Breachforums:
deception ou déception ?
Introduction
Depuis le début de l’année, les autorités ont réalisé un grand nombre d’opérations d’envergure contre le cybercrime. Que l’on évoque l’opération Cronos contre le groupe de cybercriminels Lockbit ou, plus récemment, celle Endgame contre les vendeurs et opérateurs de botnet, tous ces évènements ont fait la une des journaux.
Cependant, certaines opérations, bien que d’une ampleur significative, n’ont pas bénéficié d’une couverture médiatique aussi importante. En effet, des actions comme la saisie des serveurs de Breachforums et l’arrestation de son administrateur, réalisée par les polices de plusieurs pays, dont le FBI, ont eu un impact considérable dans la lutte contre la cybercriminalité.
Créé en 2022, Breachforums est rapidement devenu incontournable pour les cybercriminels à la suite de la fermeture de Raidforums. En effet, les points communs, tant dans la structure que dans les informations échangées, sont importants. De l’achat/vente de données fuitées et de code malveillant aux discussions plus globales sur la sécurité informatique en passant par la pornographie, ces forums constituent une sorte de zone de non-droit cyber régie par des administrateurs anonymes.
Lorsqu’on évoque les administrateurs, on ne peut pas ignorer les arrestations de ces derniers et les tentatives de stopper ces plateformes. La première de la série fut l’arrestation de Conor Brian Fitzpatrick aka “Pompurin”, le premier administrateur et créateur de Breachforums. Cet évènement avait mis un coup d’arrêt temporaire au forum jusqu’à ce que “Baphomet” et “Shinyhunters” reprennent la direction du forum.
Le 15 mai 2024, une nouvelle saisie du site a eu lieu. Selon les informations disponibles, “Baphomet” aurait également été arrêté par le FBI. Malgré les messages du FBI envoyés depuis son compte Telegram, aucune confirmation officielle de cette arrestation n’est parue à ce jour. Malgré la saisie de nombreux serveurs, Breachforums renait de ses cendres quelques semaines plus tard administré par “ShinyHunters”.
Contrairement aux autres administrateurs, “Shinyhunters” n’est pas un pseudonyme inconnu du cybercrime. En effet, un groupe portant le même nom existe depuis 2020, et trois français ont été arrêtés pour leur participation aux exactions de cet acteur malveillant. Il est toutefois important de noter qu’en dehors du nom et des revendications, aucune information officielle ne permet de valider l’hypothèse que ce groupe soit derrière la résurrection du forum.
Une reprise trop rapide ?
À la suite de l’intervention et la saisie des serveurs, de nombreuses discussions s’interrogeaient sur le remplaçant de Breachforums.
Sa disparition fut de courte durée car seulement quelques semaines plus tard, le forum réapparut. Sur plusieurs autres forums et canaux Telegram, la légitimité du forum est grandement remise en doute. Voici un exemple de communication des cybercriminels de Lapsus$ connu pour leur activité de ransomware et d’extorsion contre de nombreuses entreprises :
Ce ne sont pas les seuls à pointer du doigt cette résurrection express. Certains se questionnent quant aux potentielles collaborations entre la police fédérale américaine et les anciens/actuels administrateurs. Comme sur ce forum :
De plus, selon les retranscriptions du procès de “Pompurin”, Conor Brian Fitzpatrick, a signé un accord de coopération avec les autorités américaines. Dans le cadre des investigations et des poursuites réalisées à l’encontre des utilisateurs et administrateurs de Breachforums, il s’est engagé à collaborer avec la justice américaine. Au moment de l’arrestation de M. Fitzpatrick, ses accès n’étaient pas révoqués du site, les autorités ont donc pu obtenir un accès privilégié sur le forum.
Objection votre honneur : une explication de Shinyhunters sur la renaissance du forum
A la suite de toutes ces interrogations, un communiqué par l’administrateur actuel du forum a été réalisé :
Ce post intitulé “comment nous avons trollé le FBI” est à prendre avec précaution. Dans cette publication, l’auteur et administrateur du forum explique qu’à la suite de l’opération du FBI, aucun détail relatif à l’arrestation de “Baphomet” n’a été donné mais que les bases de données du forum ont bien été saisies.
La suite du message nous en apprend potentiellement davantage sur la résurrection rapide du forum. L’auteur explique que peu de temps après la saisie du nom de domaine, il aurait engagé une discussion avec l’entreprise chez qui les noms de domaines avaient été enregistrés : NiceNic. Toujours selon son post, “Shinyhunters” n’aurait eu aucun mal à récupérer le nom de domaine. Pour corroborer ses dires, l’administrateur poste une capture d’écran d’un mail envoyé par le FBI à NiceNic les questionnant sur la récupération du nom de domaine. Aucune indication n’est donnée sur la légitimité de cette capture de mail.
L’autre problème lié à cette opération, selon “Shinyhunters”, concerne les éléments saisis. En effet, le FBI ne se serait pas contenté de saisir les serveurs contenant les données de Breachforums mais aurait saisi l’entièreté du datacenter. Cette opération aurait forcé l’arrêt de nombreux services légitimes pour n’avoir que peu d’impact sur le forum réouvert peu de jours après.
L’analyse Gatewatcher
Malgré toutes les informations collectées au cours de cette investigation, aucun faisceau d’indices concordant ne nous permet d’établir une conclusion. Cependant, deux hypothèses sont facilement identifiables :
- Le FBI est derrière le forum et réalise un exercice de lutte d’influence pour légitimer de nouveau le forum. L’activité du forum a été peu évoquée, mais la fréquentation de Breachforums et la vente de données volées continuent. Si cette hypothèse s’avère véridique, elle permettrait aux services fédéraux américains de réaliser une collecte d’information importante grâce à des capteurs au plus proche du monde du cybercrime. Cela pourrait conduire à des arrestations futures et servir la coopération internationale dans sa lutte contre le cybercrime.
- Shinyhunters a réussi à convaincre NiceNic de récupérer le nom de domaine, permettant la renaissance de Breachforums sur d’ancienne sauvegardes qui n’ont pas été saisies lors de l’intervention des forces de l’ordre. Le FBI ne communique pas sur cette saisie qui ne serait pas si importante de peur d’entacher leur image auprès du grand public. En effet, non content de saisir des serveurs hébergeant des sites légitimes, ils auraient impacté l’activité de certaines entreprises. Ces perturbations auraient eu un impact significatif occasionnant une perte financière. Malgré la potentielle arrestation d’un des administrateurs, cette action aurait laissé un goût amer au FBI au vu de l’impact plus important sur des services légitimes.
En conclusion, personne en dehors du FBI n’est en mesure d’affirmer ou d’infirmer les éléments fournis dans le post de “Shinyhunters”. Cette opération est un cas d’école de lutte d’influence, depuis quelques années les cybercriminels ont appris à manier l’art de la communication pour atténuer ou justifier leurs actions. Tant qu’aucun communiqué officiel provenant d’une autorité certifiée ne parait, la remise en doute de l’information doit être systématique. Pour nuancer la phrase précédente, il est nécessaire de comprendre que les institutions ont elles aussi intérêt à faire de la lutte d’influence, complexifiant grandement la prise d’information. Le recoupage des sources est donc essentiel. Il est probable que des éléments soient révélés dans les mois, voire années à venir concernant cette opération.
Mise à jour du 10/06/2024 :
Depuis ce matin, Breachforum n’est plus accessible. Rien d’inhabituel pour ce genre de forum qui connait régulièrement des interruptions. Cependant, un faisceau d’indice concordant dont la suppression du canal de discussion du forum, le bannissement du compte de Shinyhunter de telegram et des échanges privés de ce dernier laisse à penser qu’il n’y aura pas d’autre version de Breachforums. La fermeture du site pourrait donc être liée à la pression mise par les autorités.
Aucun communiqué des institutions américaines ou de Shinyhunter n’est paru à ce jour.
Auteurs : Purple Team Gatewatcher et 0xSeeker