1 puntos por GN⁺ 2024-11-28 | 1 comentarios | Compartir por WhatsApp
  • Incluso después de que dos personas fueran arrestadas por el robo de datos y la extorsión a clientes de Snowflake, el sospechoso no detenido Kiberphant0m sigue presionando a las víctimas mediante varias identidades en línea
  • A fines de 2023, los atacantes aprovecharon que las cuentas de Snowflake de muchas empresas estaban protegidas solo con nombres de usuario y contraseñas, sin autenticación multifactor, para ingresar a repositorios de grandes compañías
  • Entre las empresas afectadas está AT&T, que en julio reveló el robo de información personal y registros de llamadas y mensajes de texto de unos 110 millones de personas; también se reportó que se pagaron 370.000 dólares a cambio de borrar los registros de llamadas robados
  • Cuentas vinculadas a Kiberphant0m promocionaron en BreachForums, Telegram y Discord la venta de datos de Snowflake, botnets DDoS, SIM swapping y venta de accesos a servidores gubernamentales y de operadores de telecomunicaciones
  • Varias identidades apuntan a vínculos con el Ejército de EE. UU., una presencia en Corea del Sur, South Korea Telecom, Wi‑Fi de una base militar y una pantalla de postulación a la NSA, pero Kiberphant0m niega haber servido en el ejército estadounidense o haber estado en Corea del Sur, y afirma que era una identidad falsa construida durante mucho tiempo

El sospechoso no detenido en el caso de extorsión a Snowflake

  • Aunque dos personas fueron arrestadas por presuntamente robar datos de clientes de Snowflake y extorsionarlos, una tercera persona conocida como Kiberphant0m aún no ha sido detenida y sigue extorsionando públicamente a las víctimas
  • Múltiples registros de conversaciones que quedaron en foros de ciberdelincuencia, Telegram y Discord sugieren que esta persona podría haber sido soldado del Ejército de EE. UU. o haber estado destinada en Corea del Sur hasta hace poco
  • A fines de 2023, los atacantes descubrieron que muchas empresas almacenaban grandes volúmenes de datos sensibles de clientes en sus cuentas de Snowflake, pero no exigían autenticación multifactor
  • Luego buscaron en mercados de la dark web credenciales robadas de cuentas de Snowflake e ingresaron a repositorios de datos de grandes empresas de todo el mundo

El impacto en AT&T y el arresto de sospechosos anteriores

  • Una de las empresas afectadas, AT&T, reveló en julio que ciberdelincuentes habían robado información personal y registros de llamadas y mensajes de texto de unos 110 millones de personas
  • Según Wired, AT&T pagó 370.000 dólares a un hacker para que borrara los registros de llamadas robados
  • El 30 de octubre, las autoridades canadienses arrestaron en Kitchener, Ontario, a Alexander Moucka, alias Connor Riley Moucka, en virtud de una orden de arresto provisional de EE. UU.
    • Posteriormente, EE. UU. lo acusó de 20 delitos relacionados con las intrusiones a Snowflake
    • Otro sospechoso del hackeo a Snowflake, John Erin Binns, es un ciudadano estadounidense encarcelado en Turquía
  • Los investigadores creen que Moucka usaba los alias Judische y Waifu, y que encargó a Kiberphant0m la venta de datos de clientes de Snowflake que no pagaron el rescate

Extorsión pública tras los arrestos

  • Poco después de conocerse el arresto de Moucka, Kiberphant0m publicó en BreachForums material que afirmó eran registros de llamadas de AT&T del presidente electo Donald J. Trump y de la vicepresidenta Kamala Harris
  • Ese mismo día también publicó material que afirmó era un “data schema” de la U.S. National Security Agency
  • El 5 de noviembre ofreció vender registros de llamadas de clientes de Verizon PTT, principalmente agencias del gobierno estadounidense y servicios de emergencia
  • El 9 de noviembre publicó en BreachForums una oferta de servicios de SIM swapping dirigidos a clientes de Verizon PTT
    • El SIM swapping consiste en redirigir las llamadas y mensajes de texto del objetivo a un dispositivo controlado por el atacante usando credenciales obtenidas por phishing o robadas a empleados de la operadora móvil

Vínculos entre Buttholio, Kiberphant0m y Shi-Bot

  • Kiberphant0m se registró en BreachForums en enero de 2024 y en su primera publicación indicó que podían contactarlo mediante el handle de Telegram @cyb3rph4nt0m
  • La cuenta @cyb3rph4nt0m publicó más de 4.200 mensajes desde enero de 2024, muchos de ellos para reclutar personas que distribuyeran malware que infectara hosts para una botnet IoT
  • En BreachForums vendió el código fuente de Shi-Bot, una botnet DDoS Linux personalizada basada en Mirai
  • Antes de que los ataques a Snowflake se hicieran públicos en mayo, Kiberphant0m no tenía muchas publicaciones de venta en BreachForums, y varias estaban relacionadas con bases de datos robadas a empresas coreanas
  • El 5 de junio de 2024, un usuario llamado “Buttholio” participó en el canal de Telegram relacionado con fraudes Comgirl y afirmó ser Kiberphant0m
    • Este usuario dijo que buscaran “kiberphant0m” en Google, y afirmó que había más de 50 artículos y más de 15 intrusiones a operadores de telecomunicaciones
    • También dijo que tenía los números IMSI de todas las personas registradas en Verizon, T-Mobile, AT&T y Verifone

Registros de conversaciones que apuntan a un militar estadounidense destinado en Corea del Sur

  • El 17 de septiembre de 2023, Buttholio dijo en un Discord de jugadores de Escape from Tarkov que en los servidores de Corea casi no había extract campers ni tramposos
  • En otro mensaje del mismo día explicó que había comprado el juego en EE. UU., pero jugaba en servidores asiáticos
    • Dejó un mensaje en el sentido de que lo había comprado en EE. UU. porque era u.s. soldier, pero que tenía que usar servidores asiáticos por una rotación de destino
  • La cuenta @Kiberphant0m vinculada al Telegram ID 6953392511 también aparece en el canal de Telegram relacionado con DDoS Dstat
    • Cuando Kiberphant0m entró a Dstat, otro usuario dijo “hi buttholio”, y Kiberphant0m respondió “wsg”
    • El sitio web de Dstat, dstat[.]cc, fue incautado el 1 de noviembre como parte de la operación internacional de fuerzas de seguridad Operation PowerOFF

La cuenta Reverseshell y comentarios relacionados con el ejército

  • Según datos de Flashpoint, @kiberphant0m reveló en abril de 2024, en los canales de Telegram Dstat y The Jacuzzi, que su otro nombre de usuario en Telegram era @reverseshell
  • El Telegram ID de la cuenta @reverseshell es 5408575119
  • El 15 de noviembre de 2022, @reverseshell dijo en el canal de Telegram Cecilio Chat que era soldado del U.S. Army
    • También compartió una foto en la que se veían pantalones de uniforme militar y una mochila de camuflaje
  • En septiembre de 2022, otro usuario amenazó con lanzar un ataque DDoS contra la dirección de Internet de Reverseshell y, cuando el ataque ocurrió, Reverseshell respondió en el sentido de que habían atacado el “Wi‑Fi contratado de una base militar”
  • En una conversación de octubre de 2022, presumió la velocidad del servidor que usaba y respondió que utilizaba South Korea Telecom para su conexión a Internet
  • El 23 de agosto de 2022, Reverseshell dijo que usaba herramientas automatizadas para encontrar inicios de sesión válidos en servidores de Internet y revenderlos
    • Afirmó haber ingresado con credenciales predeterminadas a servidores del gobierno estadounidense, servidores de control de telecomunicaciones, fábricas de maquinaria y servidores de ISP rusos
    • El 29 de julio de 2023 publicó una captura de una página de inicio de sesión de un importante contratista de defensa estadounidense y afirmó que vendía credenciales de una empresa aeroespacial

Historial de Proman557, Vars_Secc y venta de botnets

  • El Telegram ID 5408575119 usó varios alias desde 2022, incluidos Reverseshell y Proman557
  • Intel 471 confirmó registros de que “Proman554”, de Hackforums, se registró en septiembre de 2022 y dijo a otro usuario que podía contactarlo mediante la cuenta de Telegram Buttholio
  • Proman557 fue uno de los varios alias que vendieron malware de botnets basadas en Linux en el foro de hacking en ruso Exploit
  • Proman557 fue baneado por una acusación de estafa de 350 dólares, y el operador de Exploit advirtió que este usuario se había registrado antes con varios otros nicks, incluido Vars_Secc
  • La actividad de Vars_Secc en Telegram se centraba en juegos en línea, operación de botnets DDoS y promoción de venta y alquiler de botnets
    • Vars_Secc enumeró que usaba botnets para atacar servidores, hacer DDoS con el fin de recuperar ítems de juegos, explotar una vulnerabilidad RCE de desincronización del lado del servidor, extorsionar y entretenerse

Venta de accesos a servidores gubernamentales y de telecomunicaciones

  • En junio de 2023, Vars_Secc dijo en el canal SecHub que llevaba cuatro años activo y que el gobierno no pagaría millones de dólares a un operador de “botnets DDoS sin sentido”
  • Durante varios meses de 2023, Vars_Secc participó en el foro criminal en ruso XSS y vendió acceso a servidores del gobierno estadounidense por 2.000 dólares
  • Más tarde fue baneado de XSS al intentar vender acceso a la operadora rusa Rostelecom
    • Los foros criminales con base en Rusia tienen reglas que prohíben hackear a instituciones o ciudadanos rusos, o vender sus datos
  • El 20 de junio de 2023, Vars_Secc publicó en el foro Ramp 2.0 una oferta titulada “Selling US Gov Financial Access”
    • Publicó que ofrecía acceso a servidores internos de una red, conexión a 3-5 subrutas y un precio de 1.250 dólares
  • Ese mismo mes publicó en Ramp que también vendía acceso a servidores internos del “Vietnam government Internet Network Information Center” por 500 dólares

Bug bounty y vulnerabilidad en Naver

  • Vars_Secc afirmó en Telegram en mayo de 2023 que ganaba dinero reportando vulnerabilidades de software mediante HackerOne
  • Dijo que había recibido recompensas de bug bounty de más de 30 organizaciones, incluidas reddit.com, el Departamento de Defensa de EE. UU. y Coinbase
  • Un mes antes dijo que había envenenado la caché de reddit.com y que, después de explotarlo más, lo reportaría a reddit
  • HackerOne respondió que investigaría esas afirmaciones
  • El handle de Telegram de Vars_Secc también afirmó ser el dueño del miembro de BreachForums Boxfan
    • Según Intel 471, la firma de las primeras publicaciones de Boxfan en BreachForums incluía la cuenta de Telegram de Vars_Secc
    • En enero de 2024, Boxfan divulgó en BreachForums una vulnerabilidad de seguridad del buscador coreano Naver
    • Esa publicación incluía expresiones fuertemente negativas sobre la cultura coreana

Negaciones e incertidumbres restantes

  • Varias identidades vinculadas a Kiberphant0m sugieren con fuerza que esta persona podría haber sido soldado del Ejército de EE. UU. o haber estado destinada en Corea del Sur hasta hace poco
  • Los alias vinculados no mencionan rango militar, regimiento ni especialidad
  • El 1 de abril de 2023, Vars_Secc publicó en un canal público de Telegram una captura del sitio web de la NSA, que parecía mostrar una pantalla en la que ya había postulado a algún puesto en la NSA
  • La NSA aún no respondió a una solicitud de comentarios
  • Kiberphant0m, contactado por Telegram, reconoció que se revelaron sus alias anteriores, pero negó haber servido en el ejército estadounidense o haber estado en Corea del Sur
    • Afirmó que era una falsa persona que había construido durante mucho tiempo y un “Epic opsec troll”
    • Sobre la posibilidad de ser arrestado, dijo: “literalmente no pueden atraparme”, y afirmó que no vive en EE. UU.

1 comentarios

 
GN⁺ 2024-11-28
Opiniones de Hacker News
  • Si Kiberphant0m realmente hubiera sido una persona ficticia para engañar a los investigadores, creo que jamás lo habría admitido así
    Suena como alguien inventando excusas después de que lo descubrieron, y al final parece bastante probable que lo atrapen
    Al final del artículo de Krebs también hay una imagen tipo mapa mental que muestra las conexiones entre los alias

    • Si le preguntas a un analista de inteligencia, probablemente diría que no existe algo como un opsec troll
      Porque todo lo que hace el objetivo, incluso las maniobras de desinformación, filtra información o crea el riesgo de filtrarla
      Si de verdad tienes la situación bajo control, aunque estés 99% seguro de que algo es falso, puedes hacer que la otra parte siga gastando recursos en verificarlo, así que no quemas tu propia cobertura
      Especialmente si construiste una persona así durante mucho tiempo y te están rastreando, suena mucho más plausible simplemente desaparecer y planear empezar de nuevo con otra persona
    • A esto se le llama una historia de doble encubrimiento, una táctica clásica de evasión cuando te atrapan o quedas expuesto
    • Es mejor no creer lo que dice una persona poco confiable
      No hay que tomar sus palabras para decidir qué es verdad; solo hay que mirar la evidencia verificable
    • El solo hecho de crear varios alias con la misma temática parece mala seguridad operacional
      Si el objetivo era crear señuelos, ¿no habría sido mejor usar configuraciones distintas, como un militar estadounidense, un ruso y un africano?
  • Para el gobierno parece bastante fácil acotar el rango
    Revisas los logs de las personas que hicieron una postulación de empleo a la NSA alrededor de la fecha en que se subió la captura de pantalla, y luego cruzas eso con quienes estuvieron o están en Corea; la lista debería quedar bastante corta
    Esta persona parece arrogante, y la arrogancia lleva al descuido, así que creo que la van a atrapar

    • Tal vez tocó apurado la puerta de la NSA porque sabe que pronto lo atraparán
      De todos modos, quizá la NSA lo acepte
  • Una declaración del estilo “busca ‘kiberphant0m’ en Google con comillas. Te espero. Más de 50 artículos, y hackeé a más de 15 operadoras. Tengo los números IMSI de todos los registrados en Verizon, Tmobile, ATNT y Verifone” es un autosabotaje nivel SBF
    Que lo atrapen es cuestión de tiempo, y las agencias federales van a exprimir bien a este payaso

    • Más bien me gustaría ver cómo exprimen a las más de 15 operadoras que entregaron “los números IMSI de todos los registrados en Verizon, Tmobile, ATNT y Verifone”
      Porque seguramente concluyeron que era más barato que las hackearan que invertir en seguridad
  • La parte en la que Kiberphant0m inició sesión en el canal de Dstat y otro usuario dijo “hi buttholio”, y Kiberphant0m respondió “wsg”, parece algo desafortunada para él
    Le habría convenido hacer mejor la referencia a Beavis and Butt-Head
    Si el nombre de usuario hubiera sido “Cornholio” o “Bungholio”, podría leerse simplemente como una referencia directa al programa, y su negación de relación con otras cuentas habría sonado un poco más plausible

    • Pasó de “nunca me podrán atrapar” a “no, en Hacker News todos están discutiendo mi identidad de hacker élite, que es... reviso mis notas... Buttholio. Tal vez debí pulir un poco más el nombre”
  • Parece que pronto sabremos qué tan bien normaliza la NSA sus bases de datos
    Es hora de mostrar el esquema

  • Tal vez se podría inferir algo mirando sus horarios de publicación, en especial un histograma de zonas horarias de las publicaciones que responden a mensajes inmediatamente anteriores
    Porque serían una señal de que estaba despierto, no respuestas retrasadas artificialmente
    Krebs seguramente conoce las técnicas de análisis de zonas horarias, así que me pregunto si no lo revisó o si no llegó a una conclusión

    • No sé si eso funciona cuando no se trata de alguien que cobra un sueldo de 9 a 5
      Entre quienes pasan demasiado tiempo pegados a la computadora, muchos tienen el patrón de sueño tan destruido que podrían parecer activos en una zona horaria completamente distinta
  • Es una suerte que estos ciberdelincuentes independientes sean tan arrogantes que cometan los errores más básicos de seguridad operacional y se expongan solos

  • Las conexiones que encontraron Krebs o Unit 221B y la información que hilaron fueron realmente interesantes; se sentía como leer una novela policial
    Esta persona parece acabada, y solo con la fecha de postulación a la NSA prácticamente podrían identificarla

    • 221B se refiere al 221B de Baker Street, donde vivía Sherlock Holmes
    • Si hay suficientes datos, me pregunto qué tanto se podría automatizar hoy este tipo de rastreo con un buen prompt para un LLM
      Hacerlo manualmente toma muchísimo tiempo
  • Ese tipo sí que tiene agallas
    Si a un civil lo atrapan cometiendo un acto ilegal, tiene derecho a un juicio justo con un jurado de sus pares, pero si a un militar lo atrapan haciendo lo mismo, el juicio militar es casi una formalidad y en la práctica va directo a la cárcel por muchísimo tiempo

    • ¿Al entrar al ejército uno renuncia a sus derechos civiles?
      Me pregunto si esto se les explica claramente a las personas al enlistarse
  • Ser un criminal de grandes ligas es demasiado difícil
    Con equivocarte una sola vez ya te vulneran, y tienes millones de oportunidades para equivocarte, así como los investigadores tienen millones de oportunidades para acertar por suerte

    • Es cierto, pero solo nos enteramos de quienes se equivocaron
      Me pregunto qué proporción de criminales en realidad cae por una seguridad operacional deficiente