知名网络犯罪和数据泄露论坛BreachForums的前世今生

一、罪恶帝国的诞生与迭代

BreachForums的起源可追溯至RaidForums的覆灭。这个由葡萄牙黑客“全能者”于2015年创建的论坛,曾是全球最大黑客社区之一,拥有超50万用户。2022年初执法部门关闭RaidForums并逮捕其创始人后,19岁的美国青年Conor Brian Fitzpatrick(网名“Pompompurin”)迅速填补权力真空,于同年3月创建BreachForums作为继任平台。

论坛甫一上线便展现出惊人扩张力:

  • 用户规模:一年内吸引超30万注册会员,成为英语世界最大的网络犯罪枢纽
  • 数据存量:托管936个失窃数据库,包含超150亿条记录,涵盖政府文件、企业机密与公民隐私
  • 地理波及:波及全球100余国,美、俄、中三国受害最深,法国位列第七

然而好景不长。2023年3月15日,FBI通过IP追踪定位并逮捕了Fitzpatrick。他很快认罪,论坛随之关闭。但犯罪生态的韧性超乎预期——三个月后,原管理团队成员Baphomet联合黑客组织ShinyHunters重启论坛,并引入新型商业模式:

  • 会员分层制:VIP/MVP/GOD三级特权体系
  • 积分货币化:支持内部非法商品流通
  • 托管服务:每日为运营者创造约1000美元收益

表:BreachForums发展关键时间线

时间点事件影响
2022年3月Pompompurin创建论坛继承RaidForums用户遗产
2023年3月创始人被FBI逮捕论坛首次关闭
2023年6月ShinyHunters重启运营引入商业托管模式
2024年5月FBI二次查封域名短暂中断后转移阵地
2025年4月MyBB零日漏洞暴露主动关停避风头

二、技术架构与致命漏洞

BreachForums采用明暗双轨接入设计。与典型暗网论坛不同,用户无需Tor浏览器即可通过常规互联网访问,极大降低了犯罪参与门槛。同时论坛备有洋葱路由版本,以防主域名被封。其核心架构依赖MyBB开源论坛软件,这也成为最终瓦解的导火索。

2025年4月初,论坛突然下线引发执法查封猜测。但DNS记录显示其仍使用DDoS-Guard服务器,而非FBI惯用的Cloudflare服务器,暗示事出有因。当月28日,管理员发布PGP签名声明,坦承关停源于MyBB零日漏洞的暴露:

“通过可信渠道证实,多个国际执法机构已利用该漏洞渗透论坛。”

这已是该论坛第二次栽在MyBB漏洞上——2023年6月ShinyHunters接管时,同类漏洞导致4000名会员信息泄露。尽管团队声称启动全面后端重写,但漏洞暴露已引发犯罪社区对地下论坛可持续性的深度担忧。

三、核心成员覆灭记

(1)IntelBroker:数字时代的身份崩塌

2025年2月,论坛第三代管理者IntelBroker(真名Kai West)在法国落网。这名25岁英国黑客的抓捕过程堪称数字取证的教科书案例

  • 加密货币的致命失误
    2023年1月,FBI卧底特工以250美元购买被盗API密钥。通常只接受门罗币(Monero)的West,破例收取了比特币。FBI通过区块链溯源发现,该钱包关联至英国金融平台Ramp的实名账户——使用其本人临时驾照注册,邮箱内留存学生证明(网络安全专业)、账单及驾照照片。
  • 行为指纹泄露天机
    调查显示,West的YouTube观看记录与暗网发帖高度同步:观看某视频后几分钟内,IntelBroker账号即发布相关内容。更关键的是,2023年1月攻击某公司时使用的IP地址,竟与其个人微软账户登录IP完全一致。
  • 过度曝光的社交角色
    作为论坛最活跃卖家,他发布335个主题帖及2126条回复,公开招募团队并自称“CyberNiggers领导人”,极大增加了被锁定风险。

美国司法部指控其造成超2500万美元损失,涉及入侵欧洲刑警组织、AMD、惠普等40余家企业,目前正寻求引渡。

(2)法国警方的终结行动

2025年6月23日,巴黎警察局网络犯罪大队(BL2C)发动跨区域闪电战,同步突袭上塞纳省、滨海塞纳省和留尼汪岛,抓获四名核心成员:

  • ShinyHunters:论坛实际所有者,主导对Salesforce、Ticketmaster等企业的攻击
  • Hollow:内容审核版主,维护交易秩序
  • Noct:技术支持与漏洞发布协同者
  • Depressed:后台运营与信息发布

加上2月被捕的IntelBroker,这个平均年龄仅22岁的犯罪团伙彻底瓦解。警方缴获服务器、硬盘及通信记录,证据直指其对法国Boulanger、SFR、France Travail(4300万条敏感记录泄露)等机构的攻击。

表:BreachForums核心成员分工与罪行

代号角色关联攻击事件
ShinyHunters所有者Salesforce, Ticketmaster, AT&T
IntelBroker前管理员欧洲刑警组织, DC Health Link
Hollow内容审核法国足球联合会数据泄露
Noct技术支持SFR数据库窃取
Depressed后台运营France Travail攻击

四、国际协作执法范式

此次跨国行动凸显三层面创新协作

  1. 技术溯源联盟:FBI提供数字货币追踪分析,法国警方实施实体抓捕
  2. 情报共享机制:Europol协调漏洞情报,促成2024年域名查封
  3. 司法协同突破:美法通过快速引渡流程解决嫌犯移交难题

证据显示,团伙的溃败始于2025年4月的MyBB漏洞事件。当时论坛突然关闭,管理员虽声明“无人被捕”,但暗网已流传IntelBroker和ShinyHunters落网的消息——如今被证实是执法部门战略性情报释放

五、黑暗生态的启示录

BreachForums的兴衰(RaidForums→BreachForums→多次关闭→最终覆灭)揭示犯罪生态的残酷规律:

  • 犯罪驱动力:仅托管服务日收益即达千美元,高利润与低技术门槛(利用配置错误服务器)持续吸引年轻人
  • 执法进化论
  graph LR
  A[数字货币链分析] --> D[定位资金流]
  B[跨平台行为匹配] --> E[建立数字指纹]
  C[心理侧写技术] --> F[预测犯罪动机]
  • 防御三支柱
  • 法律惩戒:美欧推动“出售即重罪”立法,提高犯罪成本
  • 企业防御:强制修补漏洞(如SnowFlake事件暴露的配置缺陷)
  • 公众教育:减少敏感信息在暗网的供需市场

正如安全专家Benoît Grunenwald所言:“这里曾是攻击者与买家的历史性交汇点,他们能在匿名世界建立信任。” 而今这座桥梁的崩塌,标志着国际社会对数据黑市的打击进入新纪元——黑市不死,但每一次精准打击都在重塑犯罪成本的天平