Kiberphant0m: Един от най-опасните хакери може да е войник от американската армия
От Snowflake до AT&T: Кой стои зад поредност от хакерски офанзиви на високо равнище?
Емил Василев 13:42 | 28.11.2024 0 СподелиНай-четени
IT НовиниЕмил Василев - 13:33 | 27.11.2024BETL: Нова финансова пирамида или действителен източник на въздържан приход?
IT НовиниДаниел Маринов - 20:16 | 26.11.2024НАСА разгласява зашеметяващо изображение на галактиката Сомбреро, снимано от JWST
IT НовиниДаниел Десподов - 13:56 | 25.11.2024Пробив: електрическото задвижване на Mahle може да работи непрестанно при 92% от оптималната изходна мощ
Емил Василевhttps://www.kaldata.com/Един от най-загадъчните персонажи в света на киберпрестъпността – хакерът под псевдонима Kiberphant0m стана обект на международнo разследванe. Действията му се свързват с доста известни приключвания на данни, само че самият той до момента е избягвал арест. Покрай задържането на негови сътрудници обаче се появи информация, която може да хвърли светлина върху самоличността му.
Киберпрестъпникът е станал прочут във конгреси като BreachForums, в Telegram канали и даже в чат стаи за игри. Последните му жертви са клиенти на Snowflake, в това число на корпорацията AT&T, за която се оповестява, че е платила 370 000 $, с цел да бъдат изтрити откраднатите данни.
Но кой е Kiberphant0m? Нови доказателства сочат непредвидена връзка с американската войска.
През октомври тази година канадските управляващи арестуват Александър Мука, един от съдружниците на Kiberphant0m, прочут също под псевдонимите Judische и Waifu. Мука е упрекнат, че е продавал данни, откраднати от консуматори на Snowflake, които са отказали да платят откуп. След ареста на Мука Kiberphant0m пуска прочувствени закани в BreachForums, заявявайки, че е подготвен да разгласява президентските записи на AT&T. Постовете му бяха съпроводени от хаштагове #FREEWAIFU.
Сред данните, за които се твърди, че Kiberphant0m е откраднал са записи на държавни диалози, схеми на данните на Националната работа за сигурност и информация за незабавните служби на Verizon. Във форумите Kiberphant0m също по този начин продава бази данни, откраднати от южнокорейски компании. Това е забележителна смяна в неговия фокус след приключването на информация за Snowflake. Преди това активността му се свеждаше главно до продажба на принадлежности за основаване на ботнети.
Kiberphant0m постоянно употребява и други псевдоними като Reverseshell и Proman557. Един от тях беше Proman557, с който той се появи в хакерски конгреси през 2022 година.
Под това име Kiberphant0m разгласява реклами за продажба на основани на Linux ботнети и достъп до корпоративни мрежи. Въпреки това активността му в рускоезичния конгрес Exploit приключи със скандал – той беше баннат за машинация в размер на 350 $. Това обаче не попречи на нарушителя по-късно да продължи активността във форума под ново име – Vars_Secc.
Telegram акаунтът @Kiberphant0m с ID 6953392511 интензивно взе участие в полемиките в канала Dstat, където киберпрестъпниците се събират, с цел да оферират услуги за DDoS офанзиви. На 4 януари 2024 година, незабавно откакто Kiberphant0m се включил към полемиката, един от потребителите с псевдоним „ buttholio “ го поздравил, на което той дал отговор с познатия диалект „ wsg “ („ какво ново? “). В началото на този месец обаче активността на канала и самия уебсайт Dstat беше спряна по време на интернационалната интервенция PowerOFF.
През април Kiberphant0m признал в канала Dstat, че употребява различен акаунт в Telegram под псевдонима @Reverseshell. Две седмици по-късно той удостовери това в различен Telegram канал, наименуван The Jacuzzi. Това доста улеснило работата на проверяващите.
Telegram акаунтът Vars_Secc също по този начин декларирал принадлежност към консуматор на BreachForums под псевдонима „ Boxfan “. Според изданието Intel 471 в първите си изявления във форума той е присъединил Telegram акаунта Vars_Secc в подписа си. В последния си пост в BreachForums през януари тази година Boxfan разкрива открита от него накърнимост в Naver, най-популярната търсачка в Южна Корея. Коментарите разкриват извънредно отрицателното му отношение към южнокорейската просвета.
По едно време Kiberphant0m даже припечелвал пари от „ bug bounty “ стратегия за награди за намиране на уязвимости, като си сътрудничи с компании като Reddit и Coinbase. В едно от известията си той декларира, че е разкрил накърнимост в системата на огромна американска авиокосмическа компания. Вместо да рапортува за уязвимостта, той взема решение да пусне данните за продажба.
Най-интригуващият детайл от историята са, несъмнено, думите, показващи връзки с военните. В преписка от 2022 година хакерът под един от своите прякори твърди, че служи в американската войска в южнокорейска база.
Тази версия се удостоверява от скрийншотове: те демонстрират, че той е употребявал боен Wi-Fi и е носел военна униформа. Предвид уменията му е допустимо той да е взел участие в киберподразделението на армията. Публикациите във форумите за игри също рисуват необикновена картина – хакерът споделя опита си от потреблението на корейски сървъри в онлайн игри.
Между другото, Kiberphant0m постоянно провокира недоволството на модераторите на форумите за киберпрестъпления. Той неведнъж е бил банван за измами, само че това не му е попречило да продължи да предлага услугите си, в това число да хаква държавни сървъри и да препродава достъпа до тях.
Големият въпрос е – може ли той в действителност да остане неосезаем?
Kiberphant0m твърди, че е отвън обсега на правоприлагащите органи, и че „ прикритието “ на военната му работа е единствено похищение на вниманието. Въпреки това проверяващите не престават да търсят следи, като проучват цифрови отпечатъци и анонимни сметки.
Въпреки изказванията на хакера, че е „ невредим “, киберекспертите считат, че карцерът му е единствено въпрос на време. Вече са насъбрани голям брой доказателства, в това число връзки сред псевдонимите му, IP адресите и форумите, в които е търгувал с данни. Изглежда, че даже измежду киберпрестъпниците този човек заема неповторимо място. Докато множеството му сътрудници се концентрират върху финансови данни и корпоративни уязвимости, Kiberphant0m показва селективен метод, ориентиран към държавни организации и сериозна инфраструктура.
