Le hacker maître chanteur dans l’affaire Snowflake pourrait être un militaire américain
(krebsonsecurity.com)- Même après l’arrestation de deux personnes dans l’affaire de vol de données et d’extorsion visant des clients de Snowflake, le suspect toujours en fuite, Kiberphant0m, continue de faire pression sur les victimes via plusieurs identités en ligne
- Les attaquants ont profité, fin 2023, du fait que de nombreuses entreprises protégeaient leurs comptes Snowflake hébergeant d’importants volumes de données sensibles avec seulement un nom d’utilisateur et un mot de passe, sans authentification multifacteur
- Parmi les entreprises touchées figure AT&T ; en juillet, l’opérateur a révélé le vol de données personnelles et d’historiques d’appels et de SMS concernant environ 110 millions de personnes, et des informations ont également indiqué qu’un paiement de 370 000 dollars avait été effectué pour faire supprimer les relevés d’appels volés
- Des comptes liés à Kiberphant0m ont fait la promotion, sur BreachForums, Telegram et Discord, de la vente de données Snowflake, de botnets DDoS, de SIM swapping et de la vente d’accès à des serveurs gouvernementaux et d’opérateurs télécoms
- Plusieurs alias sont reliés à l’armée américaine, à une présence en Corée du Sud, à South Korea Telecom, au Wi‑Fi d’une base militaire et à un écran de candidature à la NSA, mais Kiberphant0m nie tout service dans l’armée américaine et tout séjour en Corée, affirmant qu’il s’agissait de fausses identités construites de longue date
Le suspect toujours en fuite dans l’affaire d’extorsion Snowflake
- Deux personnes ont été arrêtées pour le vol de données de clients Snowflake et les tentatives d’extorsion, mais un troisième individu, connu sous le nom de Kiberphant0m, n’a toujours pas été arrêté et menace publiquement des victimes
- De nombreux échanges retrouvés sur des forums de cybercriminalité, Telegram et Discord laissent penser que cette personne pourrait avoir été soldat dans l’armée américaine ou avoir été récemment stationnée en Corée du Sud
- Fin 2023, les attaquants ont découvert que de nombreuses entreprises déposaient de grandes quantités de données clients sensibles dans leurs comptes Snowflake sans exiger d’authentification multifacteur
- Ils ont ensuite recherché sur des places de marché du dark web des identifiants Snowflake volés pour pénétrer dans les dépôts de données de grandes entreprises du monde entier
Impact chez AT&T et arrestation des suspects déjà identifiés
- Parmi les entreprises visées, AT&T a révélé en juillet que des cybercriminels avaient volé les données personnelles et les historiques d’appels et de SMS d’environ 110 millions de personnes
- Selon Wired, AT&T a versé 370 000 dollars à des hackers pour faire supprimer les relevés d’appels volés
- Le 30 octobre, les autorités canadiennes ont arrêté Alexander Moucka, alias Connor Riley Moucka, à Kitchener, en Ontario, en vertu d’un mandat d’arrêt provisoire américain
- Les États-Unis l’ont ensuite inculpé de 20 chefs d’accusation liés aux intrusions Snowflake
- Un autre suspect dans le piratage de Snowflake, John Erin Binns, est un Américain détenu en Turquie
- Les enquêteurs estiment que Moucka utilisait les pseudonymes Judische et Waifu, et qu’il avait chargé Kiberphant0m de vendre les données des clients Snowflake qui n’avaient pas payé de rançon
Des menaces publiques qui ont continué après les arrestations
- Peu après l’annonce de l’arrestation de Moucka, Kiberphant0m a publié sur BreachForums des données qu’il présentait comme les relevés d’appels AT&T du président élu Donald J. Trump et de la vice-présidente Kamala Harris
- Le même jour, il a aussi publié des données qu’il présentait comme un « data schema » de la U.S. National Security Agency
- Le 5 novembre, il a proposé à la vente des historiques d’appels de clients Verizon PTT, principalement des agences gouvernementales américaines et des services de secours
- Le 9 novembre, il a publié sur BreachForums une annonce vendant un service de SIM swapping visant des clients Verizon PTT
- Le SIM swapping consiste à utiliser des identifiants obtenus par phishing ou volés à des employés d’un opérateur mobile pour rediriger les appels et SMS d’une cible vers un appareil contrôlé par l’attaquant
Liens entre Buttholio, Kiberphant0m et Shi-Bot
- Kiberphant0m s’est inscrit sur BreachForums en janvier 2024 et indiquait dans son premier message qu’on pouvait le contacter via le compte Telegram @cyb3rph4nt0m
- Le compte @cyb3rph4nt0m a publié plus de 4 200 messages depuis janvier 2024, dont beaucoup cherchaient à recruter des personnes pour diffuser un malware infectant des hôtes afin d’alimenter un botnet IoT
- Sur BreachForums, il vendait le code source de Shi-Bot, un botnet DDoS Linux personnalisé basé sur Mirai
- Avant que l’attaque Snowflake ne soit rendue publique en mai, les annonces de vente de Kiberphant0m sur BreachForums étaient peu nombreuses, et une part importante concernait des bases de données volées à des entreprises coréennes
- Le 5 juin 2024, un utilisateur nommé « Buttholio » a rejoint Comgirl, un canal Telegram lié aux arnaques, en affirmant être Kiberphant0m
- Cet utilisateur disait de chercher « kiberphant0m » sur Google, affirmant qu’il existait plus de 50 articles à son sujet et plus de 15 compromissions d’opérateurs télécoms
- Il affirmait aussi posséder les numéros IMSI de toutes les personnes enregistrées chez Verizon, T-Mobile, AT&T et Verifone
Des échanges qui mènent à l’hypothèse d’un militaire américain basé en Corée
- Le 17 septembre 2023, Buttholio a déclaré sur un Discord de joueurs de Escape from Tarkov qu’il y avait très peu d’extract campers ou de cheaters sur les serveurs coréens
- Le même jour, dans un autre message, il expliquait avoir acheté le jeu aux États-Unis mais jouer sur les serveurs asiatiques
- Il a laissé entendre qu’il était u.s. soldier, qu’il avait acheté le jeu aux États-Unis mais devait utiliser les serveurs asiatiques en raison d’une rotation de déploiement
- Le compte @Kiberphant0m, lié à l’ID Telegram 6953392511, apparaît aussi sur Dstat, un canal Telegram lié aux DDoS
- Lorsque Kiberphant0m s’est connecté à Dstat, un autre utilisateur a dit « hi buttholio », et Kiberphant0m a répondu « wsg »
- Le site de Dstat, dstat[.]cc, a été saisi le 1er novembre dans le cadre de l’opération internationale Operation PowerOFF
Le compte Reverseshell et les propos liés au milieu militaire
- Selon des données de Flashpoint, @kiberphant0m a indiqué en avril 2024, sur les canaux Telegram Dstat et The Jacuzzi, qu’un autre de ses pseudos Telegram était @reverseshell
- Le compte @reverseshell a pour ID Telegram 5408575119
- Le 15 novembre 2022, @reverseshell a déclaré sur le canal Telegram Cecilio Chat qu’il était soldat dans la U.S. Army
- Il a aussi partagé une photo montrant un pantalon d’uniforme militaire et un sac à dos camouflage
- En septembre 2022, un autre utilisateur a menacé de lancer une attaque DDoS contre l’adresse IP de Reverseshell ; après l’attaque, Reverseshell a répondu en substance que l’attaquant avait frappé le Wi‑Fi sous contrat d’une base militaire
- Dans une conversation d’octobre 2022, il se vantait de la vitesse des serveurs qu’il utilisait et répondait qu’il passait par South Korea Telecom pour son accès Internet
- Le 23 août 2022, Reverseshell a affirmé qu’il revendait des identifiants valides de serveurs Internet trouvés avec des outils automatisés
- Il affirmait s’être introduit, à l’aide d’identifiants par défaut, dans des serveurs du gouvernement américain, des serveurs de contrôle des télécoms, des usines et des serveurs d’un FAI russe
- Le 29 juillet 2023, il a publié une capture d’écran d’une page de connexion d’un grand sous-traitant américain de la défense et affirmé vendre des identifiants d’une entreprise aérospatiale
Proman557, Vars_Secc et l’historique de vente de botnets
- L’ID Telegram 5408575119 a utilisé plusieurs alias depuis 2022, dont Reverseshell et Proman557
- Intel 471 a vérifié qu’un utilisateur « Proman554 » sur Hackforums s’était inscrit en septembre 2022 et avait indiqué à un autre utilisateur qu’il pouvait le contacter sur Telegram via le compte Buttholio
- Proman557 était l’un des nombreux alias ayant vendu des malwares de botnet Linux sur le forum de hacking russophone Exploit
- Proman557 a été banni pour une arnaque de 350 dollars, et les administrateurs d’Exploit ont averti que cet utilisateur s’était aussi inscrit sous plusieurs autres pseudos, dont Vars_Secc
- L’activité Telegram de Vars_Secc était centrée sur les jeux en ligne, l’exploitation de botnets DDoS et la promotion de la vente ou de la location de botnets
- Vars_Secc listait parmi les usages de ses botnets les attaques contre des serveurs, les DDoS pour récupérer des objets en jeu, les vulnérabilités RCE de désynchronisation côté serveur, l’extorsion et le divertissement
Vente d’accès à des serveurs gouvernementaux et télécoms
- En juin 2023, Vars_Secc a déclaré sur le canal SecHub qu’il était actif depuis quatre ans et que les gouvernements ne paieraient pas des millions de dollars à l’opérateur d’un « botnet DDoS sans intérêt »
- Pendant plusieurs mois en 2023, Vars_Secc a été actif sur le forum criminel russophone XSS, où il vendait un accès à des serveurs du gouvernement américain pour 2 000 dollars
- Il a ensuite été banni de XSS après avoir tenté de vendre un accès à l’opérateur russe Rostelecom
- Les forums criminels basés en Russie interdisent généralement le piratage d’institutions ou de citoyens russes, ainsi que la vente de leurs données
- Le 20 juin 2023, Vars_Secc a publié sur le forum Ramp 2.0 une annonce intitulée « Selling US Gov Financial Access »
- Il y proposait un accès à des serveurs internes du réseau, 3 à 5 connexions subroute, au prix de 1 250 dollars
- Le même mois, il a aussi indiqué sur Ramp vendre un accès à des serveurs internes du « Vietnam government Internet Network Information Center » pour 500 dollars
Bug bounty et faille chez Naver
- En mai 2023, Vars_Secc a affirmé sur Telegram gagner de l’argent en signalant des failles logicielles via HackerOne
- Il disait avoir reçu des récompenses de bug bounty de plus de 30 organisations, dont reddit.com, le département américain de la Défense et Coinbase
- Un mois plus tôt, il avait affirmé avoir empoisonné le cache de reddit.com et vouloir pousser l’exploitation plus loin avant de le signaler à Reddit
- HackerOne a répondu qu’une enquête serait menée sur ces affirmations
- Le pseudo Telegram de Vars_Secc affirmait aussi être détenu par Boxfan, membre de BreachForums
- Selon Intel 471, la signature des premiers messages de Boxfan sur BreachForums contenait le compte Telegram de Vars_Secc
- En janvier 2024, Boxfan a publié sur BreachForums une faille de sécurité concernant le moteur de recherche coréen Naver
- Ce message contenait de fortes expressions négatives à l’égard de la culture coréenne
Démentis et zones d’ombre persistantes
- Les multiples identités liées à Kiberphant0m suggèrent fortement que cette personne a été soldat de l’armée américaine ou a été stationnée en Corée du Sud jusqu’à récemment
- Les alias associés ne mentionnent toutefois ni grade militaire, ni régiment, ni spécialité
- Le 1er avril 2023, Vars_Secc a publié sur un canal Telegram public une capture d’écran du site de la NSA qui ressemblait à un écran de candidature à un poste au sein de l’agence
- La NSA n’a pas encore répondu aux demandes de commentaire
- Contacté via Telegram, Kiberphant0m a reconnu que ses anciens alias avaient été mis au jour, mais a nié tout service dans l’armée américaine et toute présence en Corée
- Il a affirmé qu’il s’agissait d’un faux persona élaboré de longue date et d’un « Epic opsec troll »
- Interrogé sur le risque d’être arrêté, il a déclaré : « Je ne peux littéralement pas me faire arrêter » et a affirmé ne pas vivre aux États-Unis
1 commentaires
Avis sur Hacker News
Si Kiberphant0m était vraiment un personnage fictif destiné à tromper les enquêteurs, je ne pense pas qu’il l’aurait jamais admis
Ça ressemble à quelqu’un qui improvise une excuse après s’être fait démasquer, et il a l’air de finir par se faire prendre
À la fin de l’article de Krebs, il y a aussi une image de mind map montrant les liens entre les pseudonymes
Parce que tout ce que fait une cible, y compris les manœuvres de diversion, laisse fuiter de l’information ou crée un risque d’en laisser fuiter
Si l’on maîtrise réellement la situation, même en étant sûr à 99 % que c’est faux, on peut continuer à forcer l’adversaire à dépenser des ressources pour vérifier ; on ne grille donc pas soi-même sa couverture
Surtout si l’on a construit ce persona depuis longtemps et qu’on est traqué, il serait bien plus plausible de simplement disparaître puis de prévoir de recommencer avec un nouveau persona
Il ne faut pas intégrer ses déclarations dans l’évaluation des faits, seulement regarder les preuves vérifiables
Si le but était de créer un appât, il aurait probablement mieux valu utiliser des profils distincts, par exemple un militaire américain, un Russe, un Africain, etc.
Il semble assez facile pour le gouvernement de réduire le champ
Il suffit de vérifier les logs des personnes ayant déposé une candidature à la NSA autour de la date où la capture d’écran a été publiée, puis de les croiser avec celles qui étaient ou sont en Corée ; la liste devrait devenir assez courte
Cette personne semble arrogante, et l’arrogance mène vite à l’imprudence, donc je pense qu’elle se fera prendre
Après tout, la NSA pourrait quand même le recruter
Des déclarations du genre « Cherche ‘kiberphant0m’ entre guillemets sur Google. J’attends. Plus de 50 articles, et j’ai piraté plus de 15 opérateurs télécoms. J’ai les numéros IMSI de toutes les personnes enregistrées chez Verizon, Tmobile, ATNT, Verifone » relèvent de l’auto-sabotage niveau SBF
Ce n’est qu’une question de temps avant qu’il se fasse prendre, et les agences fédérales vont probablement étrangler ce clown comme il faut
Ils ont sans doute jugé qu’il coûtait moins cher de se faire pirater que d’investir dans la sécurité
Le passage où Kiberphant0m se connecte au canal Dstat, où un autre utilisateur lui dit « hi buttholio », puis où Kiberphant0m répond « wsg », semble assez malchanceux pour lui
Il aurait mieux valu mieux maîtriser la référence à Beavis and Butt-Head
Si le nom d’utilisateur avait été « Cornholio » ou « Bungholio », cela aurait pu se lire comme une simple référence directe à la série, et son démenti d’un lien avec un autre compte aurait été un peu plus crédible
On va bientôt savoir à quel point la NSA normalise bien ses bases de données
Il est temps de montrer le schéma
En regardant ses heures de publication, en particulier l’histogramme des fuseaux horaires des messages répondant à des posts juste précédents, on pourrait peut-être en tirer quelque chose
Ce serait un signal qu’il était éveillé, et non qu’il avait artificiellement retardé ses réponses
Krebs connaît sûrement les techniques d’analyse des fuseaux horaires ; je me demande s’il ne les a pas vérifiées ou si elles n’ont rien donné
Beaucoup de gens qui restent trop longtemps devant leur ordinateur ont des rythmes de sommeil complètement détruits et pourraient sembler actifs dans un fuseau horaire totalement différent
Heureusement que ces cybercriminels indépendants sont assez arrogants pour commettre les erreurs les plus basiques de sécurité opérationnelle et s’exposer eux-mêmes
Les liens que Krebs ou Unit 221B ont trouvés, et les informations qu’ils ont assemblées, étaient vraiment fascinants ; on avait l’impression de lire un roman policier
Cette personne semble fichue, et la seule date de candidature à la NSA suffira pratiquement à l’identifier
À la main, cela prend énormément de temps
Cette personne a un sacré culot
Si un civil est pris pour des actes illégaux, il a droit à un procès équitable avec un jury composé de ses pairs, mais si un militaire se fait prendre à faire la même chose, le tribunal militaire est presque une formalité et il finit en pratique directement en prison pour très longtemps
Je me demande si cela est clairement expliqué aux gens au moment de l’engagement
C’est trop difficile de devenir un criminel de grande envergure
Il suffit d’une seule erreur pour se faire compromettre, et il y a des millions d’occasions de se tromper, ainsi que des millions d’occasions pour les enquêteurs de tomber juste par chance
Je me demande quelle proportion de criminels se fait réellement attraper à cause d’une sécurité opérationnelle médiocre