BR論壇站長Pom出庭,FBI曝光如何找到他家

Breach論壇站長康納·布賴恩·菲茨帕特里克 (Conor Brian Fitzpatrick)昨天首次在弗吉尼亞州東區法院出庭，罪名是他涉嫌創建和管理一個大型黑客論壇和網絡犯罪分子市場，該論壇聲稱截至上周擁有超過340000名成員。據稱在他于美國時間3月15日被捕的同時，聯邦調查局和衛生與公眾服務部監察長辦公室 (HHS-OIG) 進行了一次破壞行動，導致Breach論壇下線(???不是新接手人Baphomet關閉的？)。

根據昨天公開的法庭文件，據稱紐約州皮克斯基爾市20歲的康納·布賴恩·菲茨帕特里克 (Conor Brian Fitzpatrick) 自2022年3月以來將Breach論壇作為網絡犯罪分子買賣和交易被黑或被盜數據和其他違禁品的市場。在該平臺上出售的有銀行賬戶信息、社會安全號碼、其他個人身份信息 (PII)、身份識別方式、黑客工具、被破壞的數據庫、用于未經授權訪問受害系統的服務，以及被入侵在線賬戶的賬戶登錄信息供應商和商家。截至1月11日，官方數據庫部分聲稱包含888個數據集，包括超過140億條個人信息記錄。這些數據庫屬于各種各樣的美國和外國公司、組織和政府機構。據稱，菲茨帕特里克通過收取論壇積分和會員費從該計劃中獲利。

雖然菲茨帕特里克認為他采取了一些措施來隱藏他的真實身份，但他卻留下了導致他被捕和被起訴的數字痕跡，這些都顯示在聯邦法院公布的信息中。

據稱FBI調查20歲的康納·布賴恩·菲茨帕特里克 (Conor Brian Fitzpatrick)，他在斷定他是Breach論壇的所有者“Pompompurin”后，于3月15日凌晨突襲了他父母在紐約皮克斯基爾的房子。警方稱，菲茨帕特里克放棄了保持沉默的權利，并承認發起并維護了網絡犯罪分子用來出售被盜數據的論壇。Fitzpatrick 告訴執法部門，他每天從Breach論壇賺取大約1000美元，主要是通過支付信用額度以訪問被黑客攻擊的數據的會員以及在現已離線的網站上進行會員升級。

“Breach論壇彌合了販賣竊取數據的黑客與渴望利用這些數據的買家之間的鴻溝。所有在暗網市場經營的人都應該注意：與我們的執法伙伴合作，我們將取締非法論壇，并將管理員繩之以法。”在菲茨帕特里克首次出現在聯邦法院后，副檢察長麗莎·摩納哥美國時間周六在一份聲明中說。

聯邦調查局周五在聯邦法院開封的一份宣誓書顯示，聯邦調查局開始追捕 Pompompurin，并提供了一份IP地址列表，據稱他用來連接到Breach論壇且都在已被拆除的前身Raid論壇數據庫中。Pompompurin一直是Raid論壇的活躍成員，直到2022年2月Raid論壇死于執法部門之手，其管理員（據稱是葡萄牙國民 Diogo Santos Coelho）在論壇昵稱為“無所不能”，當局于2022年1月在英國逮捕了科埃略。

FBI證詞提供了建站細節

根據FBI提供的證詞揭露，2022年3?16?前后，在暗夜?站上，綽號“Lander”以“獨家”為標題發布了對Pom的明顯采訪。在這次采訪中，據說pompompurin聲稱創造了?個名為“BreachedForums”的新?站，以填補Raid論壇因中斷?造成的空?：

對話：亞歷克斯——Lander的化名， Pom——他綽號的縮寫版本

[. . . ]

亞歷克斯：那么，為了直接參與其中，是什么讓您想要創建Breach論壇？Raid論壇的關閉與它有什么關系嗎？

Pom：創建它的唯?原因是Raid論壇關閉，否則我不會這樣做。社區需要?個聚集的地?，并且?前沒有類似于Raid論壇的論壇提供。

[. . .]

亞歷克斯：我看得出來你為此付出了很多努?……但你不認為FBI取締Raid論壇是有原因的嗎？知道你可能會?臨同樣的命運，?論它是什么，你為什么要把它帶回來?

Pom：[已編輯]，這并沒有真正打擾我。如果有?天我被捕，我也不會感到驚訝，但正如我所說，我有?個值得信賴的?，他可以完全訪問在沒有我的情況下重新啟動它所需的?切。此?也永遠不會為公眾所知，因此如果他們想要永遠關閉論壇，警察也不可能將他們作為?標。

[. . .]

更多被捕前調查細節曝光

從電信提供商Verizon獲得的記錄顯示，Raid論壇用戶Pompompurin用來連接Raid論壇的一些IP地址與Conor Fitzpatrick在他父母的哈德遜谷地址注冊的移動設備相關聯。檢察官說，菲茨帕特里克確實煞費苦心地通過使用多個VPN來隱藏他的真實IP地址。“這些服務偶爾會配置錯誤并暴露用戶的真實IP 地址，”FBI特工John Longmire在宣誓書中寫道。

FBI特工發現通信顯示Pompompurin提到使用舊電子郵件地址(conorfitzpatrickxx@gXXXX.xxx)搜索過被破壞的數據庫，了解該電子郵件后，FBI找到了活動電子郵件地址conorfitzpatrickxxxx@gXXXX.xxx并從Google獲取信息，顯示這兩個Gmail地址均以“Conor Fitzpatrick”的名義注冊，并與他的Peekskill地址和Verizon手機號碼相關聯。在線服務提供商(包括Zoom和在線加密貨幣電子購物網站Purse.io)之間的IP和電子郵件地址匹配也指向Fitzpatrick（xx為省略）。

到2022年10月，FBI已將注意力集中在他身上，以至于在他的Verizon手機上獲得了手機GPS授權(?)，并將Breach論壇Pompompurin賬戶的活動與他Peekskill家附近1公里范圍內的活動相匹配。

FBI于2023年2月6日開始積極監視菲茨帕特里克的家，并在菲茨帕特里克在家時觀察Pompompurin賬戶上的活動。

這與我們之前了解到的細節有點出入，據稱根據Intelligence X自述，菲茨帕特里克在2023年1月份在Intelligence X上創建了一個賬戶，并且由于此操作，他的家庭IP地址被Intelligence X舉報給負責執法的當局導致被抓。

最后總結下調查和抓捕過程：

2022年4月FBI先是拿下了最早的Raid論壇，根據數據庫中Pompompurin中的IP記錄開始調查，結合和電信提供商Verizon，谷歌，Zoom和Purse的協助(并未提到Intelligence X)，最終黑入菲茨帕特里克的Verizon手機？獲取了GPS位置信息(2022年10月)，并實施了積極監視小伙的家并同步觀察Pompompurin賬戶活動(2023年2月6日起)，最終(美國時間2023年3月15日)實施了抓捕并確認最終身份。

根據檢察官說，Breach論壇上有超過140億條泄露的記錄。其中包括大約2億Twitter用戶的姓名和聯系信息。在本月，該論壇聲名狼藉，因為一名黑客發布了他們聲稱從DC健康保險服務中竊取的數據，這一事件驚擾了國會山大佬們，并暴露了來自各行各業的數萬人的個人數據。美國眾議院官員表示，數百名工作人員受到此次事件的影響。

Breach論壇用戶在12月還發布了大約8萬多名InfraGard成員的詳細信息，InfraGard是FBI與私營部門公司之間的情報合作平臺，由此可見FBI應該也是遭到一定的壓力才果斷采取了行動。

菲茨帕特里克目前被控串謀實施訪問設備欺詐。如果罪名成立，他將面臨最高五年的監禁。法院目前暫時未做出最終判決，我們將繼續關注本次事件。