Ende April 2025 verschafften sich Strafverfolger Zugriff auf den Darknet-Marktplatz "BreachForums", die Administratoren schlossen die Sicherheitslücke und stellen das Forum unter anderer Adresse erneut ins Netz. Nun scheint gewiss: In Wirklichkeit hatten Kriminalisten, nicht Kriminelle die Kontrolle über den Tummelplatz für Datenhehler. Das bestätigte ein Mitglied der Gruppe, die das Forum administrierte.
Das Forum "BreachForums" diente zu seinen Hochzeiten Datendieben und -Hehlern als Anlaufstelle für ihre Geschäfte. Hier verkaufte "IntelBroker", ein mittlerweile inhaftierter Brite, Daten aus Angriffen auf HPE und Cisco, auch Gratistickets für Konzerte der Sängerin Taylor Swift waren im Angebot. Das Forum stand ständig im Fadenkreuz internationaler Ermittler. Als es von eben jenen Ende April übernommen und vom Netz gefegt wurde – angeblich mittels eines Exploits für eine Sicherheitslücke der Forumssoftware –, sorgte das für Misstrauen. Nicht unbegründet: Darknet-Foren werden immer wieder von Strafverfolgern als "Honigtopf" weiterbetrieben, um Beweise gegen Cyberkriminelle zu sammeln.
Fünf der Administratoren, darunter Mitglieder der Gruppe "ShinyHunters", sitzen seit Juni in Haft, doch das Forum tauchte bald unter neuer Adresse wieder auf. Nun wird scheinbar zur Gewissheit, was viele Forumsmitglieder vermuteten: BreachForums ist selber "breached", Behörden betrieben das Forum weiter und sammelten so wichtige Informationen im Kampf gegen Cyberkriminalität.
Das behauptet einer, der es wissen muss: Eines der Mitglieder der Gruppe ShinyHunters. In mehreren Nachrichten – eine davon veröffentlicht auf dem bei Kriminellen beliebten Messenger Telegram – warnt er seine Mitnutzer: Jedwede Nutzeraktivität auf BreachForums werde von Behörden zur Beweissicherung mitgeschnitten und der Code des Forums sei manipuliert. Man solle das Forum nicht mehr nutzen.
Ungewöhnliches Darknet-Angebot: In den BreachForums gab es auch mal gefälschte Digitaltickets für Konzerte der Sängerin Taylor Swift. Diese Zeiten sind womöglich vorbei.
Für seine persönliche Sicherheit gibt der Unbekannte Entwarnung: Weder er, noch die kriminelle Infrastruktur der Gruppierung "ShinyHunters" sei kompromittiert. Frühere Medienberichte sprachen von der Inhaftierung mindestens eines Mitglieds der Gruppierung. An der Authentizität der Nachrichten besteht zunächst wenig Zweifel: Sie sind beide mit dem PGP-Schlüssel signiert, den "ShinyHunters" seit Jahren nutzt. Zudem scheint es wenig wahrscheinlich, dass dieser Schlüssel unter der Kontrolle der Behörden steht: Diese werden Gauner wohl kaum vor ihren eigenen Ermittlungen warnen wollen.
Unmittelbar nach ShinyHunters' zweiter Nachricht ging BreachForums erneut offline und ist es noch. Ob neben dem zeitlichen auch ein ursächlicher Zusammenhang besteht, kann nur gemutmaßt werden. Sicher ist jedoch: Viele Nutzer haben das Vertrauen in ihre einstige Darknet-Heimat wohl endgültig verloren und sind in andere Untergrundforen abgewandert. Denen droht jedoch ein ähnliches Schicksal: Auch das eher auf Malware-Entwicklung spezialisierte Forum XSS steht im Verdacht, durch Strafverfolger infiltriert zu sein.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare