В мире киберпреступности и расследований утечек данных платформа BreachForums давно стала знаковым явлением. Однако постоянная смена доменов и повторные публикации старых баз данных создали хаос в представлениях аналитиков о времени компрометации и актуальности информации. Новое исследование предлагает методичный технический разбор, который позволяет четко разделить дату публикации утечки и реальный период, к которому относятся данные. Этот анализ критически важен для специалистов по киберугрозам (Cyber Threat Intelligence) и аналитиков OSINT (разведки на основе открытых источников), поскольку ошибки в атрибуции могут привести к неверным выводам о тактиках, техниках и процедурах (TTP) преступных групп.
Описание
За последние несколько лет в открытый доступ попало несколько наборов данных, связанных с BreachForums, каждый из которых ассоциируется с разными доменами платформы: .vc, .co, .hn и .bf. Основная проблема заключается в том, что многие источники смешивают эти наборы, путая дату, когда база была обнародована, с фактическим временным периодом активности пользователей, зафиксированным в ней. Чтобы внести ясность, исследователи из D3Lab провели криминалистический анализ каждого дампа, сосредоточившись на ключевых технических индикаторах, таких как структура базы данных на основе MyBB и, что наиболее важно, максимальное значение поля "lastactive" в таблице пользователей. Это поле, фиксирующее время последней активности аккаунта, служит надежным маркером для определения "свежести" данных на момент их извлечения из системы.
Первой в хронологии публикаций, но не самой старой по данным, значится утечка BreachForums[.]vc. Этот дамп в формате SQL был обнародован 19 июня 2023 года. Анализ показывает, что последняя зафиксированная активность пользователей датируется 17 июня того же года. Это означает, что утекшие данные представляют собой почти моментальный снимок состояния форума всего за два дня до публикации, что соответствует периоду работы домена breachforums[.]vc. Совсем другую историю рассказывает набор BreachForums[.]co, опубликованный в июле 2024 года. Несмотря на позднюю дату обнародования, поле "lastactive" четко указывает, что данные актуальны на 29 ноября 2022 года. Этот дамп является полной копией базы данных (включая личные сообщения, логи IP-адресов и данные о платежах) и представляет собой исторический архив так называемой "первой версии" форума на домене .co, который был распространен повторно спустя полтора года.
Следующий этап эволюции платформы связан с доменом .hn. Соответствующий дамп пользователей появился 12 января 2026 года, а максимальная активность в нем зафиксирована на 12 августа 2025 года. Этот временной промежуток хорошо коррелирует с данными OSINT-источников, которые задокументировали отключение домена breachforums[.]hn примерно в тот же период. Таким образом, утечка отражает состояние форума незадолго до его закрытия на этом домене. Наконец, самый свежий на момент анализа набор данных относится к домену BreachForums[.]bf. Он был опубликован 27 марта 2026 года, а последние записи об активности пользователей датированы 10 февраля 2026 года. Наличие в дампе ссылок на внутренние субдомены, такие как cdn.breachforums[.]bf, окончательно подтверждает, что данные были собраны с активной на тот момент инфраструктуры.
Интересным дополнением к техническому анализу стала сверка с сервисом Have I Been Pwned (HIBP), который также ведет учет этих утечек, но под своими названиями. Например, данные с .bf значатся как "BreachForums Version 5", а с .co - просто "BreachForums". Это различие в подходах - версионный у HIBP и инфраструктурно-временной в данном исследовании - подчеркивает важность контекста. Ключевой вывод работы заключается в том, что доменное имя в описании утечки указывает не на время взлома, а на ту конкретную инфраструктуру, с которой были собраны данные. Публикация же может произойти спустя месяцы или даже годы после фактической компрометации, что часто вводит аналитиков в заблуждение.
Для специалистов по информационной безопасности и расследованию инцидентов эти выводы имеют практическое значение. Понимание реального временного горизонта утечки позволяет точнее оценивать ее актуальность для текущего мониторинга угроз, корректнее связывать данные с активностью конкретных киберпреступных группировок и избегать ложных положительных срабатываний при поиске компрометированных учетных записей. Комбинированный анализ технических меток, структуры данных и открытых источников информации формирует более надежную основу для киберразведки, минимизируя риски ошибок, вызванных наложением и повторным использованием одних и тех же массивов данных под разными названиями.
Индикаторы компрометации
Domains
- Breachforums.bf
- Breachforums.co
- Breachforums.hn
- Breachforums.vc
- cdn.breachforums.bf
- escrow.breachforums.bf
MD5
- 36117bdf2096b3233d78d889c44bcc59
- 416896dcc1d9a8975702d897535dd8c2
- f280d678e83099db8c3539764d212ccf
SHA256
- 5496517861f3d3b16759ff63d6c3a54250f0aa42ce7a0b989d2c4e223424fc62
- 6d6b506693dbc7a19d65771f9869361fd8b639e40012049411c43c418df73d45
- 790f3595850e4d8c212a35a40eb69fe0431fda6abcfbbf4592126bf636df2088
