Erpresserischer Hacker im Snowflake-Fall könnte US-Soldat sein
(krebsonsecurity.com)- Auch nach der Festnahme von zwei Personen im Fall um Datendiebstahl und Erpressung bei Snowflake-Kunden setzt der nicht gefasste Verdächtige Kiberphant0m den Druck auf Opfer über mehrere Online-Identitäten fort
- Die Angreifer nutzten Ende 2023 aus, dass bei vielen Snowflake-Konten von Unternehmen keine Multi-Faktor-Authentifizierung vorgeschrieben war und diese nur durch Benutzername und Passwort geschützt wurden, um in Speicher großer Konzerne einzudringen
- Zu den betroffenen Unternehmen gehört auch AT&T. AT&T machte im Juli den Diebstahl personenbezogener Daten sowie Anruf- und SMS-Daten von rund 110 Millionen Menschen öffentlich; zudem gab es Berichte, dass 370.000 US-Dollar gezahlt wurden, um die gestohlenen Anrufprotokolle löschen zu lassen
- Mit Kiberphant0m verknüpfte Konten warben in BreachForums, Telegram und Discord für den Verkauf von Snowflake-Daten, DDoS-Botnetze, SIM-Swapping sowie den Verkauf von Zugängen zu Regierungs- und Telekom-Servern
- Mehrere Aliasse sind mit der US Army, einer Stationierung in Korea, South Korea Telecom, Wi‑Fi auf Militärbasen und einem NSA-Bewerbungsbildschirm verknüpft, doch Kiberphant0m bestreitet den Dienst beim US-Militär und einen Aufenthalt in Korea und behauptet, es handle sich um lange aufgebaute Fake-Identitäten
Nicht gefasster Verdächtiger im Snowflake-Erpressungsfall
- Zwei Personen wurden wegen des Diebstahls von Daten bei Snowflake-Kunden und anschließender Erpressung festgenommen, doch die als Kiberphant0m bekannte dritte Person ist weiterhin flüchtig und bedroht Opfer öffentlich
- Mehrere erhaltene Gesprächsprotokolle aus Cybercrime-Foren, Telegram und Discord deuten darauf hin, dass diese Person ein Soldat der US Army war oder bis vor Kurzem in Korea stationiert gewesen sein könnte
- Die Angreifer stellten Ende 2023 fest, dass viele Unternehmen große Mengen sensibler Kundendaten in Snowflake-Konten gespeichert hatten, ohne dabei Multi-Faktor-Authentifizierung zu verlangen
- Anschließend suchten sie auf Darknet-Marktplätzen nach gestohlenen Zugangsdaten für Snowflake-Konten und drangen in Datenspeicher großer Unternehmen weltweit ein
AT&T-Schaden und Festnahme früherer Verdächtiger
- AT&T, eines der betroffenen Unternehmen, gab im Juli bekannt, dass Cyberkriminelle personenbezogene Daten sowie Anruf- und SMS-Daten von rund 110 Millionen Menschen gestohlen hatten
- Laut Wired zahlte AT&T dem Hacker 370.000 US-Dollar, damit gestohlene Anrufprotokolle gelöscht werden
- Die kanadischen Behörden nahmen am 30. Oktober auf Grundlage eines vorläufigen US-Haftbefehls Alexander Moucka aus Kitchener, Ontario, alias Connor Riley Moucka fest
- Die USA klagten ihn später im Zusammenhang mit den Snowflake-Verstößen in 20 Anklagepunkten an
- Ein weiterer Verdächtiger im Snowflake-Hack, John Erin Binns, ist ein in der Türkei inhaftierter US-Bürger
- Ermittler gehen davon aus, dass Moucka die Handles Judische und Waifu nutzte und Kiberphant0m damit beauftragte, Daten von Snowflake-Kunden zu verkaufen, die kein Lösegeld gezahlt hatten
Öffentliche Drohungen nach den Festnahmen
- Unmittelbar nach Bekanntwerden von Mouckas Festnahme veröffentlichte Kiberphant0m auf BreachForums Material, das angeblich AT&T-Anrufprotokolle des designierten Präsidenten Donald J. Trump und der Vizepräsidentin Kamala Harris zeigen sollte
- Am selben Tag stellte er auch Material online, das angeblich das „data schema“ der U.S. National Security Agency sei
- Am 5. November bot er an, Anrufprotokolle von Verizon-PTT-Kunden zu verkaufen, vor allem von US-Behörden und Einsatzkräften
- Am 9. November veröffentlichte er auf BreachForums ein Angebot für SIM-Swapping gegen Verizon-PTT-Kunden
- Beim SIM-Swapping werden durch Phishing oder Diebstahl erlangte Zugangsdaten von Mobilfunkmitarbeitern genutzt, um Telefonate und SMS eines Ziels auf ein vom Angreifer kontrolliertes Gerät umzuleiten
Verbindung zwischen Buttholio, Kiberphant0m und Shi-Bot
- Kiberphant0m trat BreachForums im Januar 2024 bei und schrieb im ersten Beitrag, dass er über den Telegram-Handle @cyb3rph4nt0m erreichbar sei
- Das Konto @cyb3rph4nt0m veröffentlichte seit Januar 2024 mehr als 4.200 Nachrichten; viele davon warben Personen an, die Malware verbreiten sollten, um Hosts für ein IoT-Botnetz zu infizieren
- In BreachForums wurde der Quellcode des auf Mirai basierenden benutzerdefinierten Linux-DDoS-Botnetzes Shi-Bot verkauft
- Vor der öffentlichen Bekanntmachung der Snowflake-Angriffe im Mai gab es nur wenige Verkaufsbeiträge von Kiberphant0m auf BreachForums; ein erheblicher Teil bezog sich auf Datenbanken, die koreanischen Unternehmen gestohlen worden waren
- Am 5. Juni 2024 trat in dem Telegram-Betrugskanal Comgirl ein Nutzer namens „Buttholio“ auf und behauptete, Kiberphant0m zu sein
- Dieser Nutzer sagte, man solle bei Google nach „kiberphant0m“ suchen, und verwies auf mehr als 50 Artikel sowie auf angebliche Kompromittierungen von über 15 Telekommunikationsunternehmen
- Er behauptete außerdem, die IMSI-Nummern aller bei Verizon, T-Mobile, AT&T und Verifone registrierten Personen zu besitzen
Gesprächsprotokolle, die auf eine Stationierung der US-Armee in Korea hindeuten
- Am 17. September 2023 schrieb Buttholio in einem Discord für Escape from Tarkov-Spieler, dass es auf koreanischen Servern kaum Extract Camper oder Cheater gebe
- In einer weiteren Nachricht am selben Tag erklärte er, er habe das Spiel in den USA gekauft, spiele aber auf asiatischen Servern
- Er hinterließ eine Nachricht mit dem Sinn, dass er ein u.s. soldier sei, das Spiel in den USA gekauft habe, wegen einer Rotation aber asiatische Server nutzen müsse
- Das mit der Telegram-ID 6953392511 verknüpfte Konto @Kiberphant0m tauchte auch im DDoS-bezogenen Telegram-Kanal Dstat auf
- Als Kiberphant0m Dstat betrat, sagte ein anderer Nutzer „hi buttholio“, worauf Kiberphant0m mit „wsg“ antwortete
- Die Dstat-Website dstat[.]cc wurde am 1. November im Rahmen der internationalen Strafverfolgungsaktion Operation PowerOFF beschlagnahmt
Konto Reverseshell und militärbezogene Aussagen
- Laut Daten von Flashpoint erklärte @kiberphant0m im April 2024 in den Telegram-Kanälen Dstat und The Jacuzzi, dass sein anderer Telegram-Benutzername @reverseshell sei
- Die Telegram-ID des Kontos @reverseshell lautet 5408575119
- Am 15. November 2022 sagte @reverseshell im Telegram-Kanal Cecilio Chat, er sei Soldat der U.S. Army
- Er teilte auch ein Foto, auf dem eine Uniformhose und ein Tarnrucksack zu sehen sind
- Im September 2022 drohte ein anderer Nutzer damit, die Internetadresse von Reverseshell mit DDoS anzugreifen; nach dem Angriff antwortete Reverseshell sinngemäß, man habe das „vertraglich genutzte Wi‑Fi einer Militärbasis“ getroffen
- In einem Gespräch im Oktober 2022 prahlte er mit der Geschwindigkeit seiner Server und antwortete, für den Internetzugang South Korea Telecom zu nutzen
- Am 23. August 2022 sagte Reverseshell, er habe mit einem Automatisierungstool gültige Logins für Internetserver gefunden und weiterverkauft
- Er behauptete, mit Standardzugangsdaten in US-Regierungsserver, Telekom-Kontrollserver, Maschinenfabriken und Server russischer ISPs eingedrungen zu sein
- Am 29. Juli 2023 veröffentlichte er einen Screenshot einer Login-Seite eines großen US-Rüstungsunternehmens und behauptete, Zugangsdaten eines Luft- und Raumfahrtunternehmens zu verkaufen
Proman557, Vars_Secc und frühere Botnetz-Verkäufe
- Die Telegram-ID 5408575119 nutzte seit 2022 mehrere Aliasse, darunter Reverseshell und Proman557
- Intel 471 stellte fest, dass sich „Proman554“ bei Hackforums im September 2022 registrierte und anderen Nutzern sagte, sie könnten ihn über das Telegram-Konto Buttholio kontaktieren
- Proman557 war auf dem russischsprachigen Hacking-Forum Exploit einer von mehreren Aliassen, unter denen Linux-basierte Botnetz-Malware verkauft wurde
- Proman557 wurde wegen eines Betrugs über 350 Dollar gesperrt, und ein Exploit-Administrator warnte, dass dieser Nutzer sich auch unter mehreren anderen Nicknames wie Vars_Secc registriert habe
- Die Telegram-Aktivitäten von Vars_Secc konzentrierten sich auf Online-Gaming, den Betrieb von DDoS-Botnetzen sowie Werbung für Verkauf und Vermietung von Botnetzen
- Vars_Secc listete als Einsatzzwecke der Botnetze Serverangriffe, DDoS zum Zurückholen von Spielgegenständen, serverseitige desync-RCE-Schwachstellen, Erpressung und Unterhaltung auf
Verkauf von Zugängen zu Regierungs- und Telekom-Servern
- Im Juni 2023 erklärte Vars_Secc im Kanal SecHub, seit vier Jahren aktiv zu sein, und sagte, Regierungen würden keinem Betreiber eines „bedeutungslosen DDoS-Botnetzes“ Millionen von Dollar zahlen
- Über mehrere Monate des Jahres 2023 war Vars_Secc im russischsprachigen kriminellen Forum XSS aktiv und verkaufte den Zugang zu einem US-Regierungsserver für 2.000 Dollar
- Später versuchte er, einen Zugang zu Rostelecom zu verkaufen, und wurde daraufhin bei XSS gesperrt
- In russischen kriminellen Foren gelten Regeln, die das Hacken russischer Einrichtungen oder Bürger sowie den Verkauf ihrer Daten verbieten
- Am 20. Juni 2023 stellte Vars_Secc im Forum Ramp 2.0 ein Verkaufsangebot mit dem Titel „Selling US Gov Financial Access“ ein
- Er schrieb, es gehe um den Zugang zu einem internen Netzwerkserver, 3–5 subroute-Verbindungen und einen Preis von 1.250 Dollar
- Im selben Monat bot er auf Ramp auch den Zugang zu einem internen Server des „Vietnam government Internet Network Information Center“ für 500 Dollar an
Bug Bounties und Naver-Schwachstelle
- Vars_Secc behauptete im Mai 2023 auf Telegram, über HackerOne Geld mit dem Melden von Software-Schwachstellen zu verdienen
- Er sagte, von mehr als 30 Stellen Bug-Bounty-Belohnungen erhalten zu haben, darunter reddit.com, das US-Verteidigungsministerium und Coinbase
- Einen Monat zuvor sagte er, er habe den Cache von reddit.com vergiftet und werde den Vorfall nach weiterer Ausnutzung an reddit melden
- HackerOne antwortete, man werde die betreffenden Behauptungen untersuchen
- Der Telegram-Handle von Vars_Secc behauptete außerdem, dem BreachForums-Mitglied Boxfan zu gehören
- Laut Intel 471 enthielten frühe Signaturen in den BreachForums-Beiträgen von Boxfan das Telegram-Konto von Vars_Secc
- Boxfan veröffentlichte im Januar 2024 auf BreachForums eine Sicherheitslücke der koreanischen Suchmaschine Naver
- Der Beitrag enthielt starke abwertende Äußerungen über die koreanische Kultur
Bestreiten und verbleibende Unsicherheiten
- Mehrere mit Kiberphant0m verbundene Identitäten deuten stark darauf hin, dass diese Person Soldat der US Army war oder bis vor Kurzem in Korea stationiert gewesen sein könnte
- Die verknüpften Aliasse nennen jedoch weder Dienstgrad noch Regiment oder Fachgebiet
- Am 1. April 2023 veröffentlichte Vars_Secc einen Screenshot der NSA-Website in einem öffentlichen Telegram-Kanal; es sah aus, als zeige er eine bereits ausgefüllte Bewerbung für eine Stelle bei der NSA
- Die NSA hat auf eine Bitte um Stellungnahme bislang nicht reagiert
- Kiberphant0m, der über Telegram kontaktiert wurde, räumte ein, dass frühere Aliasse von ihm bekannt geworden seien, bestritt aber einen Dienst beim US-Militär oder einen Aufenthalt in Korea
- Er behauptete, es habe sich um eine von ihm über lange Zeit aufgebaute Fake-Persona gehandelt und es sei ein „Epic opsec troll“ gewesen
- Auf die Möglichkeit einer Festnahme sagte er: „Ich kann buchstäblich nicht gefasst werden“, und behauptete, nicht in den USA zu leben
1 Kommentare
Meinungen auf Hacker News
Wenn Kiberphant0m wirklich eine fiktive Person gewesen wäre, um Ermittler zu täuschen, hätte er das wohl niemals so zugegeben.
Es klingt wie jemand, der sich herausredet, nachdem er aufgeflogen ist, und am Ende wirkt es sehr wahrscheinlich, dass er geschnappt wird.
Am Ende des Krebs-Artikels gibt es auch ein Mindmap-Bild, das die Verbindungen zwischen den Aliasnamen zeigt.
Denn alles, was ein Ziel tut, lässt Informationen durchsickern oder schafft das Risiko dafür – selbst Irreführung.
Wenn man die Lage tatsächlich unter Kontrolle hat, kann man den Gegner weiter Ressourcen in die Überprüfung stecken lassen, auch wenn man zu 99 % sicher ist, dass es Fake ist; man würde die Tarnung also nicht selbst auffliegen lassen.
Gerade wenn man so eine Persona lange aufgebaut hat und verfolgt wird, wäre es viel plausibler, einfach unterzutauchen und zu planen, mit einer neuen Persona wieder anzufangen.
Ihre Aussagen sollte man nicht in die Wahrheitsbewertung einbeziehen, sondern nur auf überprüfbare Beweise schauen.
Wenn es darum ging, Köder zu schaffen, wäre es doch besser gewesen, unterschiedliche Hintergründe zu verwenden – etwa eine US-Militärperson, einen Russen und einen Afrikaner.
Für die Regierung scheint es ziemlich einfach zu sein, den Kreis einzugrenzen.
Man müsste die Logs der Leute prüfen, die um das Datum der veröffentlichten Screenshots herum eine NSA-Bewerbung eingereicht haben, und diese mit Personen abgleichen, die in Korea waren oder sind; die Liste dürfte dann ziemlich kurz werden.
Diese Person wirkt arrogant, und Arroganz führt zu Nachlässigkeit – also wird sie wohl erwischt werden.
Vielleicht nimmt die NSA ihn ja trotzdem.
Eine Aussage wie „Such bei Google mit Anführungszeichen nach ‘kiberphant0m’. Ich warte. Über 50 Artikel, mehr als 15 Telekommunikationsanbieter gehackt. Ich habe die IMSI-Nummern aller Personen, die bei Verizon, Tmobile, ATNT und Verifone registriert sind“ ist Selbstzerstörung auf SBF-Niveau.
Es ist nur eine Frage der Zeit, bis er gefasst wird, und die Bundesermittler werden diesen Clown ordentlich ausbluten lassen.
Offenbar kamen sie zu dem Schluss, dass gehackt zu werden billiger ist, als in Sicherheit zu investieren.
Die Stelle, an der ein anderer Nutzer „hi buttholio“ sagte, als Kiberphant0m sich im Dstat-Channel einloggte, und Kiberphant0m mit „wsg“ antwortete, wirkt für ihn etwas unglücklich.
Eine bessere Anspielung auf Beavis and Butt-Head hätte geholfen.
Wenn der Nutzername „Cornholio“ oder „Bungholio“ gewesen wäre, hätte man ihn eher als direkte Referenz auf die Show lesen können, und die Behauptung, er habe nichts mit anderen Accounts zu tun, wäre etwas plausibler gewesen.
Bald werden wir wohl erfahren, wie gut die NSA Datenbanken normalisiert.
Zeit, das Schema zu zeigen.
Vielleicht ließe sich etwas aus den Posting-Zeiten dieser Person ableiten, insbesondere aus einem Histogramm der Zeitzonen der Beiträge, die direkt auf vorherige Posts antworten.
Denn das wäre ein Signal dafür, dass sie wach war, und nicht bloß eine künstlich verzögerte Antwort.
Krebs dürfte die Methode der Zeitzonenanalyse kennen; ich frage mich, ob er das nicht geprüft hat oder ob die Ergebnisse nicht eindeutig waren.
Unter Leuten, die zu viel am Computer hängen, haben viele so kaputte Schlafmuster, dass sie wirken könnten, als seien sie in einer ganz anderen Zeitzone aktiv.
Es ist ein Glück, dass solche unabhängigen Cyberkriminellen so arrogant sind, dass sie die grundlegendsten Opsec-Fehler machen und sich selbst enttarnen.
Die Verbindungen, die Krebs oder Unit 221B gefunden haben, und die daraus zusammengetragenen Informationen waren wirklich faszinierend; es fühlte sich an, als würde man einen Detektivroman lesen.
Diese Person scheint erledigt zu sein, und allein über das Datum der NSA-Bewerbung dürfte ihre Identität praktisch feststellbar sein.
Manuell kostet das enorm viel Zeit.
Der Typ hat wirklich Nerven.
Wenn Zivilisten wegen illegaler Handlungen gefasst werden, haben sie Anspruch auf ein faires Verfahren mit einer Jury aus Gleichrangigen; wenn Militärangehörige bei derselben Sache erwischt werden, ist ein Militärgericht fast nur noch Formsache, und praktisch geht es direkt für sehr lange Zeit ins Gefängnis.
Ich frage mich, ob den Leuten das bei der Einberufung klar erklärt wird.
Ein Verbrecher im großen Stil zu sein, ist viel zu schwer.
Ein einziger Fehler reicht, und man ist offen; zugleich gibt es Millionen Gelegenheiten für Fehler und Millionen Gelegenheiten, bei denen Ermittler mit Glück richtigliegen können.
Ich frage mich, wie hoch der Anteil der Kriminellen ist, die tatsächlich wegen schlechter Opsec geschnappt werden.