出典: Shutterstock(BreizhAtao)
皮肉な展開として、盗難データの世界最大級のマーケットプレイスの一つであるBreachForumsが再び侵害され、今回は匿名で活動していると信じていた数十万人のサイバー犯罪者の実在の身元が露出した。
1月9日、「James」を名乗る人物が、ShinyHunters恐喝グループにちなんだと思われる名称のWebサイト上で、BreachForumsのユーザー323,986人に関する詳細情報を含むデータベースを公開した。データベースには、ユーザー名、メールアドレス、IPアドレス、登録日、その他のメタデータが含まれており、世界各国の法執行機関が悪名高いハッキング・コミュニティのメンバーを特定し、訴追するうえで役立つ可能性がある。
真正で包括的
流出データベースを分析したうえで包括的な報告書を公表したサイバーセキュリティ企業Resecurityは、データの真正性を確認した。Dark Readingへのコメントで、Resecurityの脅威インテリジェンスチーム「HUNTER」のメンバーは、流出情報には平文のメールアドレスなど、法執行機関にとって非常に有用になり得る情報が含まれていたと述べた。「記録は真正であり、この情報の一部は、当社のHUNTERユニットがエンリッチメントや相互相関のためにすでに利用している」と同メンバーは語る。
同研究者は、ResecurityはJamesが誰であるかについて見当がついているものの、同社としては「いかなる形でも解釈したくない」と付け加えた。
JamesがBreachForumsのデータベースを公開することにしたのは、主要メンバーの一部に対する幻滅感が高まったためのようだ。長文で、しばしば芝居がかった全23部からなるマニフェストの中で、この人物は自らを年齢不詳の伝説的ハッカーと名乗り、数十年にわたり活動してきたとし、ShinyHuntersやAnonymousを含む複数のサイバー犯罪グループのメンターとして振る舞ってきたと主張している。「あの子どもたちは私のものだった。彼らは私と同じように成長した。私がそうしたから彼らは成長した」とJamesは書き、さらに「自分の子どもたちを貪り」、当局に彼らの身元を引き渡す時が来たとも付け加えた。
とりとめのないマニフェスト
このマニフェストでは、BreachForumsおよびShinyHuntersの運営に関与しているとされる複数の人物が具体的に名指しされており、フランス国籍のDorian Dali、Nahyl Ojeda、Ali Aboussiらが含まれる。彼らの多くは10代または若年成人に見えたという。Jamesによれば、決定打となったのは、これらのグループがフランスの標的を攻撃したことだった。「あなた方が教会の娘であるフランス国家に刃向かうことを決めたとき、時が来たのだと理解した」と彼は書き、政治的変化を前にフランスの利益を守るために流出を行ったのだという構図を示した。「あなた方を破壊の主に差し出す時が来た」とJamesは書き、やや大げさに「私はあなた方の運命を決着させるためにここにいる」と付け加えた。
BreachForumsは、米当局が2022年に閉鎖した主要サイバー犯罪フォーラムRaidForumsの後継に当たる。
それ以降、BreachForumsのさまざまなバージョンが、盗まれた企業データ、個人情報、そして幅広いサイバー犯罪を容易にするハッキングツールをハッカーが取引するハブとして機能してきた。2022年3月から2023年3月にかけては、「pompompurin」というハンドルネームの人物がフォーラムを運営していた。米連邦当局は2023年3月にニューヨークでこのハッカーを逮捕し、Conor Brian Fitzpatrickという人物であると特定した。
SalesForceを含む多数の大規模組織への攻撃に関与したグループとして知られるShinyHuntersは、2023年6月から2024年5月までBreachForumsを運営していたが、その後、米法執行機関が恐喝サイトを閉鎖した。昨年、この作戦に痛烈な打撃を与えたのが、フランスの法執行機関によるグループメンバー4人の逮捕だった。さらに、米国への身柄引き渡し(引渡し)に成功した後、米シアトルの連邦地裁は2024年1月、ShinyHuntersのメンバーとしての役割により、別のメンバーであるSebastien Raoultに懲役3年の判決を言い渡した。
世界のどこにBreachForumsメンバーはいるのか
出典: Resecurity
法執行機関の捜査材料
Resecurityによる流出データの分析では、フォーラムの現メンバーの多くが若年層で、国際的な性格を持つことが示された。流出データベースに含まれるIPアドレスの分析では、メンバーは米国、ドイツ、オランダ、フランス、トルコ、英国に集中していた。BreachForumはまた、モロッコ、ヨルダン、エジプトを含む中東・北アフリカ地域にも相当の存在感を持つ。
Resecurityはまた、このデータベースにフォーラム管理者、モデレーター、一般メンバーの詳細な記録が含まれていることも確認した。多くは匿名メールサービスを使用していたが、一部はGmailのような一般的なプロバイダーを使用しており、法執行機関にとって特定が容易になる可能性が高い。
「こうしたデータは、捜査官にとって多くの摩擦を取り除く」と、Keeper Securityの最高情報セキュリティ責任者(CISO)であるShane Barneyは述べる。ユーザー名やIPアドレスは単体では大きな意味を持たないかもしれないが、流出データベース内の他のデータが帰属特定を加速し、捜査期間を短縮し得る。「ShinyHuntersのようなグループにとって、匿名性は単なる好みではなく運用モデルそのものだ」とBarneyは言う。「実名、メールアドレス、IPの履歴が漏れ始めると、そのモデルは想定どおりに機能しなくなる」
運用面では、メンバーが日常的な行為でさえ常に背後を気にしなければならなくなり、かつては安全で抽象化されていると感じられたインフラが、突然追跡可能に見えてくる可能性がある。「信頼と分離に依存していたコミュニケーションが、露出しているように感じられ始める。管理者や著名なオペレーターにとって、その分離の喪失は、これまでできなかった形で異なる活動の糸が結び付けられる可能性を高める」とBarneyは述べる。
Resecurityのチームメンバーは、BreachForumsのデータベースは過去にも侵害され、販売に出されたことがあると指摘する。法執行機関が以前からこの作戦を標的にしてきたにもかかわらず、グループは再開を繰り返してきた。
BreachForumのメンバーは、データは古く、昨年以前のものだとして流出を矮小化しようとしていると、Resecurityのチームメンバーは言う。「しかし、多くが他のアンダーグラウンド・コミュニティでも同じ登録情報を再利用しているため、脅威アクターの情報や身元が古くなるわけではない」
翻訳元: https://www.darkreading.com/threat-intelligence/breachforums-breached-exposing-324k-cybercriminals
