1 ポイント 投稿者 GN⁺ 2024-11-28 | 1件のコメント | WhatsAppで共有
  • Snowflake顧客企業のデータ窃取・脅迫事件で2人が逮捕された後も、未逮捕の容疑者 Kiberphant0m は複数のオンライン上の身元を通じて被害者への圧力を続けている
  • 攻撃者らは2023年末、多くの企業のSnowflakeアカウントが 多要素認証なしで ユーザー名とパスワードだけで保護されている点を突き、大企業のストレージに侵入した
  • 被害企業には AT&T も含まれ、AT&Tは7月に約1億1,000万人分の個人情報と通話・SMS記録の盗難を公表し、盗まれた通話記録の削除と引き換えに37万ドルが支払われたとの報道も出た
  • Kiberphant0mと結び付けられたアカウントは、BreachForums、Telegram、Discordで Snowflakeデータの販売、DDoSボットネット、SIMスワッピング、政府・通信会社サーバーへのアクセス権販売を宣伝していた
  • 複数の別名は米陸軍、韓国駐留、South Korea Telecom、軍基地のWi-Fi、NSA応募画面と結び付けられているが、Kiberphant0mは米軍勤務や韓国滞在を否定し、長年作り上げた偽の身元だと主張している

Snowflake脅迫事件の未逮捕容疑者

  • Snowflake顧客企業のデータを盗み脅迫した容疑で2人が逮捕されたが、Kiberphant0m として知られる3人目の人物はまだ逮捕されておらず、公然と被害者を脅している
  • サイバー犯罪フォーラム、Telegram、Discordに残された複数の会話記録は、この人物が米陸軍の兵士だったか、最近まで 韓国に駐留していた 可能性を示唆している
  • 攻撃者らは2023年末、多くの企業がSnowflakeアカウントに大量の機密顧客データを保存しながらも 多要素認証 を必須にしていないことを発見した
  • その後、ダークネット市場で盗まれたSnowflakeアカウントの認証情報を探し出し、世界の主要企業のデータストレージに侵入した

AT&T被害と既存容疑者の逮捕

  • 被害企業の1つである AT&T は7月、サイバー犯罪者が約1億1,000万人分の個人情報と通話・SMS記録を盗んだと公表した
  • Wiredによれば、AT&Tは盗まれた通話記録を削除させるため、ハッカーに 37万ドル を支払った
  • カナダ当局は10月30日、米国の仮逮捕状に基づき、オンタリオ州キッチナーの Alexander Moucka、別名 Connor Riley Moucka を逮捕した
    • 米国はその後、Snowflake侵害に関連して彼を20件の犯罪容疑で起訴した
    • Snowflakeハッキングの別の容疑者 John Erin Binns は、トルコで収監中の米国人である
  • 捜査当局は、Mouckaが JudischeWaifu というハンドルを使い、身代金を支払わなかったSnowflake顧客企業のデータ販売をKiberphant0mに任せていたとみている

逮捕後も続く公開脅迫

  • Moucka逮捕の報道直後、Kiberphant0mはBreachForumsに、ドナルド・J・トランプ次期大統領とカマラ・ハリス副大統領の AT&T通話記録 だと主張する資料を投稿した
  • 同日、U.S. National Security Agency の「data schema」だとする資料も掲載した
  • 11月5日には、Verizon PTT顧客、主に米政府機関や緊急対応機関の通話記録を販売すると持ちかけた
  • 11月9日には、BreachForumsでVerizon PTT顧客を狙った SIMスワッピング サービスを販売する投稿を行った
    • SIMスワッピングとは、通信会社従業員からフィッシングまたは窃取した認証情報を使い、標的の電話とSMSを攻撃者が制御する端末へ転送する手法である

Buttholio、Kiberphant0m、Shi-Botのつながり

  • Kiberphant0mは2024年1月にBreachForumsへ参加し、最初の投稿でTelegramハンドル @cyb3rph4nt0m で連絡できると明かした
  • @cyb3rph4nt0m アカウントは2024年1月以降4,200件を超えるメッセージを投稿しており、その多くはIoTボットネットにホストを感染させるマルウェアを配布する人材募集に関するものだった
  • BreachForumsでは、MiraiベースのカスタムLinux DDoSボットネット Shi-Bot のソースコードを販売していた
  • Snowflake攻撃が5月に公表される前、Kiberphant0mのBreachForumsでの販売投稿は多くなく、そのかなりの部分は韓国企業から窃取したデータベースに関するものだった
  • 2024年6月5日、Telegramの詐欺関連チャンネル Comgirl に「Buttholio」というユーザーが参加し、自分がKiberphant0mだと主張した
    • このユーザーはGoogleで「kiberphant0m」を検索してみろと言い、50本を超える記事と15件以上の通信会社侵害を主張した
    • Verizon、T-Mobile、AT&T、Verifoneに登録されたすべての人のIMSI番号を持っているとも語った

韓国駐留米軍の可能性につながる会話記録

  • 2023年9月17日、Buttholioは Escape from Tarkov プレイヤーのDiscordで、韓国サーバーには extract camper や cheater がほとんどいないと話した
  • 同日の別のメッセージでは、自分は米国でゲームを買ったがアジアサーバーでプレイしていると説明した
    • 自分は u.s. soldier なので米国で購入したが、ローテーション配備のためアジアサーバーを使わなければならないという趣旨のメッセージを残していた
  • Telegram ID 6953392511 に結び付いた @Kiberphant0m アカウントは、DDoS関連のTelegramチャンネル Dstat にも登場する
    • Kiberphant0mがDstatに接続すると、別のユーザーが「hi buttholio」と話しかけ、Kiberphant0mは「wsg」と返答した
    • DstatのWebサイト dstat[.]cc は11月1日、国際的な法執行作戦 Operation PowerOFF の一環として差し押さえられた

Reverseshellアカウントと軍関連の発言

  • Flashpointのデータによれば、@kiberphant0m は2024年4月、Telegramチャンネル Dstat と The Jacuzzi で、自身の別のTelegramユーザー名が @reverseshell だと明かした
  • @reverseshell アカウントのTelegram IDは 5408575119 である
  • 2022年11月15日、@reverseshell はTelegramチャンネル Cecilio Chat で、自分は U.S. Army の兵士だと述べた
    • 軍服のズボンと迷彩バックパックが見える写真も共有した
  • 2022年9月、別のユーザーがReverseshellのIPアドレスにDDoS攻撃を仕掛けると脅し、攻撃が発生すると、Reverseshellは「軍基地契約のWi-Fiを叩いた」といった趣旨で応答した
  • 2022年10月の会話では、自分が使っているサーバー速度を誇示し、インターネット接続に South Korea Telecom を使っていると答えた
  • 2022年8月23日、Reverseshellは、自動化ツールでインターネットサーバーの有効なログイン情報を見つけ出して再販したと述べた
    • 米政府サーバー、通信制御サーバー、機械工場、ロシアのISPサーバーなどにデフォルト認証情報で侵入したと主張した
    • 2023年7月29日には、米主要防衛企業のログインページのスクリーンショットを投稿し、航空宇宙企業の認証情報を販売していると主張した

Proman557、Vars_Secc、ボットネット販売歴

  • Telegram ID 5408575119 は2022年以降、ReverseshellProman557 など複数の別名を使用している
  • Intel 471 は、Hackforumsの「Proman554」が2022年9月に登録され、他ユーザーにTelegramアカウント Buttholio で連絡できると伝えていた記録を確認した
  • Proman557は、ロシア語ハッキングフォーラム Exploit でLinuxベースのボットネット型マルウェアを販売した複数の別名の1つだった
  • Proman557は350ドルの詐欺容疑でBANされ、Exploitの運営者は、このユーザーが Vars_Secc など複数の別ニックネームで登録したことがあると警告した
  • Vars_SeccのTelegram活動は、オンラインゲーム、DDoSボットネット運用、ボットネットの販売・レンタル宣伝に集中していた
    • Vars_Seccは、ボットネットをサーバー攻撃、ゲームアイテム奪還目的のDDoS、サーバー側の desync RCE 脆弱性、脅迫、娯楽に使うと列挙していた

政府・通信サーバーへのアクセス権販売

  • 2023年6月、Vars_SeccはSecHubチャンネルで、自分は4年間活動しており、政府が「無意味なDDoSボットネット」運営者に数百万ドルを払うことはないと語った
  • 2023年の数か月間、Vars_Seccはロシア語犯罪フォーラム XSS で活動し、米政府サーバーへのアクセス権を2,000ドルで販売した
  • その後、ロシアの通信会社 Rostelecom へのアクセス権を販売しようとしてXSSからBANされた
    • ロシア系犯罪フォーラムには、ロシアの機関や市民をハッキングしたり、そのデータを販売したりする行為を禁じる規則がある
  • 2023年6月20日、Vars_SeccはRamp 2.0フォーラムに「Selling US Gov Financial Access」という販売投稿を掲載した
    • ネットワーク内部サーバーへのアクセス権、3〜5個の subroute 接続、価格 1,250ドル と記載していた
  • 同じ月、Rampで「Vietnam government Internet Network Information Center」の内部サーバーへのアクセス権も 500ドル で販売すると投稿した

バグバウンティとNaver脆弱性

  • Vars_Seccは2023年5月、Telegramで HackerOne を通じてソフトウェア脆弱性を報告して金を稼いでいると主張した
  • reddit.com、米国防総省、Coinbaseなど30件以上から バグバウンティ 報奨金を受け取ったと述べた
  • その1か月前には、reddit.comのキャッシュを汚染し、さらに悪用した後でredditに報告すると語っていた
  • HackerOneは、関連する主張について調査すると回答した
  • Vars_SeccのTelegramハンドルは、BreachForumsメンバー Boxfan の所有者でもあると主張している
    • Intel 471によれば、Boxfanの初期のBreachForums投稿の署名にはVars_SeccのTelegramアカウントが記載されていた
    • Boxfanは2024年1月、BreachForumsで韓国の検索エンジン Naver のセキュリティ脆弱性を公開した
    • その投稿には韓国文化に対する強い否定的表現が含まれていた

否認と残る不確実性

  • Kiberphant0mと結び付けられた複数の身元は、この人物が 米陸軍兵士 だったか、少なくとも最近まで韓国に駐留していた可能性を強く示している
  • 関連する別名は、軍の階級、連隊、専門分野には言及していない
  • 2023年4月1日、Vars_SeccはNSAのWebサイトのスクリーンショットを公開Telegramチャンネルに投稿し、すでにNSAの何らかの職に応募した画面のように見えた
  • NSAはコメント要請にまだ応じていない
  • Telegram経由で連絡を受けたKiberphant0mは、過去の別名が明らかになった事実は認めたが、米軍勤務や韓国滞在は否定した
    • それは長年作り上げた偽のペルソナであり、「Epic opsec troll」だったと主張した
    • 逮捕される可能性については「自分は文字通り捕まらない」と述べ、米国には住んでいないと主張した

1件のコメント

 
GN⁺ 2024-11-28
Hacker Newsの意見
  • Kiberphant0mが本当に捜査官を欺くための架空の人物だったのなら、絶対にそう認めたりはしなかったと思う
    バレた後に言い訳している人のように聞こえるし、結局捕まる可能性が高そう
    Krebsの記事の最後には、別名同士のつながりを示すマインドマップ画像もある

    • 情報分析官に聞けば、opsec trollのようなものは存在しないと言いそう
      標的が取るあらゆる行動は、ミスリード行為も含めて、情報を漏らすか漏らすリスクを生むから
      実際に状況をコントロールできているなら、99%偽物だと確信していても相手に確認のためのリソースを使い続けさせられるので、偽装を自分から台無しにしたりはしない
      特にこういうペルソナを長く作り込んでいて追跡されているなら、そのまま潜伏して新しいペルソナでやり直す計画を立てるほうがずっとありそう
    • これは二重偽装の話と呼ばれるもので、捕まったり露見したりしたときに使う古典的な回避手口
    • 信用できない人の言うことは信じないほうがいい
      その人の発言は事実判断に入れず、検証可能な証拠だけを見るべき
    • 同じテーマで複数の別名を作ったこと自体が、悪い作戦保全に見える
      囮を作る目的だったなら、米軍関係者1人、ロシア人1人、アフリカ人1人のように、それぞれ違う設定にしたほうがよかったのではと思う
  • 政府が範囲を絞るのはかなり簡単そう
    スクリーンショットが投稿された日の前後にNSAへの採用応募をした人たちのログを確認し、その中で韓国にいた、またはいる人と照合すれば、リストはかなり短くなりそう
    この人は傲慢に見えるし、傲慢さは不注意につながるので捕まりそう

    • まもなく捕まると分かっていて、急いでNSAの門をたたいたのかもしれない
      いずれにせよ、NSAが受け入れる可能性もある
  • 「Googleで引用符付きで『kiberphant0m』を検索してみろ。待ってる。記事は50本超、通信事業者は15社以上を侵害した。Verizon、Tmobile、ATNT、Verifoneに登録されている全員のIMSI番号を持っている」みたいな発言は、SBF級の自爆
    捕まるのは時間の問題で、連邦捜査機関がこのピエロを徹底的に締め上げそう

    • むしろ「Verizon、Tmobile、ATNT、Verifoneに登録されている全員のIMSI番号」を渡した15社以上の通信事業者が締め上げられるところを見たい
      セキュリティに投資するより、侵害されるほうが安いと判断したのだろうから
  • Kiberphant0mがDstatチャンネルにログインすると、別のユーザーが「hi buttholio」と言い、Kiberphant0mが「wsg」と返したというくだりは、本人にとってちょっと不運に見える
    Beavis and Butt-Headへの参照をもう少しうまくやっていればよかったのに
    ユーザー名が「Cornholio」や「Bungholio」だったなら、単に番組を直接参照した名前と読めて、別アカウントとは無関係だという否認が少しはもっともらしくなったかもしれない

    • 「絶対に捕まらない」から、「いや、Hacker Newsで俺のエリートハッカーとしてのアイデンティティである……メモ確認……Buttholioがみんなに議論されている。名前をもう少し練るべきだったか」へ移ったわけだ
  • まもなくNSAがデータベースをどれだけうまく正規化しているか分かりそう
    スキーマを見せる時間だ

  • この人の投稿時間、特に直前の投稿に返信した投稿のタイムゾーン別ヒストグラムを見ると、何か分かるのではないかと思う
    人為的に遅らせた返信ではなく、起きていたというシグナルだろうから
    Krebsもタイムゾーン分析の手法は知っているはずだけど、確認しなかったのか、それとも結論が出なかったのか気になる

    • これが9時から5時まで給料をもらってやっている人ではない場合にも有効なのかは分からない
      コンピューターに長時間張り付く人の中には、睡眠パターンが完全に崩れて、まったく別のタイムゾーンで活動しているように見える人も多い
  • こういう独立系のサイバー犯罪者たちがあまりに傲慢で、最も基本的な作戦保全のミスをして自ら露見してくれるのはありがたい

  • KrebsやUnit 221Bが見つけたつながりと、そこから組み立てた情報は本当に興味深く、探偵小説を読んでいるようだった
    この人はもう終わったように見えるし、NSAへの応募日だけでも事実上身元が特定されそう

    • 221BはSherlock Holmesが住んでいた221B Baker Streetを指す
    • データが十分にあれば、最近は優れたLLMプロンプトでこうした追跡作業をどのくらい自動化できるのか気になる
      手作業でやるとものすごく時間がかかる
  • あの人は度胸がすごい
    民間人が違法行為で捕まれば、同世代の陪審員団による公正な裁判を受ける権利があるが、軍人が同じことをして捕まると、軍法会議はほとんど形式に近く、事実上すぐに非常に長い期間刑務所に入ることになる

    • 軍に入ると市民としての権利を放棄することになるのか?
      入隊時にこうした内容が人々へ明確に説明されているのか気になる
  • 大物犯罪者になるのは難しすぎる
    一度でもミスすれば突破されるし、ミスする機会も何百万回とあり、捜査官が運よく当てる機会も何百万回とある

    • その通りだけど、私たちが耳にするのはミスした人たちだけ
      実際にずさんな作戦保全のせいで捕まる犯罪者の割合がどのくらいなのか気になる