Snowflake şantaj saldırısındaki hackerın ABD askeri olabileceği öne sürülüyor
(krebsonsecurity.com)- Snowflake müşteri verilerinin çalınması ve şantaj vakasında 2 kişi tutuklandıktan sonra bile, yakalanmayan şüpheli Kiberphant0m birden fazla çevrimiçi kimlik üzerinden mağdurlara baskı yapmayı sürdürüyor
- Saldırganlar, 2023 sonlarında çok sayıda şirketin Snowflake hesaplarının çok faktörlü kimlik doğrulama olmadan yalnızca kullanıcı adı ve parolayla korunduğunu hedef alarak büyük kurumsal depolara sızdı
- Mağdur şirketler arasında AT&T de bulunuyor; AT&T temmuz ayında yaklaşık 110 milyon kişinin kişisel bilgileri ile arama ve mesaj kayıtlarının çalındığını açıkladı, ayrıca çalınan arama kayıtlarının silinmesi karşılığında 370 bin dolar ödendiğine dair haberler çıktı
- Kiberphant0m ile bağlantılı hesaplar BreachForums, Telegram ve Discord üzerinde Snowflake verisi satışı, DDoS botnet’leri, SIM swapping ve devlet ile telekom sunucularına erişim satışı reklamı yaptı
- Çeşitli takma adlar ABD Ordusu, Kore’de konuşlanma, South Korea Telecom, askeri üs Wi‑Fi’ı ve NSA başvuru ekranıyla ilişkilendirilse de Kiberphant0m, ABD ordusunda görev yaptığını ve Kore’de bulunduğunu reddederek bunların uzun süredir oluşturduğu sahte kimlikler olduğunu savunuyor
Snowflake şantaj vakasının yakalanmayan şüphelisi
- Snowflake müşterilerinin verilerini çalıp şantaj yapmakla suçlanan 2 kişi tutuklandı, ancak Kiberphant0m olarak bilinen üçüncü kişi hâlâ yakalanmadı ve mağdurları açıkça tehdit etmeyi sürdürüyor
- Siber suç forumları, Telegram ve Discord’da kalan çok sayıdaki konuşma kaydı, bu kişinin ABD Ordusu askeri olduğunu ya da yakın zamana kadar Kore’de konuşlu bulunmuş olabileceğini düşündürüyor
- Saldırganlar, 2023 sonlarında birçok şirketin Snowflake hesaplarına büyük miktarda hassas müşteri verisi yüklediğini ancak çok faktörlü kimlik doğrulama zorunluluğu koymadığını fark etti
- Ardından dark web pazarlarında ele geçirilmiş Snowflake hesap kimlik bilgilerini bulup dünyanın önde gelen şirketlerinin veri depolarına sızdılar
AT&T zararı ve mevcut şüphelilerin tutuklanması
- Mağdur şirketlerden biri olan AT&T, temmuz ayında siber suçluların yaklaşık 110 milyon kişinin kişisel bilgileri ile arama ve mesaj kayıtlarını çaldığını açıkladı
- Wired’a göre AT&T, çalınan arama kayıtlarının silinmesi için hackera 370 bin dolar ödedi
- Kanada makamları 30 Ekim’de ABD’nin geçici tutuklama emri doğrultusunda Ontario, Kitchener’dan Alexander Moucka namıdiğer Connor Riley Moucka’yı gözaltına aldı
- ABD daha sonra onu Snowflake ihlalleriyle bağlantılı 20 suçlamayla itham etti
- Snowflake saldırılarının bir diğer şüphelisi John Erin Binns, Türkiye’de tutuklu bulunan bir ABD vatandaşı
- Soruşturmacılar, Moucka’nın Judische ve Waifu takma adlarını kullandığını ve fidye ödemeyen Snowflake müşterilerinin verilerini Kiberphant0m üzerinden sattırdığını düşünüyor
Tutuklamaların ardından süren açık tehditler
- Moucka’nın tutuklandığı haberi çıkar çıkmaz Kiberphant0m, BreachForums’ta Donald J. Trump ve Başkan Yardımcısı Kamala Harris’e ait olduğunu iddia ettiği AT&T arama kayıtlarını paylaştı
- Aynı gün U.S. National Security Agency’e ait “data schema” olduğunu öne sürdüğü bir veri de yükledi
- 5 Kasım’da ise başta ABD devlet kurumları ve acil müdahale ekipleri olmak üzere Verizon PTT müşterilerinin arama kayıtlarını satmayı teklif etti
- 9 Kasım’da BreachForums’ta Verizon PTT müşterilerini hedef alan bir SIM swapping hizmeti sattığını duyuran bir gönderi yayımladı
- SIM swapping, mobil operatör çalışanlarından phishing yoluyla alınan ya da çalınan kimlik bilgileri kullanılarak hedefin telefon ve mesajlarının saldırganın kontrol ettiği cihaza yönlendirilmesi yöntemidir
Buttholio, Kiberphant0m ve Shi-Bot bağlantısı
- Kiberphant0m, 2024 Ocak ayında BreachForums’a katıldı ve ilk gönderisinde Telegram hesabı @cyb3rph4nt0m üzerinden kendisine ulaşılabileceğini belirtti
- @cyb3rph4nt0m hesabı 2024 Ocak ayından sonra 4.200’den fazla mesaj yayımladı; bunların önemli bir kısmı, IoT botnet’lerine host bulaştıracak kişileri arayan kötü amaçlı yazılım dağıtımıyla ilgiliydi
- BreachForums’ta Mirai tabanlı özel Linux DDoS botnet’i Shi-Bot kaynak kodu satıldı
- Snowflake saldırıları mayısta kamuoyuna yansımadan önce Kiberphant0m’un BreachForums’taki satış gönderileri çok fazla değildi ve önemli bir bölümü Koreli şirketlerden çalınmış veritabanlarıyla ilgiliydi
- 5 Haziran 2024’te Telegram’daki dolandırıcılık odaklı Comgirl kanalına “Buttholio” adlı bir kullanıcı katılarak kendisinin Kiberphant0m olduğunu öne sürdü
- Bu kullanıcı, Google’da “kiberphant0m” diye arama yapılmasını söyleyerek 50’den fazla haber ve 15’ten fazla telekom ihlalinden sorumlu olduğunu iddia etti
- Ayrıca Verizon, T-Mobile, AT&T ve Verifone’a kayıtlı herkesin IMSI numaralarına sahip olduğunu da söyledi
Kore’de konuşlu ABD askeri ihtimaline işaret eden konuşmalar
- 17 Eylül 2023’te Buttholio, Escape from Tarkov oyuncularına ait bir Discord’da Kore sunucularında neredeyse hiç extract camper ya da cheater olmadığını söyledi
- Aynı gün başka bir mesajda oyunu ABD’den satın aldığını ancak Asya sunucularında oynadığını anlattı
- Kendisinin bir u.s. soldier olduğunu, oyunu ABD’den aldığını ama rotasyon görevi nedeniyle Asya sunucularını kullanmak zorunda kaldığını ima eden bir mesaj bıraktı
- Telegram ID 6953392511’e bağlı @Kiberphant0m hesabı, DDoS odaklı Telegram kanalı Dstat içinde de görüldü
- Kiberphant0m Dstat’e bağlandığında başka bir kullanıcı “hi buttholio” dedi, Kiberphant0m ise “wsg” diye yanıt verdi
- Dstat web sitesi dstat[.]cc, 1 Kasım’da uluslararası kolluk operasyonu Operation PowerOFF kapsamında el konulan alan adları arasında yer aldı
Reverseshell hesabı ve askerlikle ilgili ifadeler
- Flashpoint verilerine göre @kiberphant0m, 2024 Nisan ayında Telegram kanalları Dstat ve The Jacuzzi’de başka bir Telegram kullanıcı adının @reverseshell olduğunu söyledi
- @reverseshell hesabının Telegram ID’si 5408575119
- 15 Kasım 2022’de @reverseshell, Telegram kanalı Cecilio Chat’te kendisinin U.S. Army askeri olduğunu söyledi
- Askeri üniforma altı ve kamuflaj sırt çantası görülen bir fotoğraf da paylaştı
- Eylül 2022’de başka bir kullanıcı Reverseshell’in internet adresine DDoS saldırısı yapacağını söyledi ve saldırı gerçekleşince Reverseshell, bunun “askeri üs sözleşmeli Wi‑Fi”a vurduğunu belirten bir yanıt verdi
- Ekim 2022’deki bir konuşmada kullandığı sunucuların hızını överken internet erişimi için South Korea Telecom kullandığını söyledi
- 23 Ağustos 2022’de Reverseshell, otomasyon araçlarıyla internet sunucularında geçerli giriş bilgileri bulup bunları yeniden sattığını anlattı
- ABD devlet sunucuları, telekom kontrol sunucuları, makine fabrikaları ve Rus ISP sunucularına varsayılan kimlik bilgileriyle sızdığını iddia etti
- 29 Temmuz 2023’te ise büyük bir ABD savunma yüklenicisinin giriş sayfası ekran görüntüsünü paylaşıp havacılık ve uzay şirketi kimlik bilgileri sattığını öne sürdü
Proman557, Vars_Secc ve botnet satış geçmişi
- Telegram ID 5408575119, 2022’den bu yana Reverseshell ve Proman557 dahil çeşitli takma adlar kullandı
- Intel 471, Hackforums’taki “Proman554” hesabının Eylül 2022’de kaydolduğunu ve başka kullanıcılara Telegram hesabı Buttholio üzerinden iletişime geçebileceklerini söylediğini doğruladı
- Proman557, Rusça hack forumu Exploit üzerinde Linux tabanlı botnet kötü amaçlı yazılımı satan takma adlardan biriydi
- Proman557, 350 dolarlık dolandırıcılık suçlamasıyla banlandı ve Exploit yöneticileri bu kullanıcının Vars_Secc dahil başka birçok takma adla kaydolduğuna dair uyarı yayımladı
- Vars_Secc’in Telegram faaliyetleri çevrimiçi oyunlar, DDoS botnet işletimi ve botnet satışı ile kiralama reklamlarına odaklandı
- Vars_Secc, botnet’leri sunucu saldırıları, oyun eşyası geri alma amaçlı DDoS, sunucu tarafı desync RCE açıkları, şantaj ve eğlence için kullandığını listeledi
Devlet ve telekom sunucularına erişim satışı
- 2023 Haziran’da Vars_Secc, SecHub kanalında dört yıldır aktif olduğunu ve devletlerin “anlamsız DDoS botnet” operatörlerine milyonlarca dolar ödemeyeceğini söyledi
- 2023 boyunca birkaç ay boyunca Vars_Secc, Rusça suç forumu XSS üzerinde aktif olarak ABD devlet sunucularına erişimi 2.000 dolara sattı
- Daha sonra Rus telekom şirketi Rostelecom erişimi satmaya çalışınca XSS’ten banlandı
- Rusya merkezli suç forumlarında, Rus kurumlarını veya vatandaşlarını hacklemek ya da onların verilerini satmak yasaktır
- 20 Haziran 2023’te Vars_Secc, Ramp 2.0 forumunda “Selling US Gov Financial Access” başlıklı bir satış gönderisi yayımladı
- Ağ içi sunucu erişimi, 3 ila 5 subroute bağlantısı ve fiyatın 1.250 dolar olduğu belirtildi
- Aynı ay Ramp’te “Vietnam government Internet Network Information Center” iç sunucu erişimini de 500 dolara sattığını duyurdu
Bug bounty ve Naver açığı
- Vars_Secc, 2023 Mayıs’ında Telegram’da HackerOne üzerinden yazılım açıkları bildirerek para kazandığını öne sürdü
- reddit.com, ABD Savunma Bakanlığı ve Coinbase dahil 30’dan fazla yerden bug bounty ödülü aldığını söyledi
- Bir ay önce reddit.com’un cache sistemini zehirlediğini ve daha fazla suistimal ettikten sonra bunu Reddit’e bildireceğini ifade etti
- HackerOne, bu iddiaları inceleyeceğini söyledi
- Vars_Secc’in Telegram hesabı, BreachForums üyesi Boxfan hesabının da sahibi olduğunu iddia etti
- Intel 471’e göre Boxfan’in BreachForums’taki ilk gönderilerinin imzasında Vars_Secc Telegram hesabı yer alıyordu
- Boxfan, 2024 Ocak ayında BreachForums’ta Koreli arama motoru Naver’ın bir güvenlik açığını ifşa etti
- Söz konusu gönderi, Kore kültürüne yönelik son derece olumsuz ifadeler de içeriyordu
Yalanlamalar ve kalan belirsizlikler
- Kiberphant0m ile bağlantılı çok sayıdaki kimlik, bu kişinin bir ABD Ordusu askeri olduğunu ya da yakın zamana kadar Kore’de konuşlu bulunduğunu güçlü biçimde düşündürüyor
- Bağlantılı takma adlar askerî rütbe, birlik veya uzmanlık alanı belirtmiyor
- 1 Nisan 2023’te Vars_Secc, NSA web sitesinden bir ekran görüntüsünü açık Telegram kanalına yükledi; görüntü, sanki daha önce NSA’de bir işe başvurmuş olduğunu gösteriyordu
- NSA, yorum talebine henüz yanıt vermedi
- Telegram üzerinden ulaşılan Kiberphant0m, geçmişte kullandığı takma adların ortaya çıktığını kabul etti ancak ABD ordusunda görev yaptığını ya da Kore’de bulunduğunu reddetti
- Bunların uzun süredir yarattığı sahte personelar olduğunu ve bunun “Epic opsec troll” olduğunu savundu
- Yakalanma ihtimali sorulduğunda “kelimenin tam anlamıyla yakalanamam” dedi ve ABD’de yaşamadığını öne sürdü
1 yorum
Hacker News yorumları
Kiberphant0m gerçekten soruşturmacıları kandırmak için yaratılmış kurmaca bir kişi olsaydı, bunu asla böyle kabul etmezdi gibi geliyor.
Yakalandıktan sonra bahane uyduran biri gibi duyuluyor ve sonunda yakalanma ihtimali yüksek görünüyor.
Krebs yazısının sonunda takma adlar arasındaki bağlantıları gösteren bir zihin haritası görseli de var.
Çünkü hedefin yaptığı her şey, yanıltma girişimleri dahil, bilgi sızdırır ya da bilgi sızdırma riski yaratır.
Durumu gerçekten kontrol ediyorsanız, bunun %99 sahte olduğundan emin olsanız bile karşı tarafın doğrulamak için kaynak harcamaya devam etmesini sağlayabilirsiniz; bu yüzden kılığınızı kendi elinizle bozmazsınız.
Özellikle böyle bir personayı uzun süre inşa ettiyseniz ve izleniyorsanız, ortadan kaybolup yeni bir personayla yeniden başlamayı planlamak çok daha makul görünür.
O kişinin söylediklerini gerçeklik değerlendirmesine katmadan, yalnızca doğrulanabilir kanıtlara bakmak gerekir.
Amaç yem hazırlamak olsaydı, bir ABD askeri, bir Rus, bir Afrikalı gibi birbirinden farklı kurgular kullanmak daha iyi olmaz mıydı diye düşünüyorum.
Hükümetin alanı daraltması oldukça kolay görünüyor.
Ekran görüntüsünün paylaşıldığı tarihin civarında NSA işe alım başvurusu yapan kişilerin kayıtlarını kontrol edip, bunları o sırada Kore’de bulunan ya da bulunmuş kişilerle karşılaştırırlarsa liste epey kısalır gibi.
Bu kişi kibirli görünüyor; kibir de dikkatsizliğe yol açar, bu yüzden yakalanacak gibi duruyor.
Her şeye rağmen NSA onu kabul edebilir.
“Google’da tırnak içinde ‘kiberphant0m’ diye ara. Beklerim. 50’den fazla makale var ve 15’ten fazla telekom şirketini hackledim. Verizon, Tmobile, ATNT, Verifone’a kayıtlı herkesin IMSI numaraları bende” tarzı bir açıklama SBF seviyesinde kendi kendini yakma.
Yakalanması an meselesi ve federal soruşturma kurumları bu palyaçoyu iyice kurutacak gibi.
Çünkü muhtemelen güvenliğe yatırım yapmaktansa hacklenmenin daha ucuz olduğuna karar verdiler.
Kiberphant0m Dstat kanalına giriş yaptığında başka bir kullanıcının “hi buttholio” demesi ve Kiberphant0m’ın “wsg” diye yanıtlaması kendisi için biraz talihsiz görünüyor.
Beavis and Butt-Head göndermesini daha iyi yapsaydı daha iyi olurdu.
Kullanıcı adı “Cornholio” ya da “Bungholio” olsaydı, doğrudan dizinin göndermesi olan bir ad gibi okunabilir ve başka hesaplarla ilgisi olmadığı yönündeki inkâr biraz daha inandırıcı olabilirdi.
Yakında NSA’nın veritabanlarını ne kadar iyi normalize ettiğini öğreneceğiz gibi.
Şemayı gösterme zamanı.
Bu kişinin paylaşım saatlerine, özellikle hemen önceki yazılara yanıt verdiği gönderilerin saat dilimi histogramına bakınca bir şeyler anlaşılabilir gibi geliyor.
Çünkü bunlar yapay olarak geciktirilmiş yanıtlar değil, uyanık olduğuna dair işaretler olurdu.
Krebs de saat dilimi analizi tekniğini biliyor olmalı; bakmadı mı, yoksa bir sonuca mı varamadı merak ediyorum.
Bilgisayar başında çok fazla vakit geçirenler arasında uyku düzeni tamamen bozulmuş olup bambaşka bir saat diliminde faaliyet gösteriyor gibi görünecek çok kişi vardır.
Böyle bağımsız siber suçluların bu kadar kibirli olup en temel operasyon güvenliği hatalarını yaparak kendilerini ele vermeleri iyi bir şey.
Krebs’in ya da Unit 221B’nin bulduğu bağlantılar ve bir araya getirdiği bilgiler gerçekten ilginçti; dedektif romanı okuyor gibiydi.
Bu kişi için iş bitmiş gibi görünüyor ve yalnızca NSA başvuru tarihi bile kimliğini fiilen belirlemeye yeter gibi.
Elle yapılınca inanılmaz zaman alır.
Adamın cesareti gerçekten büyük.
Bir sivil yasa dışı faaliyet nedeniyle yakalanırsa akranlarından oluşan bir jüriyle adil yargılanma hakkına sahiptir; ama bir asker aynı şeyi yaparken yakalanırsa askeri mahkeme neredeyse formaliteden ibarettir ve fiilen doğrudan çok uzun süreli hapse gider.
İnsanlara askere yazılırken bunun açıkça anlatılıp anlatılmadığını merak ediyorum.
Büyük ölçekli bir suçlu olmak çok zor.
Bir kez hata yapsan bile açığa çıkarsın; hata yapma fırsatın da milyonlarcadır, soruşturmacıların şans eseri doğruyu tutturma fırsatı da milyonlarcadır.
Gerçekte zayıf operasyon güvenliği yüzünden yakalanan suçluların oranının ne kadar olduğunu merak ediyorum.