Am Freitag, der US-Justizministerium angekündigt dass der jetzt verhaftete mutmaßliche Administrator des berüchtigten Hacking-Forums BreachForums den Verkauf und Kauf privater Informationen ermöglichte, die „Millionen von US-Bürgern und Hunderten von US-amerikanischen und ausländischen Unternehmen, Organisationen und Regierungsbehörden“ gehörten.
In einer Erklärung bestätigten die Staatsanwälte die Festnahme von Conor Fitzpatrick, 20, alias Pompompurin, aus Peekskill, New York. Fitzpatrick wird wegen einer Verschwörung zum Betrug mit Zugangsgeräten angeklagt, bei einer Verurteilung mit einer Freiheitsstrafe von maximal fünf Jahren.
Um zu beweisen, dass BreachForums den Verkauf und Kauf gestohlener oder gehackter Daten ermöglichte, kauften verdeckte FBI-Agenten fünf Datensätze: einen mit Daten, die von einem namenlosen US-amerikanischen Internet-Hosting- und Sicherheitsdienstunternehmen gestohlen wurden und Namen, Adressen, Telefonnummern, Benutzernamen, Passwort-Hashes und E-Mail-Adressen für etwa 8.000 Kunden sowie Zahlungskarteninformationen für 1.900 Kunden; ein weiterer Datensatz, der von einer namenlosen in den USA ansässigen Investmentgesellschaft gestohlen wurde und mindestens 5 Millionen E-Mail-Adressen enthält; eine, die die privaten Informationen einer „großen Anzahl von US-Bürgern“ enthält, einschließlich vollständiger Namen, E-Mail-Adressen, Telefonnummern, Wohnadressen, Geburtsdaten, Sozialversicherungsnummern, Führerscheinnummern, Banknamen, Bankleitzahlen und Kontonummern; eine andere vom selben Verkäufer, die private Informationen und Bankkontoinformationen von rund 15 Millionen US-Personen enthielt; und ein weiterer Datensatz, der von einem US-Gesundheitsunternehmen stammt.
Das FBI sammelte mehrere Beweisstücke, um Pompompurin zu schnappen. Zuerst bekamen sie die IP-Adressen, mit denen Pompompurin auf RaidForums, den Vorgänger von BreachForums, zugegriffen hat. die im April 2022 vom FBI beschlagnahmt wurde. Neun dieser IP-Adressen waren laut seinem Internetdienstanbieter Verizon mit Fitzpatrick verbunden, wie FBI-Spezialagent John Longmire in der eidesstattlichen Erklärung vom 15. März, zwei Tage vor Fitzpatricks Verhaftung, schrieb.
In einem spektakulären Durcheinander seitens des Hackers schrieb Longmire, dass das zweite Beweisstück von Pompompurin selbst stammte. In einem Chat mit dem RaidForums-Administrator sagte Pompompurin, er habe bemerkt, dass eine auf der Website gepostete Datenschutzverletzung nicht „eine meiner alten E-Mails“ enthielt, die er auf der legitimen Website zur Benachrichtigung über Datenschutzverletzungen „Have I Been Pwned“ nachgeschlagen habe.
Obwohl Pompompurin dann sagte: „(Ich möchte meine eigentliche E-Mail aus offensichtlichen Gründen nicht teilen, aber diese E-Mail scheint den gleichen Fall wie meine zu haben): [email protected]“, schrieb der Agent in der eidesstattlichen Erklärung dieser E-Mail Adresse war tatsächlich Pompompurin, weil das FBI Aufzeichnungen von Google erhalten hat, aus denen hervorgeht, dass Fitzpatrick diese Adresse Monate vor diesem Chat registriert hat. Der mutmaßliche Hacker hatte laut eidesstattlicher Erklärung auch Google Pay-Konten, die sowohl mit dieser E-Mail-Adresse als auch mit einer neueren, „[email protected]“, verknüpft waren, die beide mit einer Nummer von Fitzpatrick verknüpft waren.
Darüber hinaus schrieb der Agent, dass er weitere Aufzeichnungen von Google erhalten habe, die zeigten, dass [email protected] eine Wiederherstellungs-E-Mail-Adresse [email protected] hatte, die mit einer IP-Adresse verknüpft war, die auf jemanden mit dem Nachnamen Fitzpatrick und einer anderen Telefonnummer registriert war Der Agent sagte, er glaube, er gehöre Fitzpatricks Vater.
Dann nutzte Pompompurin laut eidesstattlicher Erklärung mehrere VPNs, um sich mit seinem Gmail-Konto zu verbinden, von denen sich einige mit seinen Aktivitäten an anderer Stelle im Internet überschneiden.
Der Agent sagte auch, dass das FBI Aufzeichnungen von der Kryptowährungsbörse Purse.io erhalten habe. Aus den Aufzeichnungen des Unternehmens ging hervor, dass vier der IP-Adressen, die für die Verbindung mit der Börse verwendet wurden, auch für die Verbindung mit dem Gmail-Konto [email protected] und dem RaidForums-Konto von Pompompurin verwendet wurden. Darüber hinaus war dieses Purse.io-Konto mit dem Namen Conor Fitzpatrick und der E-Mail-Adresse „[email protected]“ registriert, heißt es in der eidesstattlichen Erklärung.
Diese vier IP-Adressen gehörten laut dem Agenten VPN-Anbietern, die Pompompurin auch zur Verbindung mit dem Konto „[email protected]“ verwendete.
Laut eidesstattlicher Erklärung wurde auch eine andere VPN-IP-Adresse verwendet, um sich bei einem Zoom-Konto unter dem Namen „Pompompurin“ anzumelden, die mit einer Riseup-E-Mail-Adresse verknüpft ist, die auch zur Registrierung seines RaidForums-Kontos verwendet wurde.
Aufzeichnungen von Purse.io zeigten auch, dass Fitzpatricks Konto „mehrere Artikel“ kaufte und sie an seine Adresse schickte, wobei die Telefonnummer, die die FBI bereits festgestellt hatte, seine war. Außerdem wurden sieben von neun IP-Adressen, die für die Verbindung zu Purse.io verwendet wurden, auch zur Verbindung mit Pompompurins Konto bei RaidForums verwendet. Und schließlich wurde das Purse.io-Konto „ausschließlich durch eine Bitcoin-Adresse finanziert, die Pompompurin in Beiträgen auf RaidForums besprochen hatte“, so die eidesstattliche Erklärung.
Die Beweise hören hier nicht auf. In einer Datenbank der RaidForums-Forenaktivitäten sahen die Bundesbehörden, dass Pompompurin auf sein Konto von einer IP-Adresse aus zugegriffen hatte, die Fitzpatricks Vater unter derselben Privatadresse registriert war, die zuvor von den Behörden identifiziert worden war, so die eidesstattliche Erklärung.
Dieselbe IP-Adresse wurde verwendet, um auf ein mit Fitzpatrick verbundenes iCloud-Konto zuzugreifen, schrieb Longmire in der eidesstattlichen Erklärung.
Darüber hinaus bemerkte Longmire, dass die Konten mit dem Handle Pompompurin auf RaidForums und BreachForums wahrscheinlich derselben Person gehörten, wie Pompompurin in einem Beitrag auf BreachForums schrieb: „Wenn Sie RaidForums verwendet haben, erinnern Sie sich höchstwahrscheinlich an mich, ich war einer der Aktiveren Benutzer dort“ und das neue Pompompurin-Konto auf BreachForums „spielten auf frühere Aktivitäten des Pompompurin-Kontos auf RaidForums an“.
Schließlich schrieb Longmire, dass das FBI einen Durchsuchungsbefehl erhalten habe, um Fitzpatricks Echtzeit-GPS-Standort von Fitzpatricks Handy in Echtzeit von Verizon zu erhalten, wodurch Agenten beobachten konnten, dass Pompompurin bei BreachForums eingeloggt war, während der Standort seines Telefons zeigte, dass er zu Hause war.“
Die FBI überwachte Fitzpatrick auch in seinem Haus, während Agenten feststellten, dass Pompompurins Konto im Forum aktiv war.
Diese Fülle von Beweisen ermöglichte es den Strafverfolgungsbehörden, einen Durchsuchungsbefehl für Fitzpatricks Haus zu erwirken, wo er sich bereit erklärte, mit den Agenten zu sprechen und „zugab, dass er der Benutzer des Pompompurin-Kontos ist“ und dass „er BreachForums besitzt und verwaltet und zuvor betrieben hat pompompurin-Konto auf RaidForums.“
Das FBI reagierte nicht sofort auf eine Bitte um Stellungnahme. Auch Fitzpatricks Anwalt reagierte nicht auf eine Bitte um Stellungnahme.
Ironischerweise dachte Fitzpatrick vielleicht, dass dieser Tag kommen würde, als er BreachForums startete. In ein Interview auf der Data Knight-Website, der Interviewer fragte ihn: „Glauben Sie nicht, dass es einen Grund gibt, warum das FBI RaidForums abgeschaltet hat? Warum sollten Sie es wieder hochbringen wollen, wenn Sie wissen, dass Sie möglicherweise dasselbe Schicksal erleiden, was auch immer es ist [may be]?”
Pompompurin antwortete: „Es stört mich nicht wirklich. Wenn ich eines Tages verhaftet werde, würde mich das auch nicht überraschen, aber wie gesagt, ich habe eine vertrauenswürdige Person, die vollen Zugriff auf alles hat, was nötig ist, um es ohne mich neu zu starten.“
Das Justizministerium sagte in seiner Erklärung vom Freitag, dass es auch „eine Störungsoperation durchgeführt habe, die dazu führte, dass BreachForums offline ging“. Als er um einen Kommentar gebeten wurde, lehnte DOJ-Sprecher Joshua Stueve es ab, näher darauf einzugehen. Zum Zeitpunkt der Veröffentlichung war BreachForums nicht zugänglich und es wurde ein Fehler mit der Meldung „Bad Gateway“ angezeigt, aber die Domain schien immer noch unter der Kontrolle des aktuellen Administrators der Site zu sein.
Nach der Ankündigung des Justizministeriums von Fitzpatricks Verhaftung kündigte die Person, die ihn übernahm, bekannt als Baphomet, an, dass sie das Forum schließen würden.
Am Freitag, nachdem die eidesstattliche Erklärung online verbreitet worden war, schrieb Baphomet eine Nachricht auf einem Telegram-Kanal, in der er sagte: „Das Wichtigste für unsere Community ist derzeit, sich darüber im Klaren zu sein, dass das FBI jetzt bestätigt wurde, dass es Zugriff auf die Breached-Datenbank hat.“ und „An diesem Punkt wird das gesamte Dokument deutlich zeigen, was ich während meiner gesamten Zeit bei Breached gesagt habe, und dass Sie niemandem vertrauen sollten, der mit Ihrem eigenen OPSEC umgeht. Ich bin als Administrator nie davon ausgegangen, und das sollte auch kein anderer tun.“
Aus diesem Grund, fügte Baphomet hinzu, „ist es im Grunde eine Todesfalle, alle einfach wieder in dieselbe Gemeinschaft zu stapeln, ohne darüber nachzudenken, wie wir richtig sicher vorankommen.“
Haben Sie Informationen zu BreachForums? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht funktionierenden Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.