Hacker tống tiền trong vụ Snowflake có thể là quân nhân Mỹ

• Hai người đàn ông đã bị bắt vì bị cáo buộc đánh cắp dữ liệu và tống tiền nhiều công ty sử dụng công ty lưu trữ dữ liệu đám mây Snowflake. Tuy nhiên, hacker thứ ba có tên Kiberphant0m vẫn đang hoạt động và công khai đe dọa các nạn nhân. Danh tính của Kiberphant0m có thể là một binh sĩ Lục quân Mỹ, gần đây từng đồn trú tại Hàn Quốc.

• Kiberphant0m đang bán dữ liệu của khách hàng Snowflake trên nhiều diễn đàn tội phạm mạng cùng các kênh Telegram và Discord. Vào cuối năm 2023, các hacker phát hiện nhiều công ty đã tải dữ liệu khách hàng nhạy cảm lên tài khoản Snowflake, và các tài khoản này chỉ được bảo vệ bằng tên người dùng và mật khẩu đơn giản.

• Sau khi đánh cắp được thông tin đăng nhập tài khoản Snowflake, các hacker bắt đầu xâm nhập kho dữ liệu của những doanh nghiệp lớn nhất thế giới. Trong số này có AT&T, công ty đã công bố vào tháng 7 rằng thông tin cá nhân cùng lịch sử cuộc gọi và tin nhắn của khoảng 110 triệu người đã bị đánh cắp.

• Giới chức Canada đã bắt giữ Alexander Moucka vào ngày 30 tháng 10, và người này bị truy tố với 20 cáo buộc hình sự liên quan đến vụ tấn công Snowflake. Nghi phạm khác là John Erin Binns hiện đang bị giam tại Thổ Nhĩ Kỳ.

• Ngay sau khi có tin Moucka bị bắt, Kiberphant0m đã đăng lên cộng đồng hacker BreachForums hồ sơ cuộc gọi của Tổng thống đắc cử Donald J. Trump và Phó Tổng thống Kamala Harris của AT&T để đe dọa.

• Kiberphant0m cũng đang bán lịch sử cuộc gọi của khách hàng push-to-talk (PTT) của Verizon, đồng thời cung cấp dịch vụ "SIM swapping" nhắm vào khách hàng Verizon PTT.

Giới thiệu về ‘BUTTHOLIO’

• Kiberphant0m gia nhập BreachForums vào tháng 1/2024, và hoạt động trên các kênh Discord và Telegram của hắn bắt đầu ít nhất từ đầu năm 2022. Trong bài đăng đầu tiên trên BreachForums, hắn cho biết có thể liên hệ qua Telegram handle @cyb3rph4nt0m.

• @cyb3rph4nt0m đã đăng hơn 4.200 tin nhắn kể từ tháng 1/2024, và nhiều tin nhắn trong số đó là nỗ lực tuyển người phát tán phần mềm độc hại lây nhiễm máy chủ bằng botnet IoT.

• Kiberphant0m đã bán mã nguồn botnet DDoS Linux " Shi-Bot " dựa trên phần mềm độc hại Mirai trên BreachForums.

‘REVERSESHELL’

• @Kiberphant0m được gắn với Telegram ID 6953392511, và theo dữ liệu của Flashpoint, tài khoản này đã đăng trong kênh Dstat vào ngày 4 tháng 1 năm 2024. Đây là nơi các tội phạm mạng tụ tập để thực hiện các cuộc tấn công DDoS và bán dịch vụ cho thuê DDoS.

• Theo dữ liệu của Flashpoint, @kiberphant0m đã nói với một thành viên khác của Dstat vào ngày 10 tháng 4 năm 2024 rằng tên người dùng Telegram thay thế của mình là " @reverseshell ".

• Vào ngày 15 tháng 11 năm 2022, @reverseshell đã nói trong kênh Telegram Cecilio Chat rằng mình là một binh sĩ Lục quân Mỹ.

PROMAN AND VARS_SECC

• Flashpoint cho biết Telegram ID 5408575119 đã sử dụng nhiều bí danh, bao gồm Reverseshell và Proman557, từ năm 2022.

• Intel 471 cho biết cái tên Proman557 là một trong những người đã bán nhiều loại phần mềm độc hại botnet dựa trên Linux trên diễn đàn hack tiếng Nga Exploit trong năm 2022.

BUG BOUNTIES

• Vars_Secc tuyên bố trên Telegram vào tháng 5/2023 rằng họ đã kiếm tiền bằng cách gửi báo cáo lỗi phần mềm qua HackerOne. Đây là công ty hỗ trợ các doanh nghiệp công nghệ xử lý báo cáo về lỗ hổng bảo mật trong sản phẩm và dịch vụ.

• Vars_Secc tuyên bố đã nhận bug bounty từ hơn 30 tổ chức, bao gồm reddit.com, Bộ Quốc phòng Mỹ và Coinbase.

• Nhiều danh tính của Kiberphant0m cho thấy rất rõ khả năng hắn là một binh sĩ Lục quân Mỹ từng đồn trú tại Hàn Quốc cho đến gần đây. Những danh tính khác của Kiberphant0m không đề cập đến quân hàm, trung đoàn hay chuyên môn, nhưng kỹ năng máy tính và mạng của hắn có thể đã được chú ý trong quân đội.