Snowflake उगाही मामले का हैकर संभवतः अमेरिकी सेना से जुड़ा हो सकता है
(krebsonsecurity.com)- Snowflake ग्राहकों के डेटा चोरी और उगाही मामले में 2 लोगों की गिरफ्तारी के बाद भी, अब तक गिरफ्तार न हुआ संदिग्ध Kiberphant0m कई ऑनलाइन पहचान के जरिए पीड़ितों पर दबाव बनाए हुए है
- हमलावरों ने 2023 के अंत में इस बात का फायदा उठाया कि कई कंपनियों के Snowflake अकाउंट multi-factor authentication के बिना केवल username और password से सुरक्षित थे, और बड़ी कंपनियों के data repositories में घुसपैठ की
- पीड़ित कंपनियों में AT&T भी शामिल है। AT&T ने जुलाई में करीब 11 करोड़ लोगों की निजी जानकारी और call/text records चोरी होने का खुलासा किया था, और रिपोर्टों के अनुसार चोरी हुए call records हटाने के बदले 3.7 लाख डॉलर का भुगतान किया गया
- Kiberphant0m से जुड़े अकाउंट BreachForums, Telegram और Discord पर Snowflake data की बिक्री, DDoS botnet, SIM swapping, और सरकारी व telecom servers की access बेचने का प्रचार करते रहे
- कई aliases अमेरिकी सेना, Korea में तैनाती, South Korea Telecom, military base Wi‑Fi और NSA application screen से जुड़े दिखते हैं, लेकिन Kiberphant0m अमेरिकी सेना में सेवा और Korea में रहने से इनकार करता है और इसे लंबे समय से बनाई गई नकली पहचान बताता है
Snowflake उगाही मामले का गिरफ्तार न हुआ संदिग्ध
- Snowflake ग्राहकों का डेटा चुराने और उगाही करने के आरोप में 2 लोगों को गिरफ्तार किया गया है, लेकिन Kiberphant0m के नाम से जाना जाने वाला तीसरा व्यक्ति अभी तक गिरफ्तार नहीं हुआ है और खुले तौर पर पीड़ितों को धमका रहा है
- cybercrime forums, Telegram और Discord पर बची कई बातचीत के रिकॉर्ड संकेत देते हैं कि यह व्यक्ति अमेरिकी सेना का सैनिक रहा हो सकता है या हाल तक Korea में तैनात था
- हमलावरों ने 2023 के अंत में पाया कि कई कंपनियां अपने Snowflake अकाउंट में भारी मात्रा में संवेदनशील ग्राहक डेटा रख रही थीं, फिर भी multi-factor authentication की मांग नहीं कर रही थीं
- इसके बाद उन्होंने darknet markets में चोरी हुए Snowflake account credentials ढूंढे और दुनिया की प्रमुख कंपनियों के data repositories में घुसपैठ की
AT&T को नुकसान और पहले के संदिग्धों की गिरफ्तारी
- पीड़ित कंपनियों में से एक AT&T ने जुलाई में खुलासा किया कि cybercriminals ने करीब 11 करोड़ लोगों की निजी जानकारी और call/text records चुरा लिए
- Wired के मुताबिक, AT&T ने चोरी हुए call records हटवाने के लिए hacker को 3.7 लाख डॉलर दिए
- Canada के अधिकारियों ने 30 अक्टूबर को अमेरिका के provisional arrest warrant के तहत Ontario Kitchener के Alexander Moucka, alias Connor Riley Moucka, को गिरफ्तार किया
- अमेरिका ने बाद में Snowflake breach से संबंधित 20 criminal charges में उसे indict किया
- Snowflake hacking का एक और संदिग्ध John Erin Binns Turkey में कैद एक अमेरिकी नागरिक है
- जांचकर्ताओं का मानना है कि Moucka ने Judische और Waifu handles इस्तेमाल किए, और ransom न देने वाले Snowflake ग्राहकों का डेटा Kiberphant0m से बेचवाने का काम उसे सौंपा
गिरफ्तारी के बाद भी जारी सार्वजनिक धमकियां
- Moucka की गिरफ्तारी की खबर के तुरंत बाद Kiberphant0m ने BreachForums पर ऐसा डेटा पोस्ट किया जिसे उसने President-elect Donald J. Trump और Vice President Kamala Harris के AT&T call records बताया
- उसी दिन उसने U.S. National Security Agency का “data schema” होने का दावा करने वाला डेटा भी पोस्ट किया
- 5 नवंबर को उसने Verizon PTT ग्राहकों, मुख्यतः अमेरिकी सरकारी एजेंसियों और emergency responders, के call records बेचने की पेशकश की
- 9 नवंबर को उसने BreachForums पर Verizon PTT ग्राहकों को निशाना बनाने वाली SIM swapping service बेचने की पोस्ट डाली
- SIM swapping में telecom carrier कर्मचारियों से phish किए गए या चोरी किए गए credentials के जरिए target के phone calls और texts को attacker द्वारा नियंत्रित device पर मोड़ दिया जाता है
Buttholio, Kiberphant0m और Shi-Bot के कनेक्शन
- Kiberphant0m ने जनवरी 2024 में BreachForums join किया, और अपनी पहली पोस्ट में बताया कि उससे Telegram handle @cyb3rph4nt0m पर संपर्क किया जा सकता है
- @cyb3rph4nt0m अकाउंट ने जनवरी 2024 के बाद से 4,200 से अधिक messages पोस्ट किए, जिनमें से कई IoT botnet में hosts को संक्रमित करने वाले malware को वितरित करने के लिए लोगों की भर्ती से जुड़े थे
- BreachForums पर उसने Mirai-आधारित custom Linux DDoS botnet Shi-Bot का source code बेचा
- मई में Snowflake हमले के सार्वजनिक होने से पहले Kiberphant0m की BreachForums sales posts ज्यादा नहीं थीं, और उनमें से कई Korean कंपनियों से चोरी किए गए databases से संबंधित थीं
- 5 जून 2024 को Telegram के fraud-related channel Comgirl में “Buttholio” नाम का एक user शामिल हुआ और उसने दावा किया कि वही Kiberphant0m है
- इस user ने कहा कि Google पर “kiberphant0m” search करें, और 50 से अधिक articles तथा 15 से अधिक telecom breaches का दावा किया
- उसने यह भी कहा कि Verizon, T-Mobile, AT&T और Verifone में registered हर व्यक्ति के IMSI numbers उसके पास हैं
Korea में तैनात अमेरिकी सैनिक होने के संकेत देने वाली chats
- 17 सितंबर 2023 को Buttholio ने Escape from Tarkov players के Discord में कहा कि Korean servers पर extract campers या cheaters लगभग नहीं हैं
- उसी दिन एक और message में उसने समझाया कि उसने game अमेरिका में खरीदा था, लेकिन Asian servers पर खेलता है
- उसने इस आशय का message छोड़ा कि वह u.s. soldier है, इसलिए उसने अमेरिका में खरीदा था, लेकिन rotational deployment की वजह से उसे Asian servers इस्तेमाल करने पड़ते हैं
- Telegram ID 6953392511 से जुड़े @Kiberphant0m अकाउंट को DDoS-related Telegram channel Dstat में भी देखा गया
- जब Kiberphant0m ने Dstat में access किया, तो एक अन्य user ने “hi buttholio” कहा, और Kiberphant0m ने “wsg” जवाब दिया
- Dstat website dstat[.]cc को 1 नवंबर को international law enforcement operation Operation PowerOFF के हिस्से के रूप में seized किया गया
Reverseshell account और सेना से जुड़े बयान
- Flashpoint data के अनुसार @kiberphant0m ने अप्रैल 2024 में Telegram channels Dstat और The Jacuzzi पर बताया कि उसका दूसरा Telegram username @reverseshell है
- @reverseshell account की Telegram ID 5408575119 है
- 15 नवंबर 2022 को @reverseshell ने Telegram channel Cecilio Chat में कहा कि वह U.S. Army soldier है
- उसने military uniform की pants और camouflage backpack दिखने वाली photo भी share की
- सितंबर 2022 में एक अन्य user ने Reverseshell के internet address पर DDoS attack करने की धमकी दी, और attack होने पर Reverseshell ने इस आशय में जवाब दिया कि उसने “military base contract Wi‑Fi” को hit किया है
- अक्टूबर 2022 की बातचीत में उसने अपने server speed का दावा किया और जवाब दिया कि internet access के लिए वह South Korea Telecom इस्तेमाल करता है
- 23 अगस्त 2022 को Reverseshell ने कहा कि उसने automated tools से internet servers के valid login details ढूंढे और उन्हें resell किया
- उसने दावा किया कि उसने default credentials के जरिए अमेरिकी government servers, telecom control servers, machine factories और Russian ISP servers में घुसपैठ की
- 29 जुलाई 2023 को उसने एक प्रमुख अमेरिकी defense contractor के login page का screenshot पोस्ट किया और aerospace company credentials बेचने का दावा किया
Proman557, Vars_Secc और botnet बिक्री का इतिहास
- Telegram ID 5408575119 ने 2022 के बाद से Reverseshell और Proman557 समेत कई aliases इस्तेमाल किए
- Intel 471 ने पाया कि Hackforums के “Proman554” ने सितंबर 2022 में register किया था और दूसरे user से कहा था कि उससे Telegram account Buttholio पर संपर्क किया जा सकता है
- Proman557, Russian-language hacking forum Exploit पर Linux-based botnet malware बेचने वाले कई aliases में से एक था
- Proman557 को 350 डॉलर की fraud allegation में ban किया गया, और Exploit operators ने चेतावनी दी कि यह user Vars_Secc समेत कई अन्य nicknames से register कर चुका था
- Vars_Secc की Telegram activity online games, DDoS botnet operations, और botnet बिक्री/किराये के प्रचार पर केंद्रित थी
- Vars_Secc ने बताया कि वह botnets का इस्तेमाल server attacks, game items recover करने के उद्देश्य से DDoS, server-side desync RCE vulnerabilities, extortion और entertainment के लिए करता है
सरकारी और telecom server access की बिक्री
- जून 2023 में Vars_Secc ने SecHub channel पर कहा कि वह 4 साल से active है, और सरकार “बेकार DDoS botnet” operators को लाखों डॉलर नहीं देगी
- 2023 के कुछ महीनों तक Vars_Secc Russian-language crime forum XSS पर active रहा और अमेरिकी government server access 2,000 डॉलर में बेचा
- बाद में Russian telecom company Rostelecom की access बेचने की कोशिश करने पर उसे XSS से ban कर दिया गया
- Russia-based crime forums में Russian institutions या citizens को hack करने या उनका data बेचने पर रोक लगाने वाले rules होते हैं
- 20 जून 2023 को Vars_Secc ने Ramp 2.0 forum पर “Selling US Gov Financial Access” शीर्षक से sales post डाली
- उसने internal network server access, 3–5 subroute connections और 1,250 डॉलर कीमत पोस्ट की
- उसी महीने Ramp पर उसने “Vietnam government Internet Network Information Center” के internal server access को भी 500 डॉलर में बेचने की पोस्ट की
bug bounty और Naver vulnerability
- Vars_Secc ने मई 2023 में Telegram पर दावा किया कि वह HackerOne के जरिए software vulnerabilities report करके पैसे कमाता है
- उसने कहा कि reddit.com, अमेरिकी Defense Department और Coinbase समेत 30 से अधिक जगहों से उसे bug bounty rewards मिले हैं
- एक महीने पहले उसने कहा था कि उसने reddit.com की cache को poison किया है, और आगे exploit करने के बाद reddit को report करेगा
- HackerOne ने संबंधित दावों पर कहा कि वह जांच करेगा
- Vars_Secc Telegram handle ने यह भी दावा किया कि वह BreachForums member Boxfan का owner है
- Intel 471 के अनुसार Boxfan की शुरुआती BreachForums post signatures में Vars_Secc Telegram account शामिल था
- Boxfan ने जनवरी 2024 में BreachForums पर Korean search engine Naver की security vulnerability public की
- उस post में Korean culture के बारे में बेहद नकारात्मक अभिव्यक्तियां शामिल थीं
इनकार और बाकी अनिश्चितताएं
- Kiberphant0m से जुड़ी कई identities strongly suggest करती हैं कि यह व्यक्ति अमेरिकी सेना का सैनिक रहा हो सकता है या हाल तक Korea में तैनात था
- जुड़े हुए aliases military rank, regiment या specialty का उल्लेख नहीं करते
- 1 अप्रैल 2023 को Vars_Secc ने NSA website का screenshot public Telegram channel पर पोस्ट किया, जो ऐसा दिखता था जैसे उसने NSA की किसी job के लिए apply किया हो
- NSA ने comment request का अभी तक जवाब नहीं दिया है
- Telegram पर संपर्क किए जाने पर Kiberphant0m ने माना कि उसके पुराने aliases सामने आए हैं, लेकिन उसने अमेरिकी सेना में सेवा या Korea में रहने से इनकार किया
- उसने दावा किया कि यह उसकी लंबे समय से बनाई गई fake persona थी और “Epic opsec troll” था
- गिरफ्तार होने की संभावना पर उसने कहा, “मुझे literally पकड़ा नहीं जा सकता,” और दावा किया कि वह अमेरिका में नहीं रहता
1 टिप्पणियां
Hacker News की राय
अगर Kiberphant0m सच में जांचकर्ताओं को धोखा देने के लिए बनाया गया काल्पनिक किरदार था, तो वह कभी ऐसा मानता नहीं
यह पकड़े जाने के बाद बहाना बनाने वाले व्यक्ति जैसा लगता है, और आखिर में इसके पकड़े जाने की संभावना काफी ज्यादा दिखती है
Krebs के लेख के अंत में उपनामों के बीच कनेक्शन दिखाने वाली माइंडमैप इमेज भी है
क्योंकि target की हर हरकत, भटकाने वाली हरकतों सहित, जानकारी लीक करती है या लीक होने का जोखिम पैदा करती है
अगर आप सच में स्थिति पर नियंत्रण में हैं, तो 99% यकीन हो कि यह fake है तब भी आप सामने वाले को लगातार verification में resources लगवाते रह सकते हैं, इसलिए आप खुद ही अपना cover नहीं उड़ाते
खासकर अगर आपने ऐसा persona लंबे समय तक बनाया है और आपका पीछा किया जा रहा है, तो चुपचाप गायब होकर नए persona से फिर शुरू करने की योजना बनाना कहीं ज्यादा plausible लगता है
उसने जो कहा उसे तथ्य तय करने में शामिल न करें, सिर्फ verify किए जा सकने वाले evidence को देखें
अगर मकसद bait बनाना था, तो एक US military वाला, एक Russian, एक African जैसे अलग-अलग setups इस्तेमाल करना बेहतर नहीं होता?
सरकार के लिए scope narrow करना काफी आसान दिखता है
जिस तारीख के आसपास screenshot पोस्ट हुआ, उस दौरान NSA job application करने वालों के logs चेक करें, और उनमें से जो Korea में थे या हैं उनसे match करें, तो list काफी छोटी हो जाएगी
यह व्यक्ति arrogant लगता है, और arrogance अक्सर carelessness की तरफ ले जाती है, इसलिए लगता है पकड़ा जाएगा
वैसे भी NSA उसे ले भी सकता है
“Google पर quotes लगाकर ‘kiberphant0m’ search करो। मैं इंतजार करता हूं। 50 से ज्यादा articles हैं, 15 से ज्यादा telecom companies को hack किया है। Verizon, Tmobile, ATNT, Verifone पर registered हर व्यक्ति के IMSI numbers मेरे पास हैं” जैसी बात SBF-level self-own है
पकड़ा जाना बस समय की बात है, और federal investigators इस clown को अच्छी तरह निचोड़ देंगे
क्योंकि शायद उन्होंने सोचा होगा कि security में invest करने से hack हो जाना सस्ता है
Kiberphant0m के Dstat channel में login करते ही किसी दूसरे user ने “hi buttholio” कहा, और Kiberphant0m ने “wsg” जवाब दिया—यह हिस्सा उसके लिए थोड़ा bad luck लगता है
अगर Beavis and Butt-Head reference थोड़ा बेहतर किया होता तो अच्छा होता
अगर username “Cornholio” या “Bungholio” होता, तो उसे सीधे show का reference माना जाता और दूसरे accounts से कोई संबंध न होने का denial थोड़ा ज्यादा believable हो सकता था
लगता है जल्द ही पता चल जाएगा कि NSA databases को कितनी अच्छी तरह normalize करता है
schema दिखाने का समय है
इस व्यक्ति के posting times, खासकर ठीक पिछले posts के जवाब में किए गए posts का time-zone histogram देखकर कुछ पता चल सकता है
क्योंकि यह artificially delayed replies नहीं, बल्कि जागे होने का signal होगा
Krebs को भी time-zone analysis technique पता होगी; सोचता हूं उसने चेक नहीं किया या conclusion नहीं निकला
computer से बहुत देर तक चिपके रहने वालों में कई ऐसे होंगे जिनका sleep pattern पूरी तरह बिगड़ चुका है और वे बिल्कुल अलग time zone में active लग सकते हैं
अच्छा है कि ऐसे independent cybercriminals इतने arrogant होते हैं कि सबसे basic operational-security mistakes करते हैं और खुद expose हो जाते हैं
Krebs या Unit 221B ने जो links खोजे और information जोड़ी, वह वाकई दिलचस्प थी; detective novel पढ़ने जैसा लगा
यह व्यक्ति खत्म हो चुका लगता है, और सिर्फ NSA application date से ही उसकी identity लगभग pin down हो जाएगी
manually करने पर इसमें बहुत ज्यादा समय लगता है
उस आदमी की हिम्मत कमाल की है
अगर कोई civilian illegal activity में पकड़ा जाए, तो उसे peers की jury के साथ fair trial का अधिकार होता है, लेकिन कोई soldier वही काम करते पकड़ा जाए तो court-martial लगभग formal ही होता है और असल में सीधे बहुत लंबे समय के लिए जेल जाना पड़ता है
enlistment के समय क्या यह बात लोगों को साफ-साफ समझाई जाती है, यह जानना चाहूंगा
बड़े स्तर का criminal बनना बहुत मुश्किल है
एक बार गलती की और breach हो गए; गलती करने के मौके भी लाखों हैं, और investigators के luck से सही guess कर लेने के मौके भी लाखों हैं
असल में sloppy operational security की वजह से पकड़े जाने वाले criminals का ratio कितना है, यह जानना चाहूंगा