March 18, 2023, 7:55 p.m.
Pompompurin di BreachForum arrestato da FBI e il forum è da considerarsi compromesso
NINAsec
Buon sabato e ben ritrovato caro cyber User. Questo video rappresenta i momenti dell'operazione FBI che ha condotto all'arresto di Pompompurin, noto amministratore del forum Breached, dedito alla pubblicazione e intermediazione di vendita di materiale illecito.
BreachForums è ancora disponibile online, e dalla visualizzazione della live chat sulla home page del sito, è chiaro che gli utenti attivi del forum si sono resi conto solo ora che il loro amministratore - e il database del sito - è ora probabilmente nelle mani dell'FBI.
Il 15 marzo l'FBI ha arrestato il newyorkese Conor Brian Fitzpatrick, sospettato di essere il proprietario del forum criminale Breached, agendo sotto il soprannome di "Pompompurin". BreachForums è considerato la reincarnazione di RaidForums, che è stato chiuso dall'FBI nel 2022.
Come è stato catturato?
La maggior parte dei suoi IP VPN provengono dagli Stati Uniti, quindi sono perseguibili. Usava ancora le email pom@pompur.in e pompompurin@riseup.net. È sicuramente stata di aiuto una recente registrazione del proprio account sotto il servizio di cyber intelligence IntelligenceX. All'inizio di quest'anno infatti, non appena la società si è accorta della registrazione, ha iniziato a fornire informazioni di dettaglio e personali, alle autorità. Tutte informazioni che sono servite al proseguo delle indagini e soprattutto a condurre la ricerca ad IP localizzati a New York, quindi con libero campo d'azione per un perseguimento di legge.
BreachForum è noto nello scenario cyber per essere un noto luogo pubblico sul quale scambiare, rendere disponibile e vendere (tramite intermediazione), di materiale sensibile e illegale, spesso rinveniente da furti di dati da aziende di tutto il mondo, database estratti sfruttando vulnerabilità oppure risultati di esfiltrazioni ransomware.
Gran parte della geolocalizzazione, ha ruotato proprio attorno agli IP utilizzati per le connessioni al servizio IntelX.io (come questo: https://ipinfo.io/108.41.204.191) ricondotti proprio all'utente Pompompurin.
È qui che è chiara l'importanza di osservare i consigli di sicurezza per chi entra in questo campo, usando Tor e VPN e non usando email originali. Ma sembra che Pompompurin non abbia capito bene queste lezioni di base, ancora.
Come continua l'attività di Brached?
Tutto sembra proseguire come sempre, in perfetta regolarità. Ma la storia non può che insegnarci dagli errori passati. Non è passato molto tempo da quando il "Leone di montagna" aveva sbranato l'amministratore Omnipotent di RaidForums riducendolo, secondo le cronache, in fin di vita in ospedale. Mentre invece l'FBI conduceva una maxi operazione per il suo arresto e la chiusura del forum, proprio grazie alla sua collaborazione. Più che belva di montagna, Omnipotent si trovava già dietro le sbarre.
Ora, qui la situazione si ripete. Dopo questo atto di arresto, è pressoché impossibile che Breached sia ancora un'opera in mano degli originali amministratori. Come sempre accade in questi casi, la collaborazione del sospettato Fitzpatrick, è indispensabile e sarà pressoché una via obbligata visti i metodi di indagine dell'FBI.
Il forum è già da considerarsi compromesso. L'unica cosa che dobbiamo aspettarci nei prossimi giorni, sarà quindi il sequestro finale di tutto il contenuto ospitato dal forum underground che, per opera di alcuni utenti più attivi, presumibilmente aprirà nuovo bulletin board, su altro dominio e con altro nome.
Una delle dichiarazioni di IntelX sulla vicenda: "Abbiamo già incaricato il nostro team legale di dare seguito a ulteriori denunce penali e cause civili qui in Repubblica Ceca contro l'imputato Conor Brian Fitzpatrick". Non sarà per lui una battaglia legale facile.
Qui l'atto di denuncia penale contro Fitzpatrick(PDF), che lo accusa di frode sui dispositivi di accesso. E l'affidavit sul suo arresto qui(PDF).
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.