GN⁺: 스노우플레이크 협박 해커, 미군일 가능성

 (krebsonsecurity.com)
1P by neo 5시간전 | favorite | 댓글과 토론

  • 두 명의 남성이 클라우드 데이터 저장 회사 Snowflake를 이용하는 여러 기업의 데이터를 훔치고 협박한 혐의로 체포되었음. 그러나 세 번째 용의자인 Kiberphant0m이라는 해커는 여전히 활동 중이며 피해자들을 공개적으로 협박하고 있음. Kiberphant0m의 신원은 미국 육군 병사로, 최근 한국에 주둔했을 가능성이 있음.

  • Kiberphant0m은 여러 사이버 범죄 포럼과 Telegram, Discord 채널에서 Snowflake 고객의 데이터를 판매하고 있음. 2023년 말, 해커들은 많은 기업이 민감한 고객 데이터를 Snowflake 계정에 업로드했으며, 이 계정들이 단순한 사용자 이름과 비밀번호로만 보호되고 있다는 사실을 발견했음.

  • 해커들은 Snowflake 계정 자격 증명을 도난당한 후, 세계 최대 기업들의 데이터 저장소를 침입하기 시작했음. 이 중에는 AT&T도 포함되어 있으며, AT&T는 약 1억 1천만 명의 개인 정보와 전화 및 문자 메시지 기록이 도난당했다고 7월에 공개했음.

  • 캐나다 당국은 10월 30일 Alexander Moucka를 체포했으며, 그는 Snowflake 해킹과 관련된 20건의 범죄 혐의로 기소되었음. 또 다른 용의자인 John Erin Binns는 현재 터키에서 수감 중임.

  • Kiberphant0m은 Moucka의 체포 소식이 전해진 직후, 해커 커뮤니티 BreachForums에 AT&T의 도널드 J. 트럼프 대통령 당선인과 카말라 해리스 부통령의 통화 기록을 게시하며 협박했음.

  • Kiberphant0m은 또한 Verizon의 푸시 투 토크(PTT) 고객의 통화 기록을 판매하고 있으며, Verizon PTT 고객을 대상으로 하는 "SIM 스와핑" 서비스를 제공하고 있음.

‘BUTTHOLIO’ 소개

  • Kiberphant0m은 2024년 1월 BreachForums에 가입했으며, Discord와 Telegram 채널에서의 활동은 최소 2022년 초부터 시작되었음. BreachForums에서 첫 게시물에서 Telegram 핸들 @cyb3rph4nt0m으로 연락할 수 있다고 밝힘.

  • @cyb3rph4nt0m은 2024년 1월 이후 4,200개 이상의 메시지를 게시했으며, 많은 메시지는 IoT 봇넷에 호스트 머신을 감염시키는 악성 소프트웨어를 배포할 사람을 모집하려는 시도였음.

  • Kiberphant0m은 BreachForums에서 Mirai 악성 소프트웨어를 기반으로 한 Linux DDoS 봇넷 " Shi-Bot "의 소스 코드를 판매했음.

‘REVERSESHELL’

  • @Kiberphant0m은 Telegram ID 6953392511로 지정되었으며, Flashpoint의 데이터에 따르면 2024년 1월 4일 Dstat 채널에 게시했음. 이 채널은 DDoS 공격을 수행하고 DDoS 대여 서비스를 판매하는 사이버 범죄자들이 모여 있음.

  • Flashpoint의 데이터에 따르면 @kiberphant0m은 2024년 4월 10일 Dstat의 다른 회원에게 자신의 대체 Telegram 사용자 이름이 " @reverseshell "이라고 밝힘.

  • 2022년 11월 15일, @reverseshell은 Telegram 채널 Cecilio Chat에서 자신이 미 육군 병사라고 밝힘.

PROMAN AND VARS_SECC

  • Flashpoint는 Telegram ID 5408575119가 2022년부터 Reverseshell 및 Proman557이라는 여러 별칭을 사용했다고 밝힘.

  • Intel 471은 Proman557이라는 이름이 2022년 러시아어 해킹 포럼 Exploit에서 다양한 Linux 기반 봇넷 악성 소프트웨어를 판매한 사람 중 하나라고 밝힘.

BUG BOUNTIES

  • Vars_Secc는 2023년 5월 Telegram에서 HackerOne을 통해 소프트웨어 결함에 대한 보고서를 제출하여 돈을 벌었다고 주장했음. HackerOne은 기술 회사가 제품 및 서비스의 보안 취약점에 대한 보고서를 처리하도록 돕는 회사임.

  • Vars_Secc는 reddit.com, 미국 국방부, Coinbase 등 30개 이상의 회사에서 버그 바운티를 받았다고 주장했음.

  • Kiberphant0m의 여러 정체성은 그가 최근까지 한국에 주둔한 미 육군 병사일 가능성을 강하게 시사함. Kiberphant0m의 다른 정체성은 군 계급, 연대, 또는 전문성을 언급하지 않았으나, 그의 컴퓨터 및 네트워킹 능력이 군대에서 주목받았을 가능성이 있음.