Thought Leadership
Seit dem Wochenende ist BreachForums nicht erreichbar. Wer die Seite aufruft, bekommt nur einen 502-Fehler zu sehen, egal ob über das reguläre Internet oder per Tor. Überraschend ist nicht der Ausfall selbst, sondern wer dahinterstecken will.
Denn diesmal waren es weder FBI noch Europol. Eine gemeinnützige Organisation namens CCITIC, das Cyber Counter-Intelligence Threat Investigation Consortium, hat sich auf LinkedIn zu dem Takedown bekannt. Die Gruppe beschreibt sich als Organisation, die Cyberbedrohungen untersucht und mit Behörden zusammenarbeitet.
Abuse-Reports statt Haftbefehle
Der Weg, den CCITIC gewählt hat, ist dabei erstaunlich unspektakulär. Die Organisation will über OSINT-Methoden die Server identifiziert haben, auf denen BreachForums tatsächlich lief. Diese standen demnach bei DigitalOcean in Frankfurt. Statt den Umweg über Ermittlungsbehörden zu nehmen, hat CCITIC schlicht Abuse-Reports beim Hoster eingereicht, woraufhin DigitalOcean die Server abgeschaltet habe.
Die Organisation sieht darin ein Signal an die gesamte Szene: Wer kriminelle Infrastruktur betreibt, muss sich nicht erst vor dem FBI fürchten. Es reiche aus, die richtigen Server zu finden und den Hosting-Anbieter mit einer sauberen Dokumentation zu konfrontieren. Zuvor habe man auf diesem Weg bereits dreimal die Website der Gruppe Lapsus$ innerhalb von neun Tagen vom Netz geholt.
Ein Forum, das immer wiederkommt
Allerdings wäre es naiv, BreachForums bereits abzuschreiben. Das Forum hat seit 2022 mehrere Beschlagnahmungen durch US-Behörden überstanden und ist danach jedes Mal unter einer neuen Domain wieder online gegangen.
Was sich allerdings verändert hat, ist die Stimmung im Untergrund. Anfang des Jahres tauchte eine Datenbank mit Informationen zu fast 324.000 Forenmitgliedern auf, veröffentlicht auf einer Seite, die nach der Erpressergruppe ShinyHunters benannt war. Die Daten umfassten unter anderem Nutzernamen, E-Mail- und IP-Adressen sowie Registrierungszeitpunkte.
Seitdem kursieren in der Szene Vorwürfe, das Forum sei ein Honeypot oder von Insidern verraten worden. Rivalitäten zwischen verschiedenen Akteuren werden mittlerweile offen auf Telegram ausgetragen. Das Vertrauen in solche Plattformen ist offensichtlich stark angeschlagen, und Aktionen wie der CCITIC-Takedown dürften diese Verunsicherung weiter verstärken.
