1 pontos por GN⁺ 2024-11-28 | 1 comentários | Compartilhar no WhatsApp
  • Mesmo após a prisão de duas pessoas no caso de roubo e extorsão de dados de clientes da Snowflake, o suspeito ainda não preso Kiberphant0m continua pressionando vítimas por meio de várias identidades online
  • No fim de 2023, os invasores exploraram o fato de que contas Snowflake de muitas empresas eram protegidas apenas por nome de usuário e senha, sem autenticação multifator, para invadir repositórios de grandes empresas
  • Entre as empresas afetadas está a AT&T, que em julho divulgou o roubo de dados pessoais e registros de chamadas e mensagens de cerca de 110 milhões de pessoas; também houve relatos de que US$ 370 mil foram pagos em troca da exclusão dos registros de chamadas roubados
  • Contas ligadas a Kiberphant0m promoveram, no BreachForums, Telegram e Discord, a venda de dados da Snowflake, botnets DDoS, SIM swapping e venda de acesso a servidores de governos e operadoras de telecomunicações
  • Vários pseudônimos aparecem ligados ao Exército dos EUA, à presença na Coreia do Sul, à South Korea Telecom, a Wi‑Fi de base militar e a uma tela de candidatura à NSA, mas Kiberphant0m nega ter servido nas forças armadas dos EUA ou ter estado na Coreia do Sul, alegando que se tratava de uma identidade falsa criada há muito tempo

Suspeito ainda não preso no caso de extorsão da Snowflake

  • Duas pessoas foram presas sob acusação de roubar dados de clientes da Snowflake e extorquir as vítimas, mas uma terceira pessoa, conhecida como Kiberphant0m, ainda não foi presa e continua ameaçando vítimas publicamente
  • Diversos registros de conversas que permaneceram em fóruns de cibercrime, no Telegram e no Discord sugerem que essa pessoa pode ter sido soldado do Exército dos EUA ou ter estado estacionada na Coreia do Sul até recentemente
  • No fim de 2023, os invasores descobriram que muitas empresas mantinham grandes volumes de dados sensíveis de clientes em contas Snowflake sem exigir autenticação multifator
  • Depois disso, eles procuraram em mercados da dark web credenciais roubadas de contas Snowflake e invadiram repositórios de dados de grandes empresas em todo o mundo

Impacto na AT&T e prisão dos suspeitos anteriores

  • Uma das empresas afetadas, a AT&T, divulgou em julho que criminosos cibernéticos haviam roubado dados pessoais e registros de chamadas e mensagens de cerca de 110 milhões de pessoas
  • Segundo a Wired, a AT&T pagou US$ 370 mil a hackers para apagar os registros de chamadas roubados
  • Autoridades canadenses prenderam em 30 de outubro, em Kitchener, Ontário, Alexander Moucka, também conhecido como Connor Riley Moucka, com base em um mandado de prisão provisória dos EUA
    • Posteriormente, os EUA o indiciaram por 20 crimes relacionados à invasão da Snowflake
    • Outro suspeito do hack da Snowflake, John Erin Binns, é um cidadão americano preso na Turquia
  • Investigadores acreditam que Moucka usava os handles Judische e Waifu, e que encarregou Kiberphant0m de vender dados de clientes da Snowflake que não pagaram resgate

Ameaças públicas após as prisões

  • Logo após a notícia da prisão de Moucka, Kiberphant0m publicou no BreachForums material que dizia serem registros de chamadas da AT&T do presidente eleito Donald J. Trump e da vice-presidente Kamala Harris
  • No mesmo dia, também publicou material que alegou ser o “data schema” da U.S. National Security Agency
  • Em 5 de novembro, ofereceu à venda registros de chamadas de clientes Verizon PTT, principalmente de agências do governo dos EUA e equipes de emergência
  • Em 9 de novembro, publicou no BreachForums um anúncio vendendo um serviço de SIM swapping voltado a clientes Verizon PTT
    • SIM swapping é uma técnica em que, usando credenciais obtidas por phishing ou roubadas de funcionários de operadoras móveis, chamadas e mensagens do alvo são desviadas para um dispositivo controlado pelo invasor

Ligações entre Buttholio, Kiberphant0m e Shi-Bot

  • Kiberphant0m entrou no BreachForums em janeiro de 2024 e, em sua primeira publicação, disse que poderia ser contatado pelo handle do Telegram @cyb3rph4nt0m
  • A conta @cyb3rph4nt0m publicou mais de 4.200 mensagens desde janeiro de 2024, muitas delas recrutando pessoas para distribuir malware que infecta hosts em uma botnet IoT
  • No BreachForums, vendeu o código-fonte da Shi-Bot, uma botnet DDoS Linux customizada baseada no Mirai
  • Antes de os ataques à Snowflake se tornarem públicos em maio, Kiberphant0m tinha poucas publicações de venda no BreachForums, e muitas delas estavam relacionadas a bancos de dados roubados de empresas coreanas
  • Em 5 de junho de 2024, um usuário chamado “Buttholio” entrou no canal do Telegram relacionado a fraudes Comgirl e afirmou ser Kiberphant0m
    • Esse usuário disse para pesquisar “kiberphant0m” no Google, afirmando haver mais de 50 artigos e mais de 15 invasões de operadoras
    • Também disse possuir números IMSI de todas as pessoas registradas na Verizon, T-Mobile, AT&T e Verifone

Registros de conversas que apontam para militar dos EUA na Coreia do Sul

  • Em 17 de setembro de 2023, Buttholio disse em um Discord de jogadores de Escape from Tarkov que quase não havia extract campers ou cheaters nos servidores coreanos
  • Em outra mensagem no mesmo dia, explicou que havia comprado o jogo nos EUA, mas jogava em servidores asiáticos
    • Deixou uma mensagem no sentido de que era u.s. soldier, comprou nos EUA, mas precisava usar servidores asiáticos por causa de uma rotação de destacamento
  • A conta @Kiberphant0m, ligada ao Telegram ID 6953392511, também aparece no canal de Telegram relacionado a DDoS Dstat
    • Quando Kiberphant0m entrou no Dstat, outro usuário disse “hi buttholio”, e Kiberphant0m respondeu “wsg”
    • O site Dstat, dstat[.]cc, foi apreendido em 1º de novembro como parte da operação internacional de aplicação da lei Operation PowerOFF

Conta Reverseshell e declarações relacionadas às forças armadas

  • Segundo dados da Flashpoint, @kiberphant0m disse nos canais do Telegram Dstat e The Jacuzzi, em abril de 2024, que seu outro nome de usuário no Telegram era @reverseshell
  • O Telegram ID da conta @reverseshell é 5408575119
  • Em 15 de novembro de 2022, @reverseshell disse no canal do Telegram Cecilio Chat que era soldado do U.S. Army
    • Também compartilhou uma foto em que apareciam calça de uniforme militar e uma mochila camuflada
  • Em setembro de 2022, outro usuário ameaçou fazer um ataque DDoS ao endereço de internet de Reverseshell e, quando o ataque ocorreu, Reverseshell respondeu no sentido de que a pessoa havia atacado o “Wi‑Fi contratado da base militar”
  • Em uma conversa de outubro de 2022, vangloriou-se da velocidade do servidor que usava e respondeu que usava a South Korea Telecom para acesso à internet
  • Em 23 de agosto de 2022, Reverseshell disse que usava ferramentas de automação para encontrar logins válidos em servidores de internet e revendê-los
    • Afirmou ter invadido servidores do governo dos EUA, servidores de controle de telecomunicações, fábricas de máquinas e servidores de ISPs russos usando credenciais padrão
    • Em 29 de julho de 2023, publicou uma captura de tela da página de login de uma grande contratada de defesa dos EUA e afirmou vender credenciais de uma empresa aeroespacial

Histórico de Proman557, Vars_Secc e venda de botnets

  • O Telegram ID 5408575119 usou vários pseudônimos desde 2022, incluindo Reverseshell e Proman557
  • A Intel 471 identificou um registro em que “Proman554”, do Hackforums, cadastrado em setembro de 2022, disse a outro usuário que poderia ser contatado pela conta do Telegram Buttholio
  • Proman557 foi um dos vários pseudônimos usados no fórum de hacking em russo Exploit para vender malware de botnet baseado em Linux
  • Proman557 foi banido por acusação de golpe de US$ 350, e o operador do Exploit alertou que esse usuário já havia se registrado com vários outros nicks, incluindo Vars_Secc
  • A atividade de Vars_Secc no Telegram se concentrou em jogos online, operação de botnets DDoS e promoção de venda e aluguel de botnets
    • Vars_Secc listou como usos de botnets ataques a servidores, DDoS para recuperar itens de jogos, vulnerabilidade RCE de desync do lado do servidor, extorsão e entretenimento

Venda de acesso a servidores governamentais e de telecomunicações

  • Em junho de 2023, Vars_Secc disse no canal SecHub que atuava havia quatro anos e que governos não pagariam milhões de dólares a operadores de “botnets DDoS sem sentido”
  • Durante vários meses de 2023, Vars_Secc atuou no fórum criminoso em russo XSS, vendendo acesso a servidores do governo dos EUA por US$ 2.000
  • Depois, foi banido do XSS ao tentar vender acesso à operadora russa Rostelecom
    • Fóruns criminosos sediados na Rússia têm regras que proíbem hackear instituições ou cidadãos russos ou vender seus dados
  • Em 20 de junho de 2023, Vars_Secc publicou no fórum Ramp 2.0 um anúncio intitulado “Selling US Gov Financial Access”
    • Publicou acesso a servidores internos da rede, conexão a 3–5 subroutes e preço de US$ 1.250
  • No mesmo mês, no Ramp, também publicou que vendia por US$ 500 acesso a servidores internos do “Vietnam government Internet Network Information Center”

Bug bounty e vulnerabilidade no Naver

  • Em maio de 2023, Vars_Secc afirmou no Telegram que ganhava dinheiro reportando vulnerabilidades de software por meio da HackerOne
  • Disse ter recebido recompensas de bug bounty de mais de 30 organizações, incluindo reddit.com, Departamento de Defesa dos EUA e Coinbase
  • Um mês antes, afirmou ter envenenado o cache do reddit.com e que, depois de explorá-lo mais, reportaria o caso ao Reddit
  • A HackerOne respondeu que investigaria as alegações relacionadas
  • O handle de Telegram Vars_Secc também afirmou ser o proprietário do usuário Boxfan do BreachForums
    • Segundo a Intel 471, a assinatura das primeiras publicações de Boxfan no BreachForums incluía a conta de Telegram Vars_Secc
    • Em janeiro de 2024, Boxfan divulgou no BreachForums uma vulnerabilidade de segurança no mecanismo de busca coreano Naver
    • A publicação incluía expressões fortemente negativas sobre a cultura coreana

Negação e incertezas restantes

  • As várias identidades ligadas a Kiberphant0m sugerem fortemente que essa pessoa pode ter sido soldado do Exército dos EUA ou ter estado estacionada na Coreia do Sul até recentemente
  • Os pseudônimos ligados a ele não mencionam patente militar, regimento ou especialidade
  • Em 1º de abril de 2023, Vars_Secc publicou em um canal público do Telegram uma captura de tela do site da NSA, que parecia mostrar uma tela de candidatura a algum cargo na NSA
  • A NSA ainda não respondeu ao pedido de comentário
  • Contatado pelo Telegram, Kiberphant0m reconheceu que seus pseudônimos anteriores haviam sido revelados, mas negou ter servido nas forças armadas dos EUA ou ter estado na Coreia do Sul
    • Afirmou que se tratava de uma persona falsa criada há muito tempo e de um “Epic opsec troll”
    • Sobre a possibilidade de ser preso, disse “eu literalmente não posso ser pego” e afirmou que não mora nos EUA

1 comentários

 
GN⁺ 2024-11-28
Opiniões no Hacker News
  • Se Kiberphant0m fosse mesmo uma persona inventada para enganar investigadores, acho que nunca admitiria isso
    Soa como alguém tentando se explicar depois de ser desmascarado, e no fim parece bem provável que acabe sendo preso
    No fim do texto do Krebs também há uma imagem de mapa mental mostrando as conexões entre os apelidos

    • Se você perguntasse a um analista de inteligência, ele provavelmente diria que não existe algo como opsec troll
      Porque cada ação do alvo, inclusive ações de despistamento, vaza informações ou cria o risco de vazar
      Se a pessoa realmente estivesse no controle da situação, mesmo com 99% de certeza de que algo é falso, poderia fazer o adversário continuar gastando recursos para verificar; então não queimaria o próprio disfarce
      Especialmente se construiu essa persona por muito tempo e está sendo rastreada, faria muito mais sentido simplesmente sumir e planejar recomeçar com uma nova persona
    • Isso é o que se chama de história de disfarce duplo, uma técnica clássica de evasão usada quando alguém é pego ou exposto
    • É melhor não acreditar no que diz alguém que não é confiável
      Não se deve incluir o que essa pessoa disse na avaliação dos fatos; é preciso olhar apenas para provas verificáveis
    • O simples fato de criar vários apelidos com o mesmo tema parece uma segurança operacional ruim
      Se a intenção era criar iscas, talvez fosse melhor usar perfis diferentes, como um militar americano, um russo e um africano
  • Parece bem fácil para o governo estreitar o escopo
    Bastaria verificar os logs das pessoas que fizeram candidatura à NSA por volta da data em que a captura de tela foi publicada e cruzar com quem esteve ou está na Coreia; a lista provavelmente ficaria bem curta
    Essa pessoa parece arrogante, e arrogância leva à imprudência, então acho que será pega

    • Talvez tenha batido às pressas à porta da NSA justamente por saber que será pega em breve
      De todo modo, talvez a NSA ainda a aceite
  • Uma fala do tipo “procure ‘kiberphant0m’ no Google entre aspas. Eu espero. Mais de 50 artigos, e invadi mais de 15 operadoras. Tenho os números IMSI de todos registrados na Verizon, Tmobile, ATNT e Verifone” é um autoaniquilamento nível SBF
    É questão de tempo até ser pego, e as agências federais provavelmente vão acabar com esse palhaço de vez

    • Eu preferiria ver acabarem com as mais de 15 operadoras que entregaram “os números IMSI de todos registrados na Verizon, Tmobile, ATNT e Verifone”
      Afinal, elas devem ter concluído que era mais barato serem invadidas do que investir em segurança
  • O trecho em que, quando Kiberphant0m entrou no canal Dstat, outro usuário disse “hi buttholio” e Kiberphant0m respondeu “wsg” parece meio azarado para ele
    Teria sido melhor se ele tivesse feito uma referência mais clara a Beavis and Butt-Head
    Se o nome de usuário fosse “Cornholio” ou “Bungholio”, poderia ser lido simplesmente como uma referência direta ao programa, tornando um pouco mais plausível negar qualquer relação com outra conta

    • Passou de “nunca poderão me pegar” para “não, o Hacker News está discutindo minha identidade de hacker de elite que é... deixa eu ver aqui... Buttholio. Será que eu deveria ter refinado melhor o nome?”
  • Em breve talvez descubramos o quão bem a NSA normaliza bancos de dados
    É hora de mostrar o esquema

  • Talvez dê para descobrir algo olhando os horários de postagem dessa pessoa, especialmente um histograma de fusos horários das postagens que responderam a textos imediatamente anteriores
    Isso indicaria que ela estava acordada, não apenas respondendo com atrasos artificiais
    Krebs certamente conhece técnicas de análise por fuso horário; fico curioso se ele não verificou ou se não chegou a uma conclusão

    • Não sei se isso funciona quando não se trata de alguém que faz isso recebendo salário das 9h às 17h
      Entre pessoas que passam tempo demais no computador, muitas têm padrões de sono totalmente destruídos e podem parecer ativas em um fuso horário completamente diferente
  • É uma sorte que esses cibercriminosos independentes sejam tão arrogantes a ponto de cometer os erros mais básicos de segurança operacional e se expor

  • As conexões que Krebs ou a Unit 221B encontraram e as informações que juntaram foram realmente fascinantes; parecia ler um romance policial
    Essa pessoa parece acabada, e só a data da candidatura à NSA provavelmente já bastaria para praticamente identificá-la

    • 221B é uma referência à 221B Baker Street, onde Sherlock Holmes morava
    • Com dados suficientes, fico curioso para saber quanto desse tipo de rastreamento hoje poderia ser automatizado com um bom prompt para LLM
      Fazer manualmente leva uma quantidade enorme de tempo
  • Esse sujeito tem muita audácia
    Se um civil é pego por atividades ilegais, tem direito a um julgamento justo com um júri de seus pares, mas, se um militar é pego fazendo a mesma coisa, a corte marcial é quase uma formalidade, e na prática ele vai direto para a prisão por muito tempo

    • Ao entrar para as Forças Armadas, a pessoa abre mão de seus direitos civis?
      Fico me perguntando se isso é explicado claramente às pessoas quando elas se alistam
  • É muito difícil ser criminoso em grande escala
    Um único erro basta para comprometer tudo, há milhões de oportunidades de errar e milhões de chances de um investigador acertar por sorte

    • Verdade, mas só ouvimos falar dos que cometeram erros
      Fico curioso para saber qual é, de fato, a proporção de criminosos presos por causa de segurança operacional falha