ifadeye göre Pompompurin, Gmail hesabına bağlanmak için birkaç VPN kullandı ve bunlardan bazıları, internetteki herhangi bir yerdeki etkinliğiyle örtüşüyordu.
Ajan ayrıca FBI’ın kripto para borsası Purse.io’dan kayıt aldığını söyledi. Şirketin kayıtları, borsaya bağlanmak için kullanılan IP adreslerinden dördünün aynı zamanda [email protected] Gmail hesabına ve Pompompurin’in RaidForums hesabına bağlanmak için kullanıldığını ortaya çıkardı. Ayrıca, bu Purse.io hesabının Conor Fitzpatrick adıyla ve “[email protected]” e-posta adresiyle kayıtlı olduğu beyan edildi.
Temsilciye göre bu dört IP adresi, Pompompurin’in “[email protected]” hesabına bağlanmak için kullandığı VPN sağlayıcılarına aitti.
Yeminli beyana göre, RaidForums hesabını kaydetmek için de kullanılan bir Riseup e-posta adresiyle ilişkili “pompompurin” adı altında bir Zoom hesabına giriş yapmak için başka bir VPN IP adresi de kullanıldı.
Purse.io’dan alınan kayıtlar, Fitzpatrick’in hesabının “birkaç ürün” satın aldığını ve bunları federallerin zaten kendisine ait olduğunu belirlediği telefon numarasıyla kendi adresine gönderdiğini de gösterdi. Ayrıca Purse.io’ya bağlanmak için kullanılan dokuz IP adresinden yedisi, Pompompurin’in RaidForums’taki hesabına bağlanmak için de kullanıldı. Ve son olarak, Purse.io hesabı, yeminli ifadeye göre “yalnızca Pompompurin’in RaidForums’taki gönderilerde tartıştığı bir Bitcoin adresi tarafından finanse edildi”.
Kanıt burada bitmiyor. Yeminli beyana göre, RaidForums forum etkinliğinin bir veritabanında federaller, Pompompurin’in hesabına Fitzpatrick’in babasına kayıtlı bir IP adresinden eriştiğini gördü.
Longmire yeminli ifadede, aynı IP adresinin Fitzpatrick ile ilişkili bir iCloud hesabına erişmek için kullanıldığını yazdı.
Dahası, Longmire, Pompompurin’in BreachForums’ta yazdığı bir gönderide yazdığı gibi, RaidForums ve BreachForums’ta Pompompurin kullanıcı adına sahip hesapların muhtemelen aynı kişiye ait olduğunu kaydetti: “RaidForums’u kullandıysanız büyük olasılıkla beni hatırlarsınız, ben daha aktif olanlardan biriydim. oradaki kullanıcılar” ve BreachForums’taki yeni Pompompurin hesabı, “RaidForums’taki pompompurin hesabının geçmişteki faaliyetlerine atıfta bulundu.”
Son olarak Longmire, FBI’ın Fitzpatrick’in gerçek zamanlı cep telefonu GPS konumunu Verizon’dan almak için bir izin aldığını ve ajanların Pompompurin’in BreachForums’ta oturum açtığını ve telefonunun konumu onun evinde olduğunu gösterdiğini gözlemlemesine izin verdiğini yazdı.
Federaller ayrıca Fitzpatrick’i evinde gözetlerken, ajanlar Pompompurin’in hesabının forumda aktif olduğunu kaydetti.
Bu kanıt hazinesi, kolluk kuvvetlerinin, Fitzpatrick’in ajanlarla konuşmayı kabul ettiği ve “pompompurin hesabının kullanıcısı olduğunu” ve “BreachForums’un sahibi ve yöneticisi olduğunu ve daha önce RaidForums’ta pompompurin hesabı.”
FBI, yorum talebine hemen yanıt vermedi. Fitzpatrick’in avukatı da yorum talebine yanıt vermedi.
İronik bir şekilde Fitzpatrick, BreachForums’u başlattığında bu günün geleceğini düşünmüş olabilir. İçinde Data Knight web sitesinde bir röportaj, görüşmeci ona sordu, “Sence FBI’ın RaidForums’u kaldırmasının bir nedeni yok mu? Her ne olursa olsun aynı kaderle karşılaşabileceğinizi bile bile neden onu geri getirmek isteyesiniz ki? [may be]?”
Pompompurin yanıt verdi: “Beni gerçekten rahatsız etmiyor. Bir gün tutuklanırsam da bu beni şaşırtmaz ama dediğim gibi, onu bensiz yeniden başlatmak için gereken her şeye tam erişime sahip olacak güvendiğim bir kişiye sahibim.”
Adalet Bakanlığı Cuma günü yaptığı açıklamada, “BreachForums’un çevrimdışı olmasına neden olan bir kesinti operasyonu da yürüttüğünü” söyledi. Yorum için ulaşıldığında, DOJ sözcüsü Joshua Stueve ayrıntı vermeyi reddetti. Yayınlandığı sırada BreachForums’a erişilemiyor ve “kötü ağ geçidi” şeklinde bir hata görüntüleniyordu, ancak alan adı hâlâ sitenin mevcut yöneticisinin kontrolünde gibi görünüyordu.
Adalet Bakanlığı’nın Fitzpatrick’in tutuklandığını açıklamasının ardından, görevi ondan devralan Baphomet olarak bilinen kişi forumu kapatacağını duyurdu.
Cuma günü, yeminli beyan internette dolaştıktan sonra, Baphomet bir Telegram kanalına bir mesaj yazarak “şu anda topluluğumuz için en önemli şey, FBI’ın artık İhlal Edilen veri tabanına erişiminin onaylandığının farkında olmaktır” ve “Bu noktada tüm belge, Breached’da geçirdiğim süre boyunca söylediklerimi ve kendi OPSEC’inizi halletmesi için kimseye güvenmemeniz gerektiğini açıkça gösterecek. Bu varsayımı bir yönetici olarak asla yapmadım ve başka hiç kimse de yapmamalı.
Bu nedenle Baphomet, “Nasıl düzgün ve güvenli bir şekilde ilerlediğimizi düşünmeden herkesi aynı topluluğa geri yığmak temelde bir ölüm tuzağıdır” diye ekledi.
BreachForums hakkında bilginiz var mı? Sizden haber almak isteriz. Çalışmayan bir cihazdan, Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde +1 917 257 1382 numaralı telefondan Signal üzerinden veya Wickr, Telegram ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek iletişime geçebilirsiniz. TechCrunch ile SecureDrop aracılığıyla da iletişime geçebilirsiniz.