El grup de ciberdelinqüents HasanBroker amenaça de tornar a atacar el servei una vegada i una altra per «insultar els seus esforços» per crear «un espai més gran per a tots els cibercriminals a internet».

Un actor d’amenaces que es diu HasanBroker ha piratejat el conegut fòrum de ciberdelinqüents BreachForums, i ha deixat la seva pàgina inaccessible. Per demostrar aquest accés no autoritzat, l’atacant ha publicat diverses imatges amb la seva empremta. 

El pirata informàtic s’ha atribuït la responsabilitat com a part d’una operació anomenada #OpVictoria.

L’actor d’amenaces indica que «Algunes notícies agradables d’avui: el domini del fòrum breachforums.bf ha estat suspès i #OpVictoria ha tingut èxit en el seu atac d’aquests enllaços febles del fòrum fals. Indra i N/A han mostrat la seva preocupació enviant-me missatges privats sobre nosaltres, ja que literalment estem explotant el seu programari de fòrum de totes les maneres possibles.» 

Aquest pirata de barret negre assegura que ha explotat vulnerabilitats de SQLi, XSS i SSRF per obtenir accés, exposar el servidor d’origen i interrompre el servei, fins i tot mitjançant atacs DDoS (de denegació de servei distribuïda). 

L’operació hauria culminat amb queixes massives d’abús al registrador, cosa que hauria portat la ICANN a suspendre el domini, amb advertiments de nous atacs si el lloc reapareix, segons recull el compte d’X Hackmanac. 

HasanBroker també assenyala que «Si ho intenten de nou, els destruirem una altra vegada — repetint-ho una vegada i una altra — no perquè ens importi el seu fòrum inutilitzat, sinó perquè ens van insultar, tant a nosaltres com a la nostra feina i esforços per crear un espai més gran per a tots els ciberdelinqüents a Internet. Aquesta és la nostra resposta.» 

El fòrum no ha trigat a reaccionar -fent cas omís d’aquestes amenaces- i ha anunciat la seva ‘migració’ a un nou domini per continuar mantenint-se operatiu. A més, ha demanat a la seva comunitat que actualitzin els seus bookmarks per romandre segura. 

Bretxa rere bretxa

No és la primera vegada que BreachForums pateix problemes de seguretat. El fòrum de hackers ha estat objecte de diversos atacs i bretxes que han transcendit públicament. 

El gener es va filtrar una base de dades que contenia informació d’aproximadament 324.000 usuaris del fòrum, inclosos nom d’usuari, correu electrònic, IP i altres metadades. Aquest dump va ser publicat per un actor amb l’àlies ‘James’, aparentment vinculat al grup ShinyHunters. Aquest incident va exposar la identitat i l’activitat de milers de ciberdelinqüents que creien que operaven anònimament. 

El fòrum també ha patit compromisos interns per vulnerabilitats en el seu programari. L’any passat, els administradors van admetre que la plataforma havia estat compromesa mitjançant un explotador de dia zero al programari MyBB que feia servir, a causa de versions sense pedaços i plug-ins vulnerables. 

A més, grups rivals havien filtrat dades anteriorment. El juny del 2023 un competidor del fòrum va publicar informació d’uns 4.700 usuaris, incloses contrasenyes, correus electrònics i claus criptogràfiques. Anteriorment, un altre actor anomenat Emo havia divulgat informació d’aproximadament 212.414 membres d’una versió inicial de BreachForums.

D’altra banda, les forces de seguretat hi han intervingut diverses vegades. A finals de l’any passat, la unitat francesa BL2C va arrestar diversos presumptes administradors del fòrum, vinculats a àlies com ShinyHunters, Hollow, Noct i Depressed, acusats de vendre dades robades de grans organitzacions. 

A més, les autoritats dels EUA i França han confiscat dominis relacionats amb BreachForums, especialment quan el lloc web es va reconvertir en plataforma d’extorsió per a dades robades, com en el cas de Salesforce.

Tot i això, l’eina sempre sembla ressorgir de les seves cendres. El fòrum ha experimentat apagades i rellançaments recurrents. Ha estat fora de línia diverses vegades a causa d’infiltracions o accions policials, ha reaparegut sota diferents dominis, i ha restaurat usuaris i dades.