La fine di RaidForums, il sequestro e Operation TOURNIQUET

Sequestrato il punto di riferimento criminale più noto di Internet, una grande operazione ha smantellato parte dello staff

Risalgono a febbraio le prime avvisaglie sul malfunzionamento della piattaforma che supportava la community di RaidForums. Uno dei principali punto d’incontro online per operazioni criminali, a livello globale, RaidForums è stato ufficialmente sequestrato in una maxi operazione interforze di diversi Paesi europei e statunitensi.

L’operazione di sequestro di RaidForums

Apprendo la vicenda tramite questo Tweet di Claudio Sono e faccio qualche ricerca per approfondirne i dettagli.

Ne avevo già parlato a febbraio, quando il forum ha iniziato a non funzionare più e nei social ci si chiedeva cosa stesse succedendo. Inizialmente era stata paventata l’ipotesi di un incidente alla salute di Omnipotent, il fondatore del progetto RaidForums e amministratore della piattaforma. C’era di mezzo in quei giorni un incidente con un “leone di montagna”.

Poi durante il mese alcuni scenari sono cambiati e si discute su un impossessamento della piattaforma da parte delle forze dell’ordine, avvicinandoci dunque alla reale situazione. Niente ancora era mai stato confermato dalle autorità.

Oggi invece arriva la conferma dell’Europol e della homepage del dominio stesso: buttato giù uno dei più grandi e diffusi punti di riferimento per crimini informatici di Internet. RaidForums è cancellato dalla Rete.

Dall’annuncio dell’operazione diffuso dall’Europol si apprende che la complessa operazione è stata resa possibile e di fatto operata, da un importante numero di stati esteri e rispettive forze di polizia:

  • Svezia: autorità di polizia svedese (Polisen)
  • Romania: Polizia nazionale
  • Portogallo: Polizia giudiziaria
  • Germania: Ufficio federale di polizia criminale (Bundeskriminalamt)
  • Stati Uniti: US Secret Service (USSS), Federal Bureau of Investigation (FBI), Internal Revenue Service Criminal Investigation (IRS-CI)
  • Regno Unito: National Crime Agency (NCA)
  • Europol: Centro europeo per la criminalità informatica (EC3), Joint Cybercrime Action Taskforce (J-CAT)

Proprio facendo ricerca nel grande blocco di partecipazione statunitense apprendo anche dell’arresto, congiunto all’operazione stessa dell’amministratore e dei suoi complici, con i dettagli.

L’arresto dell’amministratore

Le indagini inoltre hanno portato all’arresto di quello che si pensa essere l’amministratore della piattaforma. Non possiamo sapere con certezza se si tratta di colui, conosciuto dagli utenti come Omnipotent, ma il fatto che chi tra i moderatori, in quel periodo, dava comunicazione all’esterno di ciò che stata succedendo, avesse parlato di un incidente che coinvolgeva Omnipotent, tutto fa pensare si tratta di lui.

Le autorità, descrivendo la maxi operazione, parlano infatti dell’arresto, conclusosi il 31 gennaio nel Regno Unito, di Diogo Santos Coelho, 21enne portoghese che attualmente è ancora in stato di fermo, in attesa dell’estradizione.

Da ciò che si apprende dai documenti messi a disposizione dal dipartimento di giustizia, che ne espone anche questo documento d’identità, la cattura è stata possibile grazie al fatto che l’FBI “ha ottenuto una copia del database back-end per RaidForums” durante questa indagine.

La consultazione di questo database ha rilevato, indirizzi IP, orari, conversazioni interne, tra i membri dello staff di RaidForums e una serie di controlli incrociati ne hanno reso possibile l’individuazione.

Integrazioni documentali utili alle indagini su Coelho

Aggiornamento: integrazione dell’atto completo di accusa che espone Coelho

Tre, ad oggi, i domini coinvolti nell’operazione oggetto di sequestro: “raidforums.com”, “Rf.ws” e “Raid.lol”.

Aggiornamento: integrazione dell’atto affidavit Coelho

Grazie al lavoro della giornalista indipendente americana Marcy Wheeler (EmptyWheel), viene condiviso anche il testo completo dell’atto a supporto dell’estradizione di Diogo Santos Coelho, il pdf.

Il futuro di RaidForums

Dai giorni in cui la piattaforma ha generato vari problemi di funzionamento, alle prime avvisaglie su una possibile operazione delle forze dell’ordine, è nata una costola di questa comunità online, atta a perseguire gli stessi obiettivi. Si dice sia nata da alcuni moderatori e amministratori del sito originale, ma non se ne può avere certezza. Nemmeno del fatto che sia effettivamente una piattaforma per unire criminali informatici, visto che potrebbe benissimo essere il proseguo dell’operazione di polizia per l’individuazione di coloro che mancano all’appello dal precedente staff.

Si chiama BreachForums e il numero degli iscritti aumenta di giorno in giorno.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Vuoi commentare? Accendi la discussione

Torna in alto