Hacker tống tiền Snowflake có thể là quân nhân Mỹ
(krebsonsecurity.com)- Ngay cả sau khi 2 người bị bắt trong vụ đánh cắp dữ liệu và tống tiền khách hàng của Snowflake, nghi phạm chưa bị bắt Kiberphant0m vẫn tiếp tục gây sức ép với các nạn nhân thông qua nhiều danh tính trực tuyến
- Cuối năm 2023, những kẻ tấn công đã nhắm vào việc tài khoản Snowflake của nhiều doanh nghiệp chỉ được bảo vệ bằng tên người dùng và mật khẩu mà không có xác thực đa yếu tố, rồi xâm nhập vào kho dữ liệu của các tập đoàn lớn
- Các công ty bị ảnh hưởng có cả AT&T; hồi tháng 7, AT&T công bố dữ liệu cá nhân cùng lịch sử cuộc gọi và tin nhắn của khoảng 110 triệu người đã bị đánh cắp, đồng thời cũng có thông tin cho rằng 370.000 USD đã được trả để đổi lấy việc xóa lịch sử cuộc gọi bị đánh cắp
- Các tài khoản liên quan đến Kiberphant0m đã quảng bá trên BreachForums, Telegram và Discord việc bán dữ liệu Snowflake, botnet DDoS, hoán đổi SIM, cũng như quyền truy cập máy chủ của chính phủ và nhà mạng
- Nhiều bí danh có liên hệ với Lục quân Mỹ, việc đồn trú tại Hàn Quốc, South Korea Telecom, Wi-Fi căn cứ quân sự và màn hình hỗ trợ NSA, nhưng Kiberphant0m phủ nhận việc phục vụ trong quân đội Mỹ và từng ở Hàn Quốc, đồng thời nói đó là một danh tính giả được tạo từ lâu
Nghi phạm chưa bị bắt trong vụ tống tiền Snowflake
- Dù 2 người đã bị bắt với cáo buộc đánh cắp và tống tiền bằng dữ liệu khách hàng của Snowflake, nhân vật thứ ba được biết đến với tên Kiberphant0m vẫn chưa bị bắt và đang công khai đe dọa các nạn nhân
- Nhiều bản ghi trò chuyện còn lưu trên các diễn đàn tội phạm mạng, Telegram và Discord cho thấy người này có thể từng là binh sĩ Lục quân Mỹ hoặc cho đến gần đây vẫn đồn trú tại Hàn Quốc
- Cuối năm 2023, những kẻ tấn công phát hiện nhiều doanh nghiệp đưa lượng lớn dữ liệu khách hàng nhạy cảm lên tài khoản Snowflake nhưng không yêu cầu xác thực đa yếu tố
- Sau đó, chúng tìm thông tin đăng nhập tài khoản Snowflake bị đánh cắp trên các chợ darknet và xâm nhập kho dữ liệu của các tập đoàn lớn trên thế giới
Thiệt hại của AT&T và việc bắt giữ các nghi phạm trước đó
- Một trong các công ty bị ảnh hưởng, AT&T, hồi tháng 7 tiết lộ rằng tội phạm mạng đã đánh cắp dữ liệu cá nhân cùng lịch sử cuộc gọi và tin nhắn của khoảng 110 triệu người
- Theo Wired, AT&T đã trả cho hacker 370.000 USD để xóa lịch sử cuộc gọi bị đánh cắp
- Ngày 30/10, nhà chức trách Canada đã bắt Alexander Moucka ở Kitchener, Ontario, còn có bí danh Connor Riley Moucka, theo lệnh bắt giữ tạm thời của Mỹ
- Sau đó, Mỹ truy tố người này với 20 tội danh liên quan đến vụ xâm nhập Snowflake
- Một nghi phạm khác trong vụ hack Snowflake, John Erin Binns, là công dân Mỹ đang bị giam tại Thổ Nhĩ Kỳ
- Các điều tra viên cho rằng Moucka dùng các handle Judische, Waifu, và đã giao cho Kiberphant0m bán dữ liệu của những khách hàng Snowflake không trả tiền chuộc
Những lời đe dọa công khai tiếp diễn sau các vụ bắt giữ
- Ngay sau tin Moucka bị bắt, Kiberphant0m đã đăng trên BreachForums dữ liệu mà hắn tuyên bố là lịch sử cuộc gọi AT&T của Tổng thống đắc cử Donald J. Trump và Phó tổng thống Kamala Harris
- Cùng ngày, hắn cũng đăng dữ liệu mà hắn tuyên bố là “data schema” của U.S. National Security Agency
- Ngày 5/11, hắn đề nghị bán lịch sử cuộc gọi của khách hàng Verizon PTT, chủ yếu là các cơ quan chính phủ Mỹ và lực lượng ứng cứu khẩn cấp
- Ngày 9/11, hắn đăng bài trên BreachForums bán dịch vụ hoán đổi SIM nhắm vào khách hàng Verizon PTT
- Hoán đổi SIM là phương thức dùng thông tin đăng nhập bị lừa đảo hoặc đánh cắp từ nhân viên nhà mạng để chuyển cuộc gọi và tin nhắn của mục tiêu sang thiết bị do kẻ tấn công kiểm soát
Mối liên hệ giữa Buttholio, Kiberphant0m và Shi-Bot
- Kiberphant0m gia nhập BreachForums vào tháng 1/2024, và trong bài đăng đầu tiên nói có thể liên hệ qua handle Telegram @cyb3rph4nt0m
- Tài khoản @cyb3rph4nt0m đã đăng hơn 4.200 tin nhắn kể từ tháng 1/2024; nhiều tin trong số đó nhằm tuyển người phát tán mã độc để lây nhiễm host vào botnet IoT
- Trên BreachForums, hắn bán mã nguồn Shi-Bot, một botnet DDoS Linux tùy biến dựa trên Mirai
- Trước khi các vụ tấn công Snowflake được công khai vào tháng 5, Kiberphant0m không có nhiều bài rao bán trên BreachForums, và nhiều bài liên quan đến cơ sở dữ liệu bị đánh cắp từ các công ty Hàn Quốc
- Ngày 5/6/2024, trong kênh Telegram liên quan đến lừa đảo Comgirl, một người dùng tên “Buttholio” tham gia và tự nhận mình là Kiberphant0m
- Người này bảo mọi người tìm “kiberphant0m” trên Google và tuyên bố có hơn 50 bài báo cùng hơn 15 vụ xâm nhập nhà mạng
- Người này cũng nói có số IMSI của mọi người đăng ký với Verizon, T-Mobile, AT&T và Verifone
Bản ghi trò chuyện dẫn tới dấu hiệu quân nhân Mỹ đồn trú tại Hàn Quốc
- Ngày 17/9/2023, Buttholio nói trong Discord của người chơi Escape from Tarkov rằng máy chủ Hàn Quốc gần như không có extract camper hay cheater
- Trong một tin nhắn khác cùng ngày, người này giải thích rằng mình mua game ở Mỹ nhưng chơi trên máy chủ châu Á
- Người này để lại thông điệp với ý rằng mình là u.s. soldier, nên đã mua ở Mỹ nhưng phải dùng máy chủ châu Á do luân chuyển đơn vị
- Tài khoản @Kiberphant0m liên kết với Telegram ID 6953392511 cũng xuất hiện trong kênh Telegram liên quan đến DDoS Dstat
- Khi Kiberphant0m vào Dstat, một người dùng khác nói “hi buttholio”, và Kiberphant0m trả lời “wsg”
- Website Dstat dstat[.]cc bị tịch thu ngày 1/11 trong khuôn khổ chiến dịch thực thi pháp luật quốc tế Operation PowerOFF
Tài khoản Reverseshell và các phát ngôn liên quan đến quân đội
- Theo dữ liệu của Flashpoint, @kiberphant0m cho biết trên các kênh Telegram Dstat và The Jacuzzi vào tháng 4/2024 rằng tên người dùng Telegram khác của mình là @reverseshell
- Telegram ID của tài khoản @reverseshell là 5408575119
- Ngày 15/11/2022, @reverseshell nói trong kênh Telegram Cecilio Chat rằng mình là binh sĩ U.S. Army
- Người này cũng chia sẻ ảnh có quần quân phục và ba lô ngụy trang
- Tháng 9/2022, một người dùng khác đe dọa tấn công DDoS địa chỉ Internet của Reverseshell; khi cuộc tấn công xảy ra, Reverseshell đáp lại với ý rằng đối phương đã “đánh vào Wi-Fi hợp đồng của căn cứ quân sự”
- Trong một cuộc trò chuyện tháng 10/2022, người này khoe tốc độ máy chủ mình dùng và trả lời rằng đang dùng South Korea Telecom để truy cập Internet
- Ngày 23/8/2022, Reverseshell nói rằng mình đã dùng công cụ tự động để tìm thông tin đăng nhập hợp lệ của các máy chủ Internet rồi bán lại
- Người này tuyên bố đã dùng thông tin đăng nhập mặc định để xâm nhập máy chủ chính phủ Mỹ, máy chủ điều khiển viễn thông, nhà máy cơ khí, máy chủ ISP của Nga, v.v.
- Ngày 29/7/2023, người này đăng ảnh chụp màn hình trang đăng nhập của một nhà thầu quốc phòng lớn của Mỹ và tuyên bố bán thông tin đăng nhập của công ty hàng không vũ trụ
Proman557, Vars_Secc và lịch sử bán botnet
- Telegram ID 5408575119 đã dùng nhiều bí danh như Reverseshell và Proman557 kể từ năm 2022
- Intel 471 xác nhận có bản ghi cho thấy “Proman554” trên Hackforums đăng ký vào tháng 9/2022 và nói với người dùng khác rằng có thể liên hệ qua tài khoản Telegram Buttholio
- Proman557 là một trong nhiều bí danh từng bán mã độc botnet dựa trên Linux trên diễn đàn hacking tiếng Nga Exploit
- Proman557 bị cấm vì cáo buộc lừa đảo 350 USD, và quản trị viên Exploit cảnh báo rằng người dùng này từng đăng ký bằng nhiều nickname khác, trong đó có Vars_Secc
- Hoạt động Telegram của Vars_Secc tập trung vào game online, vận hành botnet DDoS, và quảng bá bán/cho thuê botnet
- Vars_Secc liệt kê các mục đích dùng botnet gồm tấn công máy chủ, DDoS để khôi phục vật phẩm trong game, lỗ hổng desync RCE phía máy chủ, tống tiền và giải trí
Bán quyền truy cập máy chủ chính phủ và viễn thông
- Tháng 6/2023, Vars_Secc nói trong kênh SecHub rằng mình đã hoạt động 4 năm, và chính phủ sẽ không trả hàng triệu USD cho kẻ vận hành “botnet DDoS vô nghĩa”
- Trong vài tháng của năm 2023, Vars_Secc hoạt động trên diễn đàn tội phạm tiếng Nga XSS và bán quyền truy cập máy chủ chính phủ Mỹ với giá 2.000 USD
- Sau đó người này bị cấm khỏi XSS khi cố bán quyền truy cập của nhà mạng Nga Rostelecom
- Các diễn đàn tội phạm có trụ sở tại Nga có quy định cấm hack các tổ chức hoặc công dân Nga, hoặc bán dữ liệu của họ
- Ngày 20/6/2023, Vars_Secc đăng bài bán hàng trên diễn đàn Ramp 2.0 với tiêu đề “Selling US Gov Financial Access”
- Bài đăng nêu quyền truy cập máy chủ nội bộ mạng, kết nối 3–5 subroute, giá 1.250 USD
- Cùng tháng, người này cũng đăng trên Ramp rằng bán quyền truy cập máy chủ nội bộ của “Vietnam government Internet Network Information Center” với giá 500 USD
Bug bounty và lỗ hổng Naver
- Tháng 5/2023, Vars_Secc tuyên bố trên Telegram rằng mình kiếm tiền bằng cách báo cáo lỗ hổng phần mềm thông qua HackerOne
- Người này nói đã nhận thưởng bug bounty từ hơn 30 nơi, gồm reddit.com, Bộ Quốc phòng Mỹ và Coinbase
- Một tháng trước đó, người này nói đã làm nhiễm bẩn cache của reddit.com và sẽ khai thác thêm rồi báo cáo cho reddit
- HackerOne trả lời rằng họ sẽ điều tra các tuyên bố liên quan
- Handle Telegram Vars_Secc cũng tự nhận là chủ sở hữu của thành viên BreachForums Boxfan
- Theo Intel 471, chữ ký trong các bài đăng ban đầu của Boxfan trên BreachForums có chứa tài khoản Telegram Vars_Secc
- Tháng 1/2024, Boxfan công bố một lỗ hổng bảo mật của công cụ tìm kiếm Hàn Quốc Naver trên BreachForums
- Bài đăng đó chứa những biểu đạt tiêu cực mạnh về văn hóa Hàn Quốc
Phủ nhận và những điểm còn bất định
- Nhiều danh tính liên quan đến Kiberphant0m cho thấy mạnh mẽ khả năng người này từng là binh sĩ Lục quân Mỹ hoặc cho đến gần đây vẫn đồn trú tại Hàn Quốc
- Các bí danh liên quan không nhắc đến quân hàm, trung đoàn hay chuyên môn quân sự
- Ngày 1/4/2023, Vars_Secc đăng ảnh chụp màn hình website NSA lên kênh Telegram công khai, trông giống màn hình cho thấy người này đã nộp đơn vào một vị trí nào đó tại NSA
- NSA chưa phản hồi yêu cầu bình luận
- Khi được liên hệ qua Telegram, Kiberphant0m thừa nhận việc các bí danh trước đây bị lộ, nhưng phủ nhận từng phục vụ trong quân đội Mỹ hoặc từng ở Hàn Quốc
- Người này tuyên bố đó là persona giả được tạo từ lâu và là “Epic opsec troll”
- Khi nói về khả năng bị bắt, người này nói “tôi thực sự không thể bị bắt”, và tuyên bố không sống ở Mỹ
1 bình luận
Ý kiến trên Hacker News
Nếu Kiberphant0m thực sự là một nhân vật bịa ra để đánh lừa điều tra viên thì có lẽ hắn đã không bao giờ thừa nhận như vậy
Nghe giống kiểu chống chế sau khi bị lộ, và cuối cùng có vẻ rất dễ bị bắt
Ở cuối bài của Krebs còn có cả ảnh sơ đồ tư duy cho thấy mối liên hệ giữa các bí danh
Mọi hành động của mục tiêu, kể cả hành vi đánh lạc hướng, đều làm lộ thông tin hoặc tạo rủi ro rò rỉ thông tin
Nếu thực sự đang kiểm soát tình hình, thì ngay cả khi chắc 99% là giả, bạn vẫn có thể khiến đối phương tiếp tục tốn tài nguyên để xác minh, nên sẽ không tự phá vỏ bọc của mình
Đặc biệt nếu đã xây dựng persona kiểu này trong thời gian dài và đang bị truy vết, thì biến mất một thời gian rồi lên kế hoạch bắt đầu lại với persona mới nghe còn hợp lý hơn nhiều
Đừng đưa lời họ nói vào quá trình xác định sự thật, mà chỉ nên xem bằng chứng có thể kiểm chứng
Nếu mục đích là tạo chim mồi thì có lẽ nên dùng những thiết lập khác hẳn nhau, như 1 quân nhân Mỹ, 1 người Nga, 1 người châu Phi
Có vẻ chính phủ sẽ khá dễ thu hẹp phạm vi
Chỉ cần kiểm tra log những người đã nộp đơn tuyển dụng NSA quanh thời điểm ảnh chụp màn hình được đăng, rồi đối chiếu với những người đã hoặc đang ở Hàn Quốc, thì danh sách chắc sẽ rất ngắn
Người này có vẻ ngạo mạn, mà ngạo mạn thì dễ dẫn đến bất cẩn, nên có lẽ sẽ bị bắt thôi
Dù sao thì NSA có khi vẫn nhận hắn
Kiểu phát ngôn như “Thử lên Google tìm ‘kiberphant0m’ trong dấu ngoặc kép đi. Tôi đợi. Có hơn 50 bài báo, đã đột nhập hơn 15 nhà mạng. Tôi có số IMSI của toàn bộ những người đăng ký với Verizon, Tmobile, ATNT, Verifone” đúng là kiểu tự hủy cấp SBF
Bị bắt chỉ còn là vấn đề thời gian, và cơ quan điều tra liên bang chắc sẽ xử đẹp tên hề này
Chắc là vì họ tính ra bị xâm nhập còn rẻ hơn đầu tư cho bảo mật
Đoạn Kiberphant0m đăng nhập vào kênh Dstat, rồi người dùng khác nói “hi buttholio” và Kiberphant0m trả lời “wsg” nghe khá xui cho chính hắn
Giá mà tham chiếu Beavis and Butt-Head tốt hơn thì có lẽ đã ổn hơn
Nếu username là “Cornholio” hay “Bungholio” thì có thể nó chỉ bị đọc như một cái tên tham chiếu trực tiếp đến chương trình, và lời phủ nhận rằng không liên quan đến tài khoản khác có khi còn đáng tin hơn một chút
Có vẻ sắp được biết NSA chuẩn hóa cơ sở dữ liệu giỏi đến mức nào
Đến lúc show schema rồi
Tôi nghĩ nhìn vào thời điểm đăng bài của người này, nhất là biểu đồ phân bố múi giờ của các bài trả lời ngay sau bài trước đó, có thể sẽ cho ra manh mối nào đó
Vì đó sẽ là dấu hiệu cho thấy họ đang thức chứ không phải trả lời bị trì hoãn có chủ ý
Krebs chắc cũng biết kỹ thuật phân tích múi giờ, nên tôi tự hỏi là ông ấy chưa kiểm tra hay là kiểm tra rồi nhưng chưa ra kết luận
Có rất nhiều người dính máy tính quá lâu đến mức lịch ngủ bị phá nát hoàn toàn, nên trông như đang hoạt động ở một múi giờ hoàn toàn khác
May là những tội phạm mạng độc lập kiểu này thường quá ngạo mạn, mắc những lỗi bảo mật tác chiến sơ đẳng nhất và tự làm lộ mình
Những mối liên hệ mà Krebs hay Unit 221B tìm ra và xâu chuỗi được thật sự rất thú vị, cảm giác như đang đọc một tiểu thuyết trinh thám
Tên này có vẻ coi như xong rồi, và chỉ riêng ngày nộp đơn vào NSA thôi có lẽ cũng gần như đủ để xác định danh tính
Làm thủ công thì tốn thời gian khủng khiếp
Tên này gan thật
Nếu dân thường bị bắt vì hành vi phạm pháp thì họ có quyền được xét xử công bằng trước bồi thẩm đoàn đồng cấp, nhưng nếu quân nhân bị bắt vì làm điều tương tự thì tòa án quân sự gần như chỉ mang tính hình thức, và thực tế là sẽ vào tù rất lâu gần như ngay lập tức
Tôi tò mò không biết lúc nhập ngũ người ta có được giải thích rõ điều này không
Trở thành tội phạm cỡ lớn khó quá
Chỉ cần sai một lần là toang, mà cơ hội để mắc lỗi thì có đến hàng triệu, còn cơ hội để điều tra viên đoán trúng nhờ may mắn cũng có đến hàng triệu
Tôi tò mò tỷ lệ tội phạm bị bắt vì bảo mật tác chiến lỏng lẻo thực sự là bao nhiêu