A Snowflake zsarolásokban résztvevő hacker amerikai katona lehet
Két férfit letartóztattak, akik állítólag adatokat loptak és zsaroltak több tucat olyan cégtől, amelyek a Snowflake felhőalapú adattároló céget használták, de egy harmadik gyanúsított – egy Kiberphant0m néven ismert, termékeny hacker – továbbra is szabadlábon van, és továbbra is nyilvánosan zsarolja az áldozatokat. Ennek a személynek a kiléte azonban nem biztos, hogy sokáig marad titokban: A Kiberphant0m több kiberbűnözői személyiséggel folytatott napi csevegéseinek gondos áttekintése arra utal, hogy az amerikai hadsereg katonájáról van szó, aki Dél-Koreában állomásozik vagy állomásozott nemrég. A Kiberphant0m a Snowflake felhőalapú adattároló cég ügyfeleitől ellopott adatokat kiberbűnözői fórumokon, valamint Telegram- és Discord-csevegőcsatornákon értékesítette. A rosszindulatú hackerek 2023 végén felfedezték, hogy számos vállalat hatalmas mennyiségű érzékeny ügyféladatot töltött fel a Snowflake fiókjaiba, amelyeket csak egy felhasználónévvel és jelszóval védtek (nem volt szükség többfaktoros hitelesítésre). Miután a hackerek átfésülték a darknetes piacokat lopott Snowflake-fiókok hitelesítő adatai után, a világ legnagyobb vállalatainak adattárolóit kezdték el fosztogatni. Ezek között volt az AT&T is, amely júliusban hozta nyilvánosságra, hogy a kiberbűnözők nagyjából 110 millió ember személyes adatait, telefon- és szöveges üzenetadatait lopták el. A Wired.com júliusban arról számolt be, hogy az AT&T 370 000 dollárt fizetett egy hackernek azért, hogy törölje az ellopott telefonos adatokat. Október 30-án a kanadai hatóságok letartóztatták Alexander Mouckát, más néven Connor Riley Mouckát (Kitchener, Ontario) az Egyesült Államokból származó ideiglenes elfogatóparancs alapján. Azóta vádat emeltek ellene a Snowflake jogsértésekkel kapcsolatos 20 bűncselekmény miatt. A Snowflake-hackek másik gyanúsítottja, John Erin Binns amerikai, aki jelenleg Törökországban van bebörtönözve.
A nyomozók szerint Moucka, aki a Judische és Waifu neveket használta, megbízta a Kiberphant0m-ot, hogy értékesítse a Snowflake ügyfelektől ellopott adatokat, akik nem voltak hajlandóak váltságdíjat fizetni az adataik törléséért. A Kiberphant0m közvetlenül azután, hogy híre ment Moucka letartóztatásának, egyértelműen dühös volt, és a BreachForums nevű hacker-közösségen közzétette a Donald J. Trump elnök és Kamala Harris AT&T híváslistáját.
A @Kiberphant0m fiók a 6953392511 Telegram azonosítószámot kapta. A Flashpoint platformon elérhető adatok alapján 2024. január 4-én Kibertphant0m a „Dstat” nevű Telegram-csatornára posztolt, amelynek tagjai elosztott szolgáltatásmegtagadásos (DDoS) támadások indításában és DDoS-bérelt szolgáltatások értékesítésében résztvevő személyek. Közvetlenül azután, hogy Kiberphant0m bejelentkezett a Dstat csatornára, egy másik felhasználó azt írta, hogy „hi buttholio”, amire Kiberphant0m a „wsg” megerősítő üdvözléssel válaszolt. November 1-jén a Dstat dstat[.]cc weboldalát lefoglalták a „PowerOFF művelet”, a DDoS-szolgáltatások elleni nemzetközi bűnüldözési akció részeként. A Flashpoint adataiból kiderül, hogy @kiberphant0m 2024. április 10-én azt mondta a Dstat egyik tagtársának, hogy az alternatív Telegram felhasználóneve „@reverseshell”, és ugyanezt tette két héttel később a The Jacuzzi nevű Telegram chatben. A fiók Telegram azonosítója a 5408575119. Még 2022. november 15-én @reverseshell azt mondta egy Cecilio Chat nevű Telegram-csatorna egyik tagtársának, hogy az amerikai hadsereg katonája.
