แฮ็กเกอร์ข่มขู่คดี Snowflake อาจเป็นทหารสหรัฐฯ

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 2024-11-28 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp

  • ชายสองคนถูกจับกุมในข้อหาขโมยข้อมูลและข่มขู่หลายบริษัทที่ใช้ Snowflake ซึ่งเป็นบริษัทจัดเก็บข้อมูลบนคลาวด์ อย่างไรก็ตาม แฮ็กเกอร์รายที่สามที่ใช้ชื่อว่า Kiberphant0m ยังคงเคลื่อนไหวอยู่และข่มขู่เหยื่ออย่างเปิดเผย โดยตัวตนของ Kiberphant0m อาจเป็นทหารกองทัพบกสหรัฐฯ ที่เพิ่งประจำการอยู่ในเกาหลีใต้เมื่อไม่นานมานี้

  • Kiberphant0m กำลังขายข้อมูลของลูกค้า Snowflake บนฟอรัมอาชญากรรมไซเบอร์หลายแห่ง รวมถึงช่องทางบน Telegram และ Discord ช่วงปลายปี 2023 แฮ็กเกอร์พบว่าหลายบริษัทอัปโหลดข้อมูลลูกค้าที่มีความอ่อนไหวไว้ในบัญชี Snowflake และบัญชีเหล่านี้ถูกป้องกันด้วยเพียงชื่อผู้ใช้และรหัสผ่านแบบธรรมดาเท่านั้น

  • หลังจากขโมยข้อมูลรับรองของบัญชี Snowflake ได้แล้ว แฮ็กเกอร์ก็เริ่มเจาะคลังข้อมูลของบริษัทขนาดใหญ่ที่สุดในโลกหลายแห่ง หนึ่งในนั้นคือ AT&T ซึ่งเปิดเผยเมื่อเดือนกรกฎาคมว่ามีข้อมูลส่วนบุคคลของคนราว 110 ล้านราย รวมถึงบันทึกการโทรและข้อความ ถูกขโมยไป

  • ทางการแคนาดาจับกุม Alexander Moucka เมื่อวันที่ 30 ตุลาคม โดยเขาถูกตั้งข้อหาทางอาญา 20 กระทงที่เกี่ยวข้องกับการแฮ็ก Snowflake ส่วนผู้ต้องสงสัยอีกรายคือ John Erin Binns ขณะนี้ถูกคุมขังอยู่ในตุรกี

  • ไม่นานหลังข่าวการจับกุม Moucka แพร่ออกมา Kiberphant0m ก็โพสต์บันทึกการโทรของว่าที่ประธานาธิบดี Donald J. Trump และรองประธานาธิบดี Kamala Harris ของ AT&T บนชุมชนแฮ็กเกอร์ BreachForums พร้อมคำข่มขู่

  • Kiberphant0m ยังขายบันทึกการโทรของลูกค้า push-to-talk (PTT) ของ Verizon และให้บริการ "SIM swapping" ที่มุ่งเป้าไปยังลูกค้า Verizon PTT ด้วย

แนะนำ ‘BUTTHOLIO’

  • Kiberphant0m เข้าร่วม BreachForums ในเดือนมกราคม 2024 และกิจกรรมบน Discord กับช่อง Telegram ของเขาย้อนกลับไปได้อย่างน้อยถึงต้นปี 2022 โดยในโพสต์แรกบน BreachForums เขาระบุว่าสามารถติดต่อได้ผ่าน Telegram handle @cyb3rph4nt0m

  • @cyb3rph4nt0m โพสต์ข้อความมากกว่า 4,200 ข้อความนับตั้งแต่เดือนมกราคม 2024 และหลายข้อความเป็นความพยายามหาคนไปปล่อยมัลแวร์ที่ใช้ติดเครื่องโฮสต์เข้าสู่ IoT botnet

  • Kiberphant0m เคยขายซอร์สโค้ดของ Linux DDoS botnet ชื่อ " Shi-Bot " ที่พัฒนาบนพื้นฐานของมัลแวร์ Mirai บน BreachForums

‘REVERSESHELL’

  • @Kiberphant0m ถูกระบุว่าใช้ Telegram ID 6953392511 และตามข้อมูลของ Flashpoint เขาเคยโพสต์ในช่อง Dstat เมื่อวันที่ 4 มกราคม 2024 โดยช่องนี้เป็นที่รวมของอาชญากรไซเบอร์ที่ทำการโจมตี DDoS และขายบริการ DDoS-for-hire

  • ตามข้อมูลของ Flashpoint @kiberphant0m บอกกับสมาชิก Dstat รายอื่นเมื่อวันที่ 10 เมษายน 2024 ว่าชื่อผู้ใช้ Telegram สำรองของตนคือ " @reverseshell "

  • เมื่อวันที่ 15 พฤศจิกายน 2022 @reverseshell เปิดเผยในช่อง Telegram ชื่อ Cecilio Chat ว่าตนเป็นทหารกองทัพบกสหรัฐฯ

PROMAN AND VARS_SECC

  • Flashpoint ระบุว่า Telegram ID 5408575119 ใช้นามแฝงหลายชื่อมาตั้งแต่ปี 2022 รวมถึง Reverseshell และ Proman557

  • Intel 471 ระบุว่าชื่อ Proman557 เป็นหนึ่งในผู้ที่ขายมัลแวร์ botnet บน Linux หลายตัวในฟอรัมแฮ็กภาษารัสเซียชื่อ Exploit เมื่อปี 2022

BUG BOUNTIES

  • Vars_Secc อ้างบน Telegram เมื่อเดือนพฤษภาคม 2023 ว่าเคยหารายได้จากการส่งรายงานช่องโหว่ซอฟต์แวร์ผ่าน HackerOne ซึ่งเป็นบริษัทที่ช่วยบริษัทเทคโนโลยีจัดการรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์และบริการ

  • Vars_Secc อ้างว่าได้รับ bug bounty จากมากกว่า 30 องค์กร เช่น reddit.com, กระทรวงกลาโหมสหรัฐฯ, และ Coinbase

  • ตัวตนหลายแบบของ Kiberphant0m บ่งชี้อย่างชัดเจนว่าเขาอาจเป็นทหารกองทัพบกสหรัฐฯ ที่เพิ่งประจำการอยู่ในเกาหลีใต้จนถึงไม่นานมานี้ ตัวตนอื่น ๆ ของ Kiberphant0m ไม่ได้กล่าวถึงยศ หน่วยกรม หรือความเชี่ยวชาญทางทหาร แต่ทักษะด้านคอมพิวเตอร์และเครือข่ายของเขาอาจเคยเป็นที่สังเกตในกองทัพ

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น