Vn-Z.vn Ngày 29 tháng 05 năm 2024, Diễn đàn hacker khét tiếng Breach Forums đã quay trở lại mạng clearnet và dark web chỉ sau hai tuần bị FBI tịch thu toàn bộ cơ sở hạ tầng và bắt giữ hai quản trị viên. Một trong những quản trị viên, thuộc nhóm hacker ShinyHunters, đã giành lại các tên miền mặc dù FBI nỗ lực ngăn chặn, điều này nhấn mạnh những lỗ hổng bảo mật và thất bại lớn trong hoạt động an ninh mạng của tổ chức FBI.
Diễn đàn hacker Breach Forums bị đánh sập vào ngày 15 tháng 5 năm 2024, sau khi FBI phối hợp cùng nhiều tổ chức an ninh mạng của các quốc gia tiến hành tịch thu tất cả các tên miền thuộc về Breach Forums thì chỉ ít ngày sau trên cồng đồng mạng của nhóm hacker quản lý đã công bố thông tin nhóm ShinyHunters, hacker và quản trị viên chính của Breach Forums, đã giành lại tên miền bị tịch thu từ ngay trước mặt FBI .
Làm thế nào mà ShinyHunters giành lại được các tên miền clearnet đã bị FBI thu hồi?
Sau khi FBI đã tiến hành thu hồi và đánh sập nhiều tên miền được diễn đàn hacker này sử dụng, dù các tên miền đều nằm dưới quyền kiểm soát của FBI. Nhóm hacker đã lấy lại thành công tên một trong những tên miền ban đầu, thậm chí nhóm hacker còn lấy lại được các tên miền clearnet liên quan khác.
ShinyHunters đã chia sẻ các email khẳng định các nội dung trao đổi chính thức giữa một chuyên gia máy tính từ Bộ phận Cyber của cơ quan FBI và nhà đăng ký tên miền NiceNIC. Email được chia sẻ trên mạng cho thấy một số nội dung về vụ việc và cách nhóm hacker giành lại quyền truy cập vào các tên miền bị tịch thu.
Thất bại của FBI
Theo bức thư được chia sẻ trên mạng cho thấy có một email từ một thành viên thuộc Bộ phận Cyber của FBI đã thực hiện các hoạt động vào ngày 15 tháng 5 năm 2024, nhằm vào Breach Forums, tịch thu một số tên miền do NiceNIC lưu trữ. Các tên miền đã bị tịch thu hợp pháp thông qua lệnh bắt giữ của tòa án.
Tuy nhiên, vài giờ sau khi tịch thu, tên miền ban đầu của diễn đàn đã được trả lại cho chủ sở hữu ban đầu, ShinyHunters. Thậm chí ngay cả tài khoản trên hệ thống NiceNIC của FBI, có nick name là "bf_fbi", đã bị ban.
Dù sau đó FBI đã yêu cầu NiceNIC kích hoạt lại tài khoản của họ và trả lại các tên miền bị tịch thu, cũng như đưa ra các trích dẫn điều khoản dịch vụ của NiceNIC, nghiêm cấm hành động tội phạm mạng. FBI nhấn mạnh rằng nếu các tên miền không thể trả lại, máy chủ tên miền nên được thay đổi thành máy chủ thuộc sở hữu của FBI hoặc các tên miền nên bị đình chỉ để ngăn chặn thiệt hại thêm.
Phản hồi của NiceNIC với FBI vẫn chưa được biết. Nhưng rõ ràng là tên miền ban đầu của diễn đàn hacker đã trở lại dưới hình thức chủ sở hữu ban đầu, điều này cho thấy công ty quản lý tên miền đã không tuân theo yêu cầu của FBI.
Cuộc trò chuyện qua email
Dưới đây là cuộc trò chuyện qua email (Lưu ý: Tên của đặc vụ FBI đã được xóa khỏi email vì lý do an ninh và quyền riêng tư).
Email FBI gửi đến Nhà đăng ký:
Tôi là một Nhà khoa học Máy tính trong Bộ phận Cyber của FBI và tôi là một trong những điểm liên lạc chính cho bất kỳ hoạt động tên miền nào của FBI. Đầu tuần này, vào ngày 15 tháng 5 năm 2024, FBI đã thực hiện một chiến dịch chống lại diễn đàn và thị trường bất hợp pháp 'BreachForums'.
Một số tổ chức an ninh mạng công cộng đã bắt kịp hành động này và đăng các bài viết về việc tịch thu tên miền và trang splash sau đó. Vào sáng ngày hoạt động, FBI đã kiểm soát một số tên miền liên quan đến BreachForums được lưu trữ bởi NiceNic. Chúng tôi đã có thể tịch thu hợp pháp chúng bằng cách phục vụ lệnh bắt giữ của tòa án trên một chủ tài khoản ở Hoa Kỳ.
Tất cả các trang web mà chúng tôi tịch thu từ tài khoản này đều dành cho việc trộm cắp, mua bán và chia sẻ dữ liệu bị đánh cắp từ các nạn nhân trên khắp thế giới. Cuối cùng, nỗ lực của chúng tôi nhằm hạ gục BreachForums là để ngăn chặn bất kỳ thiệt hại nào tiếp theo mà trang web gây ra cho vô số nạn nhân trên toàn cầu.
Tuy nhiên, vài giờ sau khi tịch thu các tên miền, vào khoảng 9 giờ tối PST ngày 15 tháng 5, chúng tôi nhận thấy rằng tên miền breach****** đã thoát khỏi quyền kiểm soát của chúng tôi và trả lại cho "mối đe dọa" ban đầu. Chúng tôi cũng nhận thấy rằng chúng tôi không thể đăng nhập vào tài khoản chính thức của FBI tại NiceNic, đăng ký với email [email protected] (tên người dùng: bf_fbi), dẫn đến suy đoán rằng tài khoản đã bị đình chỉ.
Vì vậy, tôi muốn cung cấp thêm một số bối cảnh về tình huống để hy vọng đảo ngược việc đình chỉ tài khoản, bên cạnh việc trả lại các tên miền bị tịch thu hợp pháp cho tài khoản NiceNic của FBI.
Ngoài ra, trong điều khoản dịch vụ đăng ký tên miền của bạn, bạn đề cập rằng dịch vụ sẽ không được sử dụng để "tiến hành các hành động hack, cracking hoặc các hành động tội phạm mạng hoặc hoạt động khác", đây là hoạt động phổ biến được tìm thấy và liên quan đến BreachForums.
Nếu các tên miền không thể trả lại cho FBI, chúng tôi mong muốn máy chủ tên miền được thay đổi thành máy chủ thuộc sở hữu của FBI hoặc bị đình chỉ qua clientHold để ngăn chặn thiệt hại thêm theo điều khoản dịch vụ của bạn. Tài khoản NiceNic hiện đang giữ các tên miền, 'vincenzotroia', đã tích cực vi phạm và phá vỡ các thỏa thuận dịch vụ của bạn bằng cách tiếp tục lưu trữ các tên miền này.
Tôi mong được nghe thông tin từ bạn - tất cả chúng tôi sẽ thực sự đánh giá cao bất kỳ sự giúp đỡ hoặc hướng dẫn nào mà bạn có thể cung cấp về tình huống này.
Trân trọng,
S***
Tình huống đáng xấu hổ cho FBI
Tình huống này khá đáng xấu hổ cho FBI. Bất chấp nỗ lực tịch thu các tên miền của Breach Forums và hạ gục cơ sở hạ tầng của nó, thực tế là diễn đàn này có thể nhanh chóng giành lại các tên miền clearnet ban đầu cho thấy một số vấn đề thất bại trong hoạt động an ninh mạng, các lỗ hổng bảo mật, nhận thức công chúng và các vấn đề thủ tục pháp lý.
Điều này cũng giải thích tại sao, mặc dù đã hai tuần trôi qua, FBI hoặc Bộ Tư pháp (DoJ) chưa công bố các thông cáo báo chí chi tiết về việc tịch thu liên quan. Có thể thấy rằng hacker đã giành được thắng lợi trong cuộc "chiến " giữa FBI.
Làm thế nào mà ShinyHunters giành lại được các tên miền clearnet đã bị FBI thu hồi?
Sau khi FBI đã tiến hành thu hồi và đánh sập nhiều tên miền được diễn đàn hacker này sử dụng, dù các tên miền đều nằm dưới quyền kiểm soát của FBI. Nhóm hacker đã lấy lại thành công tên một trong những tên miền ban đầu, thậm chí nhóm hacker còn lấy lại được các tên miền clearnet liên quan khác.
ShinyHunters đã chia sẻ các email khẳng định các nội dung trao đổi chính thức giữa một chuyên gia máy tính từ Bộ phận Cyber của cơ quan FBI và nhà đăng ký tên miền NiceNIC. Email được chia sẻ trên mạng cho thấy một số nội dung về vụ việc và cách nhóm hacker giành lại quyền truy cập vào các tên miền bị tịch thu.
Thất bại của FBI
Theo bức thư được chia sẻ trên mạng cho thấy có một email từ một thành viên thuộc Bộ phận Cyber của FBI đã thực hiện các hoạt động vào ngày 15 tháng 5 năm 2024, nhằm vào Breach Forums, tịch thu một số tên miền do NiceNIC lưu trữ. Các tên miền đã bị tịch thu hợp pháp thông qua lệnh bắt giữ của tòa án.
Tuy nhiên, vài giờ sau khi tịch thu, tên miền ban đầu của diễn đàn đã được trả lại cho chủ sở hữu ban đầu, ShinyHunters. Thậm chí ngay cả tài khoản trên hệ thống NiceNIC của FBI, có nick name là "bf_fbi", đã bị ban.
Dù sau đó FBI đã yêu cầu NiceNIC kích hoạt lại tài khoản của họ và trả lại các tên miền bị tịch thu, cũng như đưa ra các trích dẫn điều khoản dịch vụ của NiceNIC, nghiêm cấm hành động tội phạm mạng. FBI nhấn mạnh rằng nếu các tên miền không thể trả lại, máy chủ tên miền nên được thay đổi thành máy chủ thuộc sở hữu của FBI hoặc các tên miền nên bị đình chỉ để ngăn chặn thiệt hại thêm.
Phản hồi của NiceNIC với FBI vẫn chưa được biết. Nhưng rõ ràng là tên miền ban đầu của diễn đàn hacker đã trở lại dưới hình thức chủ sở hữu ban đầu, điều này cho thấy công ty quản lý tên miền đã không tuân theo yêu cầu của FBI.
Cuộc trò chuyện qua email
Tạm dịch
Dưới đây là cuộc trò chuyện qua email (Lưu ý: Tên của đặc vụ FBI đã được xóa khỏi email vì lý do an ninh và quyền riêng tư).
Email FBI gửi đến Nhà đăng ký:
Tôi là một Nhà khoa học Máy tính trong Bộ phận Cyber của FBI và tôi là một trong những điểm liên lạc chính cho bất kỳ hoạt động tên miền nào của FBI. Đầu tuần này, vào ngày 15 tháng 5 năm 2024, FBI đã thực hiện một chiến dịch chống lại diễn đàn và thị trường bất hợp pháp 'BreachForums'.
Một số tổ chức an ninh mạng công cộng đã bắt kịp hành động này và đăng các bài viết về việc tịch thu tên miền và trang splash sau đó. Vào sáng ngày hoạt động, FBI đã kiểm soát một số tên miền liên quan đến BreachForums được lưu trữ bởi NiceNic. Chúng tôi đã có thể tịch thu hợp pháp chúng bằng cách phục vụ lệnh bắt giữ của tòa án trên một chủ tài khoản ở Hoa Kỳ.
Tất cả các trang web mà chúng tôi tịch thu từ tài khoản này đều dành cho việc trộm cắp, mua bán và chia sẻ dữ liệu bị đánh cắp từ các nạn nhân trên khắp thế giới. Cuối cùng, nỗ lực của chúng tôi nhằm hạ gục BreachForums là để ngăn chặn bất kỳ thiệt hại nào tiếp theo mà trang web gây ra cho vô số nạn nhân trên toàn cầu.
Tuy nhiên, vài giờ sau khi tịch thu các tên miền, vào khoảng 9 giờ tối PST ngày 15 tháng 5, chúng tôi nhận thấy rằng tên miền breach****** đã thoát khỏi quyền kiểm soát của chúng tôi và trả lại cho "mối đe dọa" ban đầu. Chúng tôi cũng nhận thấy rằng chúng tôi không thể đăng nhập vào tài khoản chính thức của FBI tại NiceNic, đăng ký với email [email protected] (tên người dùng: bf_fbi), dẫn đến suy đoán rằng tài khoản đã bị đình chỉ.
Vì vậy, tôi muốn cung cấp thêm một số bối cảnh về tình huống để hy vọng đảo ngược việc đình chỉ tài khoản, bên cạnh việc trả lại các tên miền bị tịch thu hợp pháp cho tài khoản NiceNic của FBI.
Ngoài ra, trong điều khoản dịch vụ đăng ký tên miền của bạn, bạn đề cập rằng dịch vụ sẽ không được sử dụng để "tiến hành các hành động hack, cracking hoặc các hành động tội phạm mạng hoặc hoạt động khác", đây là hoạt động phổ biến được tìm thấy và liên quan đến BreachForums.
Nếu các tên miền không thể trả lại cho FBI, chúng tôi mong muốn máy chủ tên miền được thay đổi thành máy chủ thuộc sở hữu của FBI hoặc bị đình chỉ qua clientHold để ngăn chặn thiệt hại thêm theo điều khoản dịch vụ của bạn. Tài khoản NiceNic hiện đang giữ các tên miền, 'vincenzotroia', đã tích cực vi phạm và phá vỡ các thỏa thuận dịch vụ của bạn bằng cách tiếp tục lưu trữ các tên miền này.
Tôi mong được nghe thông tin từ bạn - tất cả chúng tôi sẽ thực sự đánh giá cao bất kỳ sự giúp đỡ hoặc hướng dẫn nào mà bạn có thể cung cấp về tình huống này.
Trân trọng,
S***
Tình huống đáng xấu hổ cho FBI
Tình huống này khá đáng xấu hổ cho FBI. Bất chấp nỗ lực tịch thu các tên miền của Breach Forums và hạ gục cơ sở hạ tầng của nó, thực tế là diễn đàn này có thể nhanh chóng giành lại các tên miền clearnet ban đầu cho thấy một số vấn đề thất bại trong hoạt động an ninh mạng, các lỗ hổng bảo mật, nhận thức công chúng và các vấn đề thủ tục pháp lý.
Điều này cũng giải thích tại sao, mặc dù đã hai tuần trôi qua, FBI hoặc Bộ Tư pháp (DoJ) chưa công bố các thông cáo báo chí chi tiết về việc tịch thu liên quan. Có thể thấy rằng hacker đã giành được thắng lợi trong cuộc "chiến " giữa FBI.
