Europol e BreachForums fra un data leak e un sequestro
19 Giugno 2024Vendute nell’underground informazioni rubate a Europol
IntelBroker, uno dei moderatori della community underground BreachForums, ha messo in vendita dati presumibilmente riconducibili a Europol.
In un post pubblicato il 10 maggio scorso, il criminale sosteneva di aver esfiltrato informazioni su dipendenti, codice sorgente, file PDF, e-mail, documenti per le ricognizioni e manuali provenienti dalle agenzie e piattaforme CCSE, Cryptocurrencies – EC3, Space – EC3, Europol Platform for Experts, Law Enforcement Form e SIRIUS.
Come prova, IntelBroker ha reso disponibile materiale associabile a EC3 Space, una community mondiale di esperti in cybercrime delle Forze dell’Ordine, ospitata sul portale Europol Platform for Experts (EPE). L’11 maggio, il post iniziale è stato aggiornato con l’annuncio dell’avvenuta vendita dei dati.
Europol ha confermato la violazione di EPE e ha specificato che l’indagine sull’accaduto è stata avviata dopo che un avversario aveva affermato in un forum underground di aver rubato documenti con la designazione For Official Use Only (FOUO) e dati classificati. Secondo l’Agenzia, l’attaccante avrebbe compromesso i sistemi utilizzando credenziali rubate, ma sarebbe riuscito ad accedere solo ad una limitata parte dell’EPE. In ogni caso, non sarebbero stati violati, né il sistema centrale di Europol, né i sistemi operativi.
IntelBroker e BreachForums
La community BreachForums è divenuta uno dei principali riferimenti del panorama underground nel 2022, dopo il sequestro e la chiusura dell’omologa RaidForums. Allo stesso periodo si datano le prime attività di IntelBroker.
Le sue recenti rivendicazioni hanno coinvolto realtà di alto livello in settori critici. A maggio 2024 ha messo in vendita accessi associabili alla compagnia di cybersecurity californiana Zscaler, la quale è stata costretta a indagare e ha confermato l’esistenza di un ambiente di test isolato su un singolo server esposto su internet. Ad aprile ha divulgato dati governativi e militari statunitensi. Il fatto ha indotto la compagnia Acuity, appaltatore federale che lavora con agenzie governative statunitensi, a investigare su un incidente di sicurezza che aveva subito e che era correlabile a quel leak.
A novembre 2023, infine, General Electric (GE) ha svolto analisi su un presunto data leak che l’avrebbe coinvolta. Anche in quel caso, gli accertamenti sono stati disposti a causa di un annuncio di IntelBroker relativo ad accessi e dati presumibilmente esfiltrati all’azienda.
Il sequestro di BreachForums
Mercoledì 15 maggio, sulla pagina di BreachForums è comparso un messaggio in cui si afferma che l’FBI e il Department of Justice americano, con l’assistenza di partner internazionali, hanno chiuso il sito e hanno avviato l’analisi dei dati di backend. Sulla stessa pagina venivano mostrate anche le due immagini di profilo degli amministratori del forum – Baphomet e ShinyHunters – con le sbarre della prigione.
L’ipotesi è che le Forze dell’Ordine abbiano sequestrato server, domini, canale Telegram del sito e altri canali di proprietà di Baphomet. In un messaggio Telegram condiviso con fonti giornalistiche, IntelBroker avrebbe sostenuto che, durante l’operazione di polizia, Baphomet sarebbe stato arrestato.
Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.