Le hacker de l’extorsion liée à Snowflake pourrait être un soldat américain

• Deux hommes ont été arrêtés pour avoir prétendument volé les données de plusieurs entreprises utilisant la société de stockage de données cloud Snowflake et les avoir extorquées. Mais un troisième suspect, un hacker nommé Kiberphant0m, reste actif et menace publiquement ses victimes. L’identité de Kiberphant0m pourrait être celle d’un soldat de l’armée américaine, récemment stationné en Corée du Sud.

• Kiberphant0m vend les données de clients Snowflake sur plusieurs forums de cybercriminalité ainsi que sur des canaux Telegram et Discord. Fin 2023, les hackers ont découvert que de nombreuses entreprises avaient téléversé des données clients sensibles sur des comptes Snowflake, protégés uniquement par un simple nom d’utilisateur et mot de passe.

• Après avoir mis la main sur des identifiants de comptes Snowflake volés, les hackers ont commencé à pénétrer dans les dépôts de données de certaines des plus grandes entreprises mondiales. Parmi elles figurait AT&T, qui a révélé en juillet que les informations personnelles d’environ 110 millions de personnes, ainsi que des relevés d’appels et de SMS, avaient été volés.

• Les autorités canadiennes ont arrêté Alexander Moucka le 30 octobre, et il a été inculpé de 20 chefs d’accusation liés au piratage de Snowflake. Un autre suspect, John Erin Binns, est actuellement détenu en Turquie.

• Peu après l’annonce de l’arrestation de Moucka, Kiberphant0m a publié sur la communauté de hackers BreachForums les relevés d’appels du président élu Donald J. Trump et de la vice-présidente Kamala Harris, dans une nouvelle tentative d’extorsion contre AT&T.

• Kiberphant0m vend également les relevés d’appels des clients push-to-talk (PTT) de Verizon et propose un service de « SIM swapping » visant les clients Verizon PTT.

Présentation de « BUTTHOLIO »

• Kiberphant0m a rejoint BreachForums en janvier 2024, et son activité sur des canaux Discord et Telegram remonte au moins au début de l’année 2022. Dans son premier message sur BreachForums, il indiquait qu’on pouvait le contacter via le handle Telegram @cyb3rph4nt0m.

• @cyb3rph4nt0m a publié plus de 400 messages depuis janvier 2024, dont beaucoup semblaient viser à recruter des personnes pour déployer des malwares infectant des machines hôtes au sein d’un botnet IoT.

• Kiberphant0m a vendu sur BreachForums le code source de « Shi-Bot », un botnet Linux de DDoS basé sur le malware Mirai.

« REVERSESHELL »

• @Kiberphant0m était associé à l’identifiant Telegram 6953392511 et, selon les données de Flashpoint, a publié le 4 janvier 2024 sur le canal Dstat. Ce canal rassemble des cybercriminels qui mènent des attaques DDoS et vendent des services de DDoS à la demande.

• Selon les données de Flashpoint, @kiberphant0m a indiqué à un autre membre de Dstat, le 10 avril 2024, que son autre nom d’utilisateur Telegram était « @reverseshell ».

• Le 15 novembre 2022, @reverseshell a déclaré sur le canal Telegram Cecilio Chat qu’il était soldat dans l’armée américaine.

PROMAN ET VARS_SECC

• Flashpoint indique que l’identifiant Telegram 5408575119 utilisait depuis 2022 plusieurs alias, dont Reverseshell et Proman557.

• Intel 471 indique que le nom Proman557 appartenait à l’une des personnes qui vendaient sur le forum de hacking russophone Exploit divers malwares de botnet basés sur Linux en 2022.

BUG BOUNTIES

• Vars_Secc a affirmé sur Telegram en mai 2023 avoir gagné de l’argent en soumettant via HackerOne des rapports sur des failles logicielles. HackerOne est une société qui aide les entreprises technologiques à traiter les signalements de vulnérabilités de sécurité dans leurs produits et services.

• Vars_Secc a affirmé avoir reçu des bug bounties de plus de 30 organisations, dont reddit.com, le département de la Défense des États-Unis et Coinbase.

• Les multiples identités de Kiberphant0m suggèrent fortement qu’il pourrait s’agir d’un soldat de l’armée américaine, stationné jusqu’à récemment en Corée du Sud. Ses autres identités ne mentionnaient ni grade militaire, ni régiment, ni spécialité, mais ses compétences en informatique et en réseaux ont pu être remarquées dans le cadre de son service militaire.