1 คะแนน โดย GN⁺ 2024-11-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • แม้จะมีการจับกุมผู้ต้องหา 2 รายในคดีขโมยและข่มขู่ข้อมูลของลูกค้า Snowflake แล้ว แต่ผู้ต้องหาที่หลบหนีอยู่ Kiberphant0m ยังคงกดดันเหยื่อผ่านตัวตนออนไลน์หลายรูปแบบ
  • ผู้โจมตีอาศัยช่องโหว่ที่ปลายปี 2023 หลายบริษัทปกป้องบัญชี Snowflake ด้วยเพียงชื่อผู้ใช้และรหัสผ่าน โดยไม่มีการยืนยันตัวตนหลายปัจจัย ทำให้สามารถเจาะคลังข้อมูลของบริษัทขนาดใหญ่ได้
  • บริษัทที่ตกเป็นเหยื่อมี AT&T รวมอยู่ด้วย โดย AT&T เปิดเผยในเดือนกรกฎาคมว่ามีการขโมยข้อมูลส่วนบุคคลและบันทึกการโทร·ข้อความของผู้ใช้ราว 110 ล้านราย และยังมีรายงานว่ามีการจ่ายเงิน 370,000 ดอลลาร์เพื่อลบข้อมูลบันทึกการโทรที่ถูกขโมยไป
  • บัญชีที่เชื่อมโยงกับ Kiberphant0m บน BreachForums, Telegram และ Discord โปรโมตการ ขายข้อมูล Snowflake, บอตเน็ต DDoS, การสลับซิม และการขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ของหน่วยงานรัฐ·ผู้ให้บริการโทรคมนาคม
  • นามแฝงหลายชื่อเชื่อมโยงไปถึงกองทัพบกสหรัฐฯ การประจำการในเกาหลีใต้ South Korea Telecom, Wi‑Fi ฐานทัพ และหน้าจอการสมัครงานกับ NSA แต่ Kiberphant0m ปฏิเสธว่าไม่ได้รับราชการทหารสหรัฐฯ หรืออาศัยอยู่ในเกาหลี และอ้างว่าเป็นตัวตนปลอมที่สร้างไว้มานาน

ผู้ต้องหาที่ยังไม่ถูกจับในคดีข่มขู่ Snowflake

  • แม้จะมีการจับกุมผู้ต้องหา 2 รายในข้อหาขโมยข้อมูลลูกค้า Snowflake และข่มขู่เรียกค่าไถ่ แต่บุคคลที่สามซึ่งรู้จักกันในชื่อ Kiberphant0m ยังไม่ถูกจับ และยังข่มขู่เหยื่ออย่างเปิดเผย
  • บันทึกการสนทนาหลายรายการที่ยังคงอยู่บนฟอรัมอาชญากรรมไซเบอร์, Telegram และ Discord บ่งชี้ว่าบุคคลนี้อาจเป็นทหารกองทัพบกสหรัฐฯ หรืออย่างน้อยก็ เคยประจำการอยู่ในเกาหลีใต้ จนถึงไม่นานมานี้
  • ผู้โจมตีพบว่าในช่วงปลายปี 2023 หลายบริษัทนำข้อมูลลูกค้าที่อ่อนไหวจำนวนมากขึ้นไปเก็บบนบัญชี Snowflake โดยไม่ได้บังคับใช้ การยืนยันตัวตนหลายปัจจัย
  • จากนั้นจึงค้นหาข้อมูลรับรองบัญชี Snowflake ที่ถูกขโมยจากตลาดมืด และใช้เพื่อเจาะคลังข้อมูลของบริษัทใหญ่ทั่วโลก

ความเสียหายของ AT&T และการจับกุมผู้ต้องสงสัยก่อนหน้า

  • หนึ่งในบริษัทที่ตกเป็นเหยื่อคือ AT&T ซึ่งเปิดเผยในเดือนกรกฎาคมว่าอาชญากรไซเบอร์ได้ขโมยข้อมูลส่วนบุคคลรวมถึงบันทึกการโทรและข้อความของผู้ใช้ราว 110 ล้านราย
  • ตามรายงานของ Wired ระบุว่า AT&T จ่ายเงินให้แฮ็กเกอร์ 370,000 ดอลลาร์ เพื่อแลกกับการลบบันทึกการโทรที่ถูกขโมยไป
  • เมื่อวันที่ 30 ตุลาคม ทางการแคนาดาจับกุม Alexander Moucka หรือ Connor Riley Moucka ที่เมือง Kitchener รัฐ Ontario ตามหมายจับชั่วคราวของสหรัฐฯ
    • ต่อมาสหรัฐฯ ตั้งข้อหาเขา 20 กระทงที่เกี่ยวข้องกับการเจาะระบบ Snowflake
    • ผู้ต้องสงสัยอีกรายในคดีแฮ็ก Snowflake คือ John Erin Binns ชาวอเมริกันที่กำลังถูกคุมขังอยู่ในตุรกี
  • ผู้สืบสวนเชื่อว่า Moucka ใช้แฮนเดิล Judische และ Waifu และมอบหมายให้ Kiberphant0m นำข้อมูลของลูกค้า Snowflake ที่ไม่ยอมจ่ายค่าไถ่ไปขายต่อ

การข่มขู่สาธารณะที่ดำเนินต่อหลังการจับกุม

  • ไม่นานหลังข่าวการจับกุม Moucka, Kiberphant0m ได้โพสต์ข้อมูลบน BreachForums โดยอ้างว่าเป็น บันทึกการโทรของ AT&T ของ Donald J. Trump ว่าที่ประธานาธิบดี และรองประธานาธิบดี Kamala Harris
  • ในวันเดียวกันยังโพสต์ข้อมูลที่อ้างว่าเป็น “data schema” ของ U.S. National Security Agency
  • วันที่ 5 พฤศจิกายน เขาเสนอขายบันทึกการโทรของลูกค้า Verizon PTT ซึ่งส่วนใหญ่เป็นหน่วยงานรัฐบาลสหรัฐฯ และหน่วยกู้ภัยฉุกเฉิน
  • วันที่ 9 พฤศจิกายน เขาโพสต์บน BreachForums เพื่อขายบริการ สลับซิม ที่มุ่งเป้าไปยังลูกค้า Verizon PTT
    • การสลับซิมคือการใช้ข้อมูลรับรองที่ถูกฟิชชิงหรือขโมยมาจากพนักงานค่ายมือถือ เพื่อย้ายการควบคุมโทรศัพท์และข้อความของเหยื่อไปยังอุปกรณ์ที่ผู้โจมตีควบคุม

ความเชื่อมโยงระหว่าง Buttholio, Kiberphant0m และ Shi-Bot

  • Kiberphant0m สมัครใช้งาน BreachForums ในเดือนมกราคม 2024 และในโพสต์แรกระบุว่าสามารถติดต่อได้ผ่าน Telegram แฮนเดิล @cyb3rph4nt0m
  • บัญชี @cyb3rph4nt0m โพสต์ข้อความมากกว่า 4,200 ข้อความนับตั้งแต่มกราคม 2024 โดยหลายข้อความเป็นการรับสมัครคนเผยแพร่มัลแวร์เพื่อแพร่เชื้อไปยังโฮสต์ในบอตเน็ต IoT
  • บน BreachForums ยังมีการขายซอร์สโค้ดของบอตเน็ต DDoS บน Linux แบบคัสตอมที่พัฒนาจาก Mirai ชื่อ Shi-Bot
  • ก่อนที่การโจมตี Snowflake จะถูกเปิดเผยในเดือนพฤษภาคม โพสต์ขายของ Kiberphant0m บน BreachForums มีไม่มากนัก และจำนวนมากเกี่ยวข้องกับฐานข้อมูลที่ขโมยมาจากบริษัทเกาหลี
  • วันที่ 5 มิถุนายน 2024 ผู้ใช้ชื่อ “Buttholio” เข้าร่วมช่อง Telegram เกี่ยวกับการหลอกลวงชื่อ Comgirl และอ้างว่าตนคือ Kiberphant0m
    • ผู้ใช้นี้บอกให้ลองค้นหา “kiberphant0m” บน Google พร้อมอ้างว่ามีข่าวมากกว่า 50 ชิ้นและการเจาะผู้ให้บริการโทรคมนาคมมากกว่า 15 แห่ง
    • ยังอ้างว่ามีหมายเลข IMSI ของทุกคนที่ลงทะเบียนกับ Verizon, T-Mobile, AT&T และ Verifone

บันทึกการสนทนาที่ชี้ไปยังการประจำการของทหารสหรัฐฯ ในเกาหลีใต้

  • วันที่ 17 กันยายน 2023 Buttholio พูดใน Discord ของผู้เล่น Escape from Tarkov ว่าเซิร์ฟเวอร์เกาหลีแทบไม่มีพวก extract camper หรือ cheater
  • ในข้อความอีกชุดวันเดียวกัน เขาอธิบายว่าตนซื้อเกมในสหรัฐฯ แต่เล่นบนเซิร์ฟเวอร์เอเชีย
    • เขาทิ้งข้อความในทำนองว่าตนเป็น u.s. soldier จึงซื้อเกมในสหรัฐฯ แต่ต้องใช้เซิร์ฟเวอร์เอเชียเพราะการหมุนเวียนกำลังพล
  • บัญชี @Kiberphant0m ที่เชื่อมโยงกับ Telegram ID 6953392511 ยังปรากฏในช่อง Telegram ด้าน DDoS ชื่อ Dstat
    • เมื่อ Kiberphant0m เข้าไปใน Dstat ผู้ใช้อีกรายพูดว่า “hi buttholio” และ Kiberphant0m ตอบว่า “wsg”
    • เว็บไซต์ Dstat ที่ dstat[.]cc ถูกยึดเมื่อวันที่ 1 พฤศจิกายน ในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศ Operation PowerOFF

บัญชี Reverseshell และคำพูดที่เกี่ยวข้องกับทหาร

  • ตามข้อมูลของ Flashpoint ระบุว่า @kiberphant0m บอกในเดือนเมษายน 2024 ในช่อง Telegram ชื่อ Dstat และ The Jacuzzi ว่าชื่อผู้ใช้ Telegram อื่นของตนคือ @reverseshell
  • Telegram ID ของบัญชี @reverseshell คือ 5408575119
  • วันที่ 15 พฤศจิกายน 2022 @reverseshell บอกในช่อง Telegram ชื่อ Cecilio Chat ว่าตนเป็นทหาร U.S. Army
    • เขายังแชร์ภาพที่เห็นกางเกงเครื่องแบบทหารและกระเป๋าเป้ลายพราง
  • ในเดือนกันยายน 2022 ผู้ใช้อีกรายขู่ว่าจะโจมตี DDoS ไปยังที่อยู่อินเทอร์เน็ตของ Reverseshell และเมื่อการโจมตีเกิดขึ้น Reverseshell ตอบในทำนองว่าอีกฝ่ายกำลังโจมตี “Wi‑Fi ตามสัญญาของฐานทัพ”
  • ในบทสนทนาเดือนตุลาคม 2022 เขาอวดความเร็วของเซิร์ฟเวอร์ที่ใช้อยู่ และตอบว่าใช้ South Korea Telecom สำหรับการเชื่อมต่ออินเทอร์เน็ต
  • วันที่ 23 สิงหาคม 2022 Reverseshell บอกว่าตนใช้เครื่องมืออัตโนมัติค้นหาข้อมูลล็อกอินที่ยังใช้ได้ของเซิร์ฟเวอร์อินเทอร์เน็ตแล้วนำไปขายต่อ
    • เขาอ้างว่าเจาะระบบเซิร์ฟเวอร์รัฐบาลสหรัฐฯ, เซิร์ฟเวอร์ควบคุมโทรคมนาคม, โรงงานเครื่องจักร และเซิร์ฟเวอร์ ISP ของรัสเซีย ด้วยข้อมูลรับรองเริ่มต้น
    • วันที่ 29 กรกฎาคม 2023 เขายังโพสต์ภาพหน้าจอล็อกอินของผู้รับเหมาด้านกลาโหมรายใหญ่ของสหรัฐฯ และอ้างว่ากำลังขายข้อมูลรับรองของบริษัทอากาศยานและอวกาศ

Proman557, Vars_Secc และประวัติการขายบอตเน็ต

  • Telegram ID 5408575119 ใช้นามแฝงหลายชื่อมาตั้งแต่ปี 2022 รวมถึง Reverseshell และ Proman557
  • Intel 471 ยืนยันบันทึกว่า “Proman554” บน Hackforums สมัครเมื่อเดือนกันยายน 2022 และบอกผู้ใช้อื่นว่าสามารถติดต่อได้ทางบัญชี Telegram ชื่อ Buttholio
  • Proman557 เป็นหนึ่งในนามแฝงหลายชื่อที่ใช้ขายมัลแวร์บอตเน็ตบน Linux บนฟอรัมแฮ็กภาษารัสเซีย Exploit
  • Proman557 ถูกแบนจากข้อหาฉ้อโกง 350 ดอลลาร์ และผู้ดูแล Exploit เตือนว่าผู้ใช้นี้เคยสมัครด้วยชื่อเล่นอื่นหลายชื่อ รวมถึง Vars_Secc
  • กิจกรรม Telegram ของ Vars_Secc มุ่งไปที่เกมออนไลน์, การปฏิบัติการบอตเน็ต DDoS และการโฆษณาขายหรือให้เช่าบอตเน็ต
    • Vars_Secc ระบุว่าบอตเน็ตถูกใช้สำหรับโจมตีเซิร์ฟเวอร์, DDoS เพื่อกู้ไอเท็มในเกม, ช่องโหว่ desync RCE ฝั่งเซิร์ฟเวอร์, การข่มขู่ และความบันเทิง

การขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ของรัฐและโทรคมนาคม

  • ในเดือนมิถุนายน 2023 Vars_Secc กล่าวในช่อง SecHub ว่าตนทำกิจกรรมนี้มา 4 ปีแล้ว และรัฐบาลคงไม่จ่ายเงินหลายล้านดอลลาร์ให้กับผู้ดูแล “บอตเน็ต DDoS ไร้สาระ” แน่
  • ตลอดหลายเดือนในปี 2023 Vars_Secc เคลื่อนไหวบนฟอรัมอาชญากรรมภาษารัสเซีย XSS และขายสิทธิ์เข้าถึงเซิร์ฟเวอร์รัฐบาลสหรัฐฯ ในราคา 2,000 ดอลลาร์
  • ต่อมาเขาพยายามขายสิทธิ์เข้าถึง Rostelecom ผู้ให้บริการโทรคมนาคมของรัสเซีย และถูกแบนจาก XSS
    • ฟอรัมอาชญากรรมที่ตั้งอยู่ในรัสเซียมีกฎห้ามแฮ็กหน่วยงานหรือพลเมืองรัสเซีย หรือขายข้อมูลของพวกเขา
  • วันที่ 20 มิถุนายน 2023 Vars_Secc โพสต์ขายบนฟอรัม Ramp 2.0 หัวข้อ “Selling US Gov Financial Access”
    • เขาโพสต์ว่าขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ภายในเครือข่าย, การเชื่อมต่อ subroute 3–5 เส้น, ราคา 1,250 ดอลลาร์
  • ในเดือนเดียวกันบน Ramp เขายังโพสต์ขายสิทธิ์เข้าถึงเซิร์ฟเวอร์ภายในของ “Vietnam government Internet Network Information Center” ในราคา 500 ดอลลาร์

บั๊กบาวน์ตีและช่องโหว่ของ Naver

  • Vars_Secc อ้างบน Telegram ในเดือนพฤษภาคม 2023 ว่าตนหาเงินจากการรายงานช่องโหว่ซอฟต์แวร์ผ่าน HackerOne
  • เขาบอกว่าได้รับรางวัล บั๊กบาวน์ตี จากมากกว่า 30 แห่ง เช่น reddit.com, กระทรวงกลาโหมสหรัฐฯ และ Coinbase
  • หนึ่งเดือนก่อนหน้านั้น เขาบอกว่าตนทำให้แคชของ reddit.com ปนเปื้อน และจะหาประโยชน์จากมันเพิ่มเติมก่อนค่อยรายงานให้ reddit ทราบ
  • HackerOne ตอบว่าจะตรวจสอบคำกล่าวอ้างที่เกี่ยวข้อง
  • แฮนเดิล Telegram ของ Vars_Secc ยังอ้างว่าเป็นเจ้าของสมาชิก BreachForums ชื่อ Boxfan
    • ตามข้อมูลของ Intel 471 ลายเซ็นในโพสต์แรก ๆ ของ Boxfan บน BreachForums มีบัญชี Telegram ของ Vars_Secc อยู่ด้วย
    • Boxfan เปิดเผยช่องโหว่ด้านความปลอดภัยของเสิร์ชเอนจินเกาหลี Naver บน BreachForums ในเดือนมกราคม 2024
    • โพสต์ดังกล่าวมีถ้อยคำเชิงลบอย่างรุนแรงต่อวัฒนธรรมเกาหลี

การปฏิเสธและความไม่แน่นอนที่ยังเหลืออยู่

  • ตัวตนหลายรูปแบบที่เชื่อมโยงกับ Kiberphant0m ชี้อย่างหนักแน่นว่าบุคคลนี้อาจเป็น ทหารกองทัพบกสหรัฐฯ หรืออย่างน้อยก็เพิ่งประจำการอยู่ในเกาหลีใต้จนไม่นานมานี้
  • นามแฝงที่เชื่อมโยงกันไม่ได้ระบุยศทหาร, กรมกอง หรือสายงานเฉพาะทาง
  • วันที่ 1 เมษายน 2023 Vars_Secc โพสต์ภาพหน้าจอเว็บไซต์ NSA ลงในช่อง Telegram สาธารณะ และภาพดังกล่าวดูเหมือนหน้าจอการสมัครงานบางตำแหน่งของ NSA
  • NSA ยังไม่ได้ตอบคำขอความเห็น
  • Kiberphant0m ซึ่งถูกติดต่อผ่าน Telegram ยอมรับว่าการเชื่อมโยงกับนามแฝงในอดีตนั้นเป็นเรื่องจริง แต่ปฏิเสธการรับราชการทหารสหรัฐฯ หรือการอยู่ในเกาหลี
    • เขาอ้างว่าเป็นเพอร์โซนาปลอมที่สร้างไว้มานาน และเป็น “Epic opsec troll”
    • เมื่อถูกถามถึงความเป็นไปได้ที่จะถูกจับ เขาตอบว่า “ฉันไม่มีทางถูกจับได้อย่างแท้จริง” และอ้างว่าไม่ได้อาศัยอยู่ในสหรัฐฯ

1 ความคิดเห็น

 
GN⁺ 2024-11-28
ความเห็นบน Hacker News
  • ถ้า Kiberphant0m เป็น ตัวตนที่แต่งขึ้น เพื่อหลอกเจ้าหน้าที่สืบสวนจริง ๆ ก็คงไม่มีทางยอมรับแบบนั้นแน่
    ฟังดูเหมือนคนที่โดนจับได้แล้วพยายามแก้ตัว และสุดท้ายก็ดูมีโอกาสสูงที่จะถูกจับ
    ท้ายบทความของ Krebs ยังมี ภาพ mind map ที่แสดงความเชื่อมโยงระหว่างนามแฝงต่าง ๆ ด้วย

    • ถ้าไปถามนักวิเคราะห์ข่าวกรอง เขาคงบอกว่าไม่มีอะไรอย่าง opsec troll หรอก
      เพราะทุกการกระทำของเป้าหมาย รวมถึงการหลอกล่อ ล้วนปล่อยข้อมูลหรือสร้างความเสี่ยงที่จะปล่อยข้อมูลออกมา
      ถ้าควบคุมสถานการณ์ได้จริง ต่อให้มั่นใจ 99% ว่าเป็นของปลอม ก็ยังทำให้อีกฝ่ายเสียทรัพยากรไปกับการตรวจสอบต่อได้ ดังนั้นคงไม่ทำลายฉากบังหน้าของตัวเองทิ้ง
      โดยเฉพาะถ้าสร้างเพอร์โซนานี้มานานและกำลังถูกตามรอยอยู่ แค่หายตัวไปแล้ววางแผนเริ่มใหม่ด้วยเพอร์โซนาใหม่ยังดูสมเหตุสมผลกว่ามาก
    • นี่คือสิ่งที่เรียกว่า เรื่องเล่าการพรางซ้อนสองชั้น เป็นกลยุทธ์หลบเลี่ยงแบบคลาสสิกที่ใช้เมื่อถูกจับได้หรือถูกเปิดโปง
    • คำพูดของคนที่ไม่น่าเชื่อถือไม่ควรเชื่อ
      อย่านำสิ่งที่คนนั้นพูดมาใช้ตัดสินข้อเท็จจริง ควรดูเฉพาะ หลักฐาน ที่ตรวจสอบได้เท่านั้น
    • การสร้างนามแฝงหลายชื่อในธีมเดียวกันเองก็ดูเป็น ความมั่นคงปลอดภัยเชิงปฏิบัติการ ที่แย่
      ถ้าตั้งใจทำเป็นเหยื่อล่อ น่าจะใช้ฉากหลังที่ต่างกันไปเลย เช่น ทหารสหรัฐฯ 1 คน รัสเซีย 1 คน แอฟริกัน 1 คน มากกว่า
  • ดูเหมือนรัฐบาลจะจำกัดขอบเขตได้ค่อนข้างง่าย
    ตรวจล็อกของคนที่ สมัครงาน NSA ช่วงก่อนและหลังวันที่มีการโพสต์สกรีนช็อต แล้วเทียบกับคนที่เคยอยู่หรืออยู่ในเกาหลี รายชื่อก็น่าจะสั้นลงมาก
    คนนี้ดูหยิ่ง และความหยิ่งก็นำไปสู่ความประมาท น่าจะถูกจับได้ในที่สุด

    • อาจเป็นเพราะรู้ว่ากำลังจะถูกจับ เลยรีบไป เคาะประตู NSA ก็ได้
      ยังไง NSA ก็อาจรับเข้าทำงานก็ได้
  • คำพูดทำนองว่า “ลองค้นหา ‘kiberphant0m’ ใน Google โดยใส่เครื่องหมายคำพูดดูสิ ฉันจะรอ มีบทความเกิน 50 ชิ้น และฉันเจาะผู้ให้บริการโทรคมนาคมมากกว่า 15 ราย ฉันมีหมายเลข IMSI ของทุกคนที่ลงทะเบียนกับ Verizon, Tmobile, ATNT, Verifone” นี่คือการ ทำลายตัวเองระดับ SBF
    การถูกจับเป็นแค่เรื่องของเวลา และหน่วยสืบสวนกลางคงจะบี้ไอ้ตัวตลกนี้ให้แห้งไปเลย

    • ผมอยากเห็น ผู้ให้บริการโทรคมนาคมมากกว่า 15 ราย ที่ส่งมอบ “หมายเลข IMSI ของทุกคนที่ลงทะเบียนกับ Verizon, Tmobile, ATNT, Verifone” ถูกบี้มากกว่า
      เพราะพวกเขาคงตัดสินว่าการโดนเจาะถูกกว่าการลงทุนด้านความปลอดภัย
  • ตอนที่ Kiberphant0m ล็อกอินเข้าแชนแนล Dstat แล้วผู้ใช้อีกคนพูดว่า “hi buttholio” จากนั้น Kiberphant0m ตอบว่า “wsg” ดูเป็นเรื่องโชคร้ายสำหรับเจ้าตัวอยู่บ้าง
    ถ้าอ้างอิง Beavis and Butt-Head ได้ดีกว่านี้ก็คงดีกว่า
    ถ้าชื่อผู้ใช้เป็น “Cornholio” หรือ “Bungholio” มันอาจถูกอ่านว่าเป็นชื่อที่อ้างถึงรายการโดยตรง ทำให้คำปฏิเสธว่าไม่เกี่ยวกับบัญชีอื่นฟังดูน่าเชื่อขึ้นอีกนิด

    • จาก “ไม่มีทางถูกจับได้แน่นอน” กลายเป็น “เดี๋ยวนะ ทุกคนใน Hacker News กำลังคุยกันถึงตัวตนแฮ็กเกอร์ระดับอีลิทของฉันที่ชื่อ... เช็กโน้ตก่อน... Buttholio อยู่เหรอ น่าจะขัดเกลาชื่อให้ดีกว่านี้หน่อยไหม”
  • อีกไม่นานคงได้รู้ว่า NSA normalize ฐานข้อมูลเก่งแค่ไหน
    ถึงเวลาโชว์สคีมาแล้ว

  • ถ้าดูเวลาที่คนนี้โพสต์ โดยเฉพาะ ฮิสโตแกรมเขตเวลา ของโพสต์ที่ตอบกลับบทความก่อนหน้าแบบทันที อาจเห็นอะไรบางอย่างก็ได้
    เพราะมันเป็นสัญญาณว่าเขาตื่นอยู่ ไม่ใช่คำตอบที่หน่วงเวลาไว้เทียม ๆ
    Krebs ก็น่าจะรู้เทคนิควิเคราะห์เขตเวลา เลยสงสัยว่าไม่ได้ตรวจ หรือว่าตรวจแล้วสรุปไม่ได้

    • ไม่แน่ใจว่าวิธีนี้จะได้ผลแค่ไหนถ้าไม่ใช่คนที่ทำงานรับเงินแบบ 9 โมงถึง 5 โมง
      ในหมู่คนที่ใช้คอมพิวเตอร์นานเกินไป มีหลายคนที่รูปแบบการนอนพังจนดูเหมือนกำลังใช้งานอยู่ใน เขตเวลา ที่ต่างออกไปโดยสิ้นเชิง
  • ดีแล้วที่ อาชญากรไซเบอร์ อิสระพวกนี้หยิ่งเกินไปจนทำพลาดเรื่องความมั่นคงปลอดภัยเชิงปฏิบัติการขั้นพื้นฐานที่สุด และเปิดโปงตัวเอง

  • ความเชื่อมโยงที่ Krebs หรือ Unit 221B ค้นเจอและข้อมูลที่ร้อยเรียงกันออกมาน่าสนใจมากจริง ๆ อ่านแล้วเหมือนอ่าน นิยายสืบสวน
    คนนี้ดูเหมือนจะจบแล้ว และแค่วันที่สมัคร NSA ก็น่าจะระบุตัวตนได้แทบแน่นอน

    • 221B หมายถึง 221B Baker Street ที่ Sherlock Holmes อาศัยอยู่
    • ถ้ามีข้อมูลมากพอ สมัยนี้อยากรู้ว่าจะทำงานติดตามร่องรอยแบบนี้ให้เป็นอัตโนมัติได้มากแค่ไหนด้วย พรอมป์ต์ LLM ดี ๆ
      ถ้าทำด้วยมือจะใช้เวลามหาศาล
  • หมอนั่นใจกล้ามาก
    ถ้าพลเรือนถูกจับจากการกระทำผิดกฎหมาย ยังมีสิทธิได้รับการพิจารณาคดีอย่างเป็นธรรมโดยคณะลูกขุนที่เป็นคนรุ่นราวคราวเดียวกัน แต่ถ้าทหารถูกจับว่าทำเรื่องเดียวกัน ศาลทหาร แทบจะเป็นพิธีการ และโดยข้อเท็จจริงก็จะได้เข้าคุกนานมากแทบจะทันที

    • ถ้าเข้ากองทัพแล้วต้องสละ สิทธิความเป็นพลเมือง เหรอ?
      สงสัยว่าตอนสมัครทหารมีการอธิบายเรื่องนี้ให้คนเข้าใจชัดเจนไหม
  • การเป็นอาชญากรตัวใหญ่เป็นเรื่องยากเกินไป
    แค่พลาดครั้งเดียวก็โดนเจาะได้แล้ว และมีโอกาสให้พลาดเป็นล้านครั้ง แถมเจ้าหน้าที่สืบสวนก็มีโอกาสเดาถูกโดยโชคช่วยเป็นล้านครั้งเช่นกัน

    • ใช่ แต่เราจะได้ยินแค่เรื่องของคนที่พลาดเท่านั้น
      จริง ๆ แล้วอยากรู้ว่าสัดส่วนของอาชญากรที่ถูกจับเพราะ ความมั่นคงปลอดภัยเชิงปฏิบัติการที่หละหลวม มีมากแค่ไหน