Snowflake şantajındaki hacker, ABD askeri olabilir

• Bulut veri depolama şirketi Snowflake kullanan birçok şirketin verilerini çalıp şantaj yapmakla suçlanan iki erkek tutuklandı. Ancak Kiberphant0m adlı üçüncü şüpheli hacker hâlâ aktif ve mağdurları kamuya açık biçimde tehdit ediyor. Kiberphant0m’un kimliği, yakın zamana kadar Güney Kore’de konuşlanmış olabilecek bir ABD Kara Kuvvetleri askeri olabilir.

• Kiberphant0m, çeşitli siber suç forumları ile Telegram ve Discord kanallarında Snowflake müşterilerinin verilerini satıyor. 2023 sonlarında hackerlar, birçok şirketin hassas müşteri verilerini Snowflake hesaplarına yüklediğini ve bu hesapların yalnızca basit kullanıcı adı ve parola ile korunduğunu keşfetti.

• Snowflake hesap kimlik bilgileri çalındıktan sonra hackerlar, dünyanın en büyük şirketlerinin veri depolarına sızmaya başladı. Bunların arasında AT&T de vardı; şirket, yaklaşık 110 milyon kişinin kişisel bilgileri ile telefon ve kısa mesaj kayıtlarının çalındığını temmuz ayında açıkladı.

• Kanada makamları, 30 Ekim’de Alexander Moucka’yı tutukladı; kendisi Snowflake hack’iyle bağlantılı 20 suçlamayla itham edildi. Diğer şüpheli John Erin Binns ise şu anda Türkiye’de tutuklu bulunuyor.

• Kiberphant0m, Moucka’nın tutuklandığı haberi duyulur duyulmaz hacker topluluğu BreachForums’ta Donald J. Trump ve Başkan Yardımcısı Kamala Harris’in telefon kayıtlarını paylaşarak AT&T’yi tehdit etti.

• Kiberphant0m ayrıca Verizon’un push-to-talk (PTT) müşterilerine ait arama kayıtlarını satıyor ve Verizon PTT müşterilerini hedefleyen bir "SIM swapping" hizmeti sunuyor.

‘BUTTHOLIO’ tanıtımı

• Kiberphant0m, Ocak 2024’te BreachForums’a katıldı; Discord ve Telegram kanallarındaki faaliyetleri ise en az 2022’nin başına kadar uzanıyor. BreachForums’taki ilk gönderisinde, Telegram hesabı @cyb3rph4nt0m üzerinden kendisine ulaşılabileceğini belirtti.

• @cyb3rph4nt0m, Ocak 2024’ten bu yana 4.200’den fazla mesaj paylaştı; bu mesajların çoğu, IoT botnet’lerine ana makineleri bulaştıracak zararlı yazılımı yayacak kişiler aramaya yönelik girişimlerdi.

• Kiberphant0m, BreachForums’ta Mirai zararlı yazılımını temel alan Linux DDoS botnet’i " Shi-Bot "un kaynak kodunu sattı.

‘REVERSESHELL’

• @Kiberphant0m, Telegram ID 6953392511 ile ilişkilendirildi ve Flashpoint verilerine göre 4 Ocak 2024’te Dstat kanalında paylaşım yaptı. Bu kanal, DDoS saldırıları düzenleyen ve kiralık DDoS hizmetleri satan siber suçluların buluştuğu bir yer.

• Flashpoint verilerine göre @kiberphant0m, 10 Nisan 2024’te Dstat’ın başka bir üyesine alternatif Telegram kullanıcı adının " @reverseshell " olduğunu söyledi.

• 15 Kasım 2022’de @reverseshell, Telegram kanalı Cecilio Chat’te ABD Kara Kuvvetleri askeri olduğunu söyledi.

PROMAN AND VARS_SECC

• Flashpoint, Telegram ID 5408575119’un 2022’den bu yana Reverseshell ve Proman557 dâhil olmak üzere birden fazla takma ad kullandığını belirtti.

• Intel 471, Proman557 adının 2022’de Rusça hacker forumu Exploit üzerinde çeşitli Linux tabanlı botnet zararlı yazılımları satan kişilerden biri olduğunu söyledi.

BUG BOUNTIES

• Vars_Secc, Mayıs 2023’te Telegram’da HackerOne üzerinden yazılım açıklarına ilişkin raporlar göndererek para kazandığını iddia etti. HackerOne, teknoloji şirketlerinin ürün ve hizmetlerindeki güvenlik açıklarıyla ilgili bildirimleri işlemesine yardımcı olan bir şirket.

• Vars_Secc, reddit.com, ABD Savunma Bakanlığı, Coinbase ve 30’dan fazla şirketten bug bounty aldığını iddia etti.

• Kiberphant0m’un çeşitli kimlikleri, onun yakın zamana kadar Güney Kore’de konuşlanmış bir ABD Kara Kuvvetleri askeri olabileceğine güçlü biçimde işaret ediyor. Kiberphant0m’un diğer kimlikleri askeri rütbe, alay ya da uzmanlık alanına değinmedi; ancak bilgisayar ve ağ yeteneklerinin orduda dikkat çekmiş olması mümkün.