Erpresserischer Snowflake-Hacker könnte US-Soldat sein

• Zwei Männer wurden festgenommen, weil sie beschuldigt werden, Daten mehrerer Unternehmen gestohlen und diese erpresst zu haben, die den Cloud-Datenspeicheranbieter Snowflake nutzen. Ein dritter Verdächtiger, der Hacker Kiberphant0m, ist jedoch weiterhin aktiv und bedroht die Opfer öffentlich. Bei Kiberphant0m könnte es sich um einen Soldaten der US-Armee handeln, der zuletzt möglicherweise in Korea stationiert war.

• Kiberphant0m verkauft in mehreren Cybercrime-Foren sowie über Telegram- und Discord-Kanäle Daten von Snowflake-Kunden. Ende 2023 entdeckten die Hacker, dass viele Unternehmen sensible Kundendaten in Snowflake-Konten hochgeladen hatten und diese Konten nur durch einfache Benutzernamen und Passwörter geschützt waren.

• Nachdem Zugangsdaten für Snowflake-Konten gestohlen worden waren, begannen die Hacker, in Datenspeicher einiger der größten Unternehmen der Welt einzudringen. Dazu gehörte auch AT&T, das im Juli offenlegte, dass persönliche Daten und Telefon- sowie SMS-Protokolle von rund 110 Millionen Menschen gestohlen wurden.

• Die kanadischen Behörden verhafteten am 30. Oktober Alexander Moucka, gegen den 20 Anklagepunkte im Zusammenhang mit den Snowflake-Hacks erhoben wurden. Ein weiterer Verdächtiger, John Erin Binns, sitzt derzeit in der Türkei in Haft.

• Kurz nachdem die Nachricht von Mouckas Festnahme bekannt geworden war, postete Kiberphant0m im Hacker-Forum BreachForums als Drohung die Anrufprotokolle des designierten Präsidenten Donald J. Trump und der Vizepräsidentin Kamala Harris von AT&T.

• Kiberphant0m verkauft außerdem Anrufprotokolle von Push-to-Talk-(PTT)-Kunden von Verizon und bietet einen „SIM-Swapping“-Service an, der auf Verizon-PTT-Kunden abzielt.

Vorstellung von „BUTTHOLIO“

• Kiberphant0m trat BreachForums im Januar 2024 bei; seine Aktivitäten in Discord- und Telegram-Kanälen reichen jedoch mindestens bis Anfang 2022 zurück. In seinem ersten Beitrag auf BreachForums erklärte er, dass man ihn über den Telegram-Handle @cyb3rph4nt0m kontaktieren könne.

• @cyb3rph4nt0m veröffentlichte seit Januar 2024 mehr als 4.200 Nachrichten, von denen viele Versuche waren, Personen anzuwerben, die Schadsoftware verbreiten, um Host-Maschinen mit einem IoT-Botnet zu infizieren.

• Kiberphant0m verkaufte auf BreachForums den Quellcode des Linux-DDoS-Botnets „ Shi-Bot “, das auf der Mirai-Malware basiert.

„REVERSESHELL“

• @Kiberphant0m wurde der Telegram-ID 6953392511 zugeordnet und veröffentlichte laut Daten von Flashpoint am 4. Januar 2024 im Kanal Dstat. In diesem Kanal sammeln sich Cyberkriminelle, die DDoS-Angriffe durchführen und DDoS-for-Hire-Dienste verkaufen.

• Laut den Daten von Flashpoint teilte @kiberphant0m am 10. April 2024 einem anderen Mitglied von Dstat mit, dass sein alternativer Telegram-Benutzername „ @reverseshell “ sei.

• Am 15. November 2022 erklärte @reverseshell im Telegram-Kanal Cecilio Chat, dass er Soldat der US-Armee sei.

PROMAN AND VARS_SECC

• Flashpoint erklärte, dass die Telegram-ID 5408575119 seit 2022 mehrere Aliasse verwendet habe, darunter Reverseshell und Proman557.

• Intel 471 erklärte, dass der Name Proman557 zu den Personen gehörte, die 2022 im russischsprachigen Hacking-Forum Exploit verschiedene Linux-basierte Botnet-Malware verkauften.

BUG BOUNTIES

• Vars_Secc behauptete im Mai 2023 auf Telegram, Geld verdient zu haben, indem er über HackerOne Berichte über Softwarefehler eingereicht habe. HackerOne ist ein Unternehmen, das Technologiefirmen bei der Bearbeitung von Meldungen über Sicherheitslücken in Produkten und Diensten unterstützt.

• Vars_Secc behauptete, Bug-Bounties von mehr als 30 Organisationen erhalten zu haben, darunter reddit.com, das US-Verteidigungsministerium und Coinbase.

• Die verschiedenen Identitäten von Kiberphant0m deuten stark darauf hin, dass es sich bei ihm um einen Soldaten der US-Armee handeln könnte, der bis vor Kurzem in Korea stationiert war. Andere Identitäten von Kiberphant0m nannten weder Dienstgrad, Regiment noch Fachgebiet, doch seine Computer- und Netzwerkfähigkeiten könnten im Militär aufgefallen sein.