FBI tìm ra kẻ điều hành diễn đàn tội phạm trực tuyến BreachForums thế nào
Các đặc vụ liên bang đã thẩm vấn Conor Brian Fitzpatrick, 20 tuổi, đột kích vào nhà của cha mẹ anh ta ở Peekskill, New York vào rạng sáng ngày 15/3 sau khi kết luận rằng anh ta là "Pompompurin", chủ sở hữu của BreachForums. Cảnh sát cho biết Fitzpatrick đã từ bỏ quyền im lặng và thú nhận đã khởi chạy và duy trì diễn đàn được tội phạm mạng sử dụng để bán dữ liệu bị đánh cắp. Fitzpatrick nói với cơ quan thực thi pháp luật rằng anh ta kiếm được khoảng 1.000 USD mỗi ngày từ BreachForums, chủ yếu thông qua việc các thành viên trả tiền để truy cập dữ liệu bị hack và để nâng cấp thành viên trên trang web.
Phó Tổng chưởng bang Lisa O. Monaco cho biết trong một tuyên bố hôm 24/3, sau lần đầu tiên Fitzpatrick xuất hiện tại tòa án liên bang: "BreachForums đã thu hẹp khoảng cách giữa các tin tặc săn lùng dữ liệu bị đánh cắp và những người mua mong muốn khai thác nó. Tất cả những người hoạt động trong thị trường darknet nên lưu ý, sau khi làm việc với các bên thực thi pháp luật, chúng tôi sẽ gỡ bỏ các diễn đàn bất hợp pháp và đưa các quản trị viên ra trước công lý tại các phòng xử án của Hoa Kỳ".
Một bản khai có tuyên thệ của FBI tại tòa án liên bang cho thấy các cơ quan liên bang đã bắt đầu cuộc săn lùng Pompompurin với một danh sách các địa chỉ IP mà anh ta bị cáo buộc đã sử dụng để kết nối với tiền thân của BreachForums, RaidForums. Pompompurin là một thành viên tích cực của RaidForums cho đến khi nó sụp đổ vào tháng 2/2022 do sự can thiệp của cơ quan thực thi pháp luật và đã liên lạc với quản trị viên của nó, được cho là Diogo Santos Coelho, quốc tịch Bồ Đào Nha, người có nickname trên mạng là "omnipotent". Nhà chức trách đã bắt giữ Coelho tại Vương quốc Anh vào tháng 1/2022.
Hồ sơ thu được từ nhà cung cấp dịch vụ viễn thông Verizon cho thấy một số địa chỉ IP mà người dùng RaidForums là Pompompurin sử dụng để kết nối với RaidForums được liên kết với một thiết bị di động đã đăng ký cho Conor Fitzpatrick tại địa chỉ Thung lũng Hudson.
Các công tố viên cho biết Fitzpatrick đã cố gắng che giấu địa chỉ IP thực của mình bằng cách sử dụng nhiều VPN. Các dịch vụ này đôi khi bị cấu hình sai và để lộ địa chỉ IP thực của người dùng.
Các đặc vụ cũng tìm thấy thông tin cho thấy Pompompurin đã đề cập đến việc tìm kiếm cơ sở dữ liệu bị vi phạm bằng địa chỉ email cũ: conorfitzpatrick02@gmail.com. Việc biết về email đó đã khiến các đặc vụ tìm thấy địa chỉ email đang hoạt động conorfitzpatrick2002@gmail.com và lấy thông tin từ Google cho thấy rằng cả hai địa chỉ Gmail đều được đăng ký dưới tên "Conor Fitzpatrick" và được liên kết với địa chỉ ở Peekskill và số điện thoại di động đăng ký tại nhà mạng Verizon.
Việc khớp địa chỉ email và IP giữa các nhà cung cấp dịch vụ trực tuyến, bao gồm Zoom và trang web mua sắm điện tử tiền điện tử trực tuyến Purse.io, đều cho thấy đây là Fitzpatrick. Đến tháng 10/2022, FBI đã theo dõi anh ta đến khi họ có được trát yêu cầu tra soát GPS trên điện thoại Verizon của anh ta và khớp hoạt động của tài khoản BreachForums Pompompurin với phạm vi 1 km tính từ nhà ở của anh ta. Các đặc vụ cũng bắt đầu tích cực giám sát ngôi nhà, quan sát hoạt động trên tài khoản Pompompurin khi Fitzpatrick ở nhà.
Các công tố viên cho biết hơn 14 tỷ hồ sơ bị rò rỉ đã có sẵn trên BreachForums. Trong số đó có tên và thông tin liên lạc của khoảng 200 triệu người dùng Twitter. Mới đây, một người dùng khác đã đăng dữ liệu bị đánh cắp từ thị trường bảo hiểm y tế trực tuyến được sử dụng bởi các thành viên Quốc hội và cư dân của Washington, D.C.
Một người dùng BreachForums vào tháng 12 cũng đã đăng thông tin chi tiết về khoảng 87.760 thành viên của InfraGard, tổ chức hợp tác giữa FBI và các công ty thuộc khu vực tư nhân tập trung vào việc bảo vệ cơ sở hạ tầng quan trọng.
Nguyễn Anh Tuấn (theo BankInfoSecurity)