Peretas Pemeras Snowflake Mungkin Tentara AS
(krebsonsecurity.com)- Bahkan setelah 2 orang ditangkap dalam kasus pencurian dan pemerasan data pelanggan Snowflake, tersangka yang belum ditangkap, Kiberphant0m, terus menekan para korban melalui berbagai identitas daring
- Para penyerang pada akhir 2023 mengincar fakta bahwa akun Snowflake di banyak perusahaan hanya dilindungi nama pengguna dan kata sandi tanpa autentikasi multifaktor, lalu menyusup ke repositori perusahaan besar
- Perusahaan korban termasuk AT&T; pada Juli, AT&T mengungkap pencurian informasi pribadi serta catatan panggilan dan SMS sekitar 110 juta orang, dan ada laporan bahwa 370 ribu dolar dibayarkan sebagai imbalan penghapusan catatan panggilan yang dicuri
- Akun-akun yang terhubung dengan Kiberphant0m mempromosikan penjualan data Snowflake, botnet DDoS, SIM swapping, serta penjualan akses ke server pemerintah dan operator telekomunikasi di BreachForums, Telegram, dan Discord
- Beberapa alias terkait dengan Angkatan Darat AS, penempatan di Korea, South Korea Telecom, Wi-Fi pangkalan militer, dan layar dukungan NSA, tetapi Kiberphant0m membantah pernah berdinas di militer AS maupun tinggal di Korea, dan mengklaim itu adalah identitas palsu yang sudah lama dibuat
Tersangka yang belum ditangkap dalam kasus pemerasan Snowflake
- Dua orang telah ditangkap atas tuduhan mencuri dan memeras data pelanggan Snowflake, tetapi sosok ketiga yang dikenal sebagai Kiberphant0m belum ditangkap dan masih secara terbuka memeras para korban
- Berbagai rekaman percakapan yang tersisa di forum kejahatan siber, Telegram, dan Discord mengindikasikan bahwa orang ini mungkin pernah menjadi prajurit Angkatan Darat AS atau hingga baru-baru ini ditempatkan di Korea
- Pada akhir 2023, para penyerang menemukan bahwa banyak perusahaan menaruh sejumlah besar data pelanggan sensitif di akun Snowflake mereka, tetapi tidak mewajibkan autentikasi multifaktor
- Setelah itu, mereka mencari kredensial akun Snowflake yang dicuri di pasar darknet dan menyusup ke penyimpanan data perusahaan-perusahaan besar dunia
Kerugian AT&T dan penangkapan tersangka sebelumnya
- Salah satu perusahaan korban, AT&T, pada Juli mengungkap bahwa penjahat siber telah mencuri informasi pribadi serta catatan panggilan dan SMS sekitar 110 juta orang
- Menurut Wired, AT&T membayar 370 ribu dolar kepada peretas untuk menghapus catatan panggilan yang dicuri
- Pada 30 Oktober, otoritas Kanada menangkap Alexander Moucka dari Kitchener, Ontario, alias Connor Riley Moucka, berdasarkan surat perintah penangkapan sementara dari AS
- AS kemudian mendakwanya dengan 20 tuduhan pidana terkait pembobolan Snowflake
- Tersangka lain dalam peretasan Snowflake, John Erin Binns, adalah warga AS yang sedang dipenjara di Turki
- Para penyelidik menilai Moucka menggunakan handle Judische dan Waifu, serta menugaskan Kiberphant0m untuk menjual data pelanggan Snowflake yang tidak membayar tebusan
Pemerasan terbuka yang berlanjut setelah penangkapan
- Tak lama setelah kabar penangkapan Moucka, Kiberphant0m memposting di BreachForums materi yang diklaim sebagai catatan panggilan AT&T milik presiden terpilih Donald J. Trump dan Wakil Presiden Kamala Harris
- Pada hari yang sama, ia juga mengunggah materi yang diklaim sebagai “data schema” milik U.S. National Security Agency
- Pada 5 November, ia menawarkan untuk menjual catatan panggilan pelanggan Verizon PTT, terutama lembaga pemerintah AS dan layanan darurat
- Pada 9 November, ia memposting di BreachForums penjualan layanan SIM swapping yang menargetkan pelanggan Verizon PTT
- SIM swapping adalah metode mengalihkan telepon dan SMS target ke perangkat yang dikendalikan penyerang menggunakan kredensial yang diphishing atau dicuri dari karyawan operator seluler
Kaitan Buttholio, Kiberphant0m, dan Shi-Bot
- Kiberphant0m bergabung dengan BreachForums pada Januari 2024, dan pada postingan pertamanya menyatakan dapat dihubungi melalui handle Telegram @cyb3rph4nt0m
- Akun @cyb3rph4nt0m telah memposting lebih dari 4.200 pesan sejak Januari 2024, banyak di antaranya berisi perekrutan orang untuk menyebarkan malware yang menginfeksi host ke botnet IoT
- Di BreachForums, ia menjual kode sumber botnet DDoS Linux kustom berbasis Mirai bernama Shi-Bot
- Sebelum serangan Snowflake terungkap pada Mei, tidak banyak postingan penjualan Kiberphant0m di BreachForums, dan cukup banyak di antaranya terkait database yang dicuri dari perusahaan Korea
- Pada 5 Juni 2024, seorang pengguna bernama “Buttholio” bergabung ke channel terkait penipuan di Telegram, Comgirl, dan mengklaim dirinya adalah Kiberphant0m
- Pengguna ini menyuruh orang mencari “kiberphant0m” di Google, sambil mengklaim ada lebih dari 50 artikel dan lebih dari 15 pembobolan operator telekomunikasi
- Ia juga mengatakan memiliki nomor IMSI semua orang yang terdaftar di Verizon, T-Mobile, AT&T, dan Verifone
Rekaman percakapan yang mengarah ke indikasi militer AS di Korea
- Pada 17 September 2023, Buttholio mengatakan di Discord pemain Escape from Tarkov bahwa hampir tidak ada extract camper atau cheater di server Korea
- Dalam pesan lain pada hari yang sama, ia menjelaskan bahwa ia membeli gim tersebut di AS tetapi bermain di server Asia
- Ia meninggalkan pesan bernada bahwa karena ia adalah u.s. soldier, ia membelinya di AS tetapi harus menggunakan server Asia karena penempatan rotasi
- Akun @Kiberphant0m yang terhubung ke Telegram ID 6953392511 juga muncul di channel Telegram terkait DDoS, Dstat
- Saat Kiberphant0m masuk ke Dstat, pengguna lain berkata “hi buttholio”, dan Kiberphant0m menjawab “wsg”
- Situs web Dstat, dstat[.]cc, disita pada 1 November sebagai bagian dari operasi penegakan hukum internasional Operation PowerOFF
Akun Reverseshell dan pernyataan terkait militer
- Menurut data Flashpoint, @kiberphant0m pada April 2024 mengungkap di channel Telegram Dstat dan The Jacuzzi bahwa nama pengguna Telegram lainnya adalah @reverseshell
- Telegram ID akun @reverseshell adalah 5408575119
- Pada 15 November 2022, @reverseshell mengatakan di channel Telegram Cecilio Chat bahwa dirinya adalah prajurit U.S. Army
- Ia juga membagikan foto yang memperlihatkan celana seragam militer dan ransel kamuflase
- Pada September 2022, pengguna lain mengancam akan melakukan serangan DDoS terhadap alamat internet Reverseshell, dan ketika serangan terjadi, Reverseshell menanggapi dengan maksud bahwa mereka “menghantam Wi-Fi kontrak pangkalan militer”
- Dalam percakapan pada Oktober 2022, ia membanggakan kecepatan server yang digunakan dan menjawab bahwa ia menggunakan South Korea Telecom untuk akses internet
- Pada 23 Agustus 2022, Reverseshell mengatakan bahwa ia menemukan informasi login valid untuk server internet dengan alat otomatisasi lalu menjualnya kembali
- Ia mengklaim telah menyusup ke server pemerintah AS, server kontrol telekomunikasi, pabrik mesin, server ISP Rusia, dan lainnya menggunakan kredensial default
- Pada 29 Juli 2023, ia mengunggah tangkapan layar halaman login perusahaan kontraktor pertahanan besar AS dan mengklaim menjual kredensial perusahaan kedirgantaraan
Riwayat Proman557, Vars_Secc, dan penjualan botnet
- Telegram ID 5408575119 menggunakan beberapa alias sejak 2022, termasuk Reverseshell dan Proman557
- Intel 471 mengonfirmasi catatan bahwa “Proman554” di Hackforums mendaftar pada September 2022 dan memberi tahu pengguna lain bahwa ia dapat dihubungi melalui akun Telegram Buttholio
- Proman557 adalah salah satu dari beberapa alias yang menjual malware botnet berbasis Linux di forum peretasan berbahasa Rusia, Exploit
- Proman557 diblokir karena tuduhan penipuan 350 dolar, dan operator Exploit memperingatkan bahwa pengguna ini pernah mendaftar dengan berbagai nama panggilan lain, termasuk Vars_Secc
- Aktivitas Telegram Vars_Secc berfokus pada gim online, operasi botnet DDoS, serta promosi penjualan dan penyewaan botnet
- Vars_Secc mencantumkan penggunaan botnet untuk menyerang server, DDoS demi memulihkan item gim, kerentanan desync RCE sisi server, pemerasan, dan hiburan
Penjualan akses ke server pemerintah dan telekomunikasi
- Pada Juni 2023, Vars_Secc mengatakan di channel SecHub bahwa dirinya telah aktif selama 4 tahun, dan pemerintah tidak akan membayar jutaan dolar kepada operator “botnet DDoS yang tidak bermakna”
- Selama beberapa bulan pada 2023, Vars_Secc aktif di forum kriminal berbahasa Rusia XSS dan menjual akses ke server pemerintah AS seharga 2.000 dolar
- Kemudian ia diblokir dari XSS setelah mencoba menjual akses ke operator telekomunikasi Rusia, Rostelecom
- Forum kriminal berbasis Rusia memiliki aturan yang melarang peretasan terhadap lembaga atau warga Rusia maupun penjualan data mereka
- Pada 20 Juni 2023, Vars_Secc memposting penjualan berjudul “Selling US Gov Financial Access” di forum Ramp 2.0
- Ia memposting akses ke server internal jaringan, koneksi 3–5 subroute, dan harga 1.250 dolar
- Pada bulan yang sama di Ramp, ia juga memposting penjualan akses ke server internal “Vietnam government Internet Network Information Center” seharga 500 dolar
Bug bounty dan kerentanan Naver
- Pada Mei 2023, Vars_Secc mengklaim di Telegram bahwa ia menghasilkan uang dengan melaporkan kerentanan perangkat lunak melalui HackerOne
- Ia mengatakan telah menerima imbalan bug bounty dari lebih dari 30 pihak, termasuk reddit.com, Departemen Pertahanan AS, dan Coinbase
- Sebulan sebelumnya, ia mengatakan telah mencemari cache reddit.com dan akan mengeksploitasi lebih jauh sebelum melaporkannya ke reddit
- HackerOne menjawab bahwa mereka akan menyelidiki klaim terkait
- Handle Telegram Vars_Secc juga mengklaim sebagai pemilik anggota BreachForums Boxfan
- Menurut Intel 471, tanda tangan pada postingan awal Boxfan di BreachForums memuat akun Telegram Vars_Secc
- Boxfan mengungkap kerentanan keamanan pada mesin pencari Korea Naver di BreachForums pada Januari 2024
- Postingan tersebut berisi ungkapan sangat negatif terhadap budaya Korea
Bantahan dan ketidakpastian yang tersisa
- Berbagai identitas yang terhubung dengan Kiberphant0m dengan kuat mengindikasikan bahwa orang ini mungkin pernah menjadi prajurit Angkatan Darat AS atau hingga baru-baru ini ditempatkan di Korea
- Alias-alias yang terhubung tidak menyebutkan pangkat militer, resimen, atau spesialisasi
- Pada 1 April 2023, Vars_Secc memposting tangkapan layar situs web NSA di channel Telegram publik, yang tampak seperti layar setelah ia melamar suatu pekerjaan di NSA
- NSA belum menanggapi permintaan komentar
- Kiberphant0m, yang dihubungi melalui Telegram, mengakui bahwa alias-alias lamanya telah terungkap, tetapi membantah pernah berdinas di militer AS atau tinggal di Korea
- Ia mengklaim itu adalah persona palsu yang sudah lama dibuat dan merupakan “Epic opsec troll”
- Mengenai kemungkinan ditangkap, ia mengatakan “aku secara harfiah tidak bisa ditangkap” dan mengklaim tidak tinggal di AS
1 komentar
Opini Hacker News
Kalau Kiberphant0m benar-benar tokoh rekaan untuk mengelabui penyelidik, rasanya ia tidak akan pernah mengakuinya seperti itu
Kedengarannya seperti orang yang berkelit setelah ketahuan, dan pada akhirnya tampaknya besar kemungkinan ia akan tertangkap
Di akhir tulisan Krebs juga ada gambar mind map yang menunjukkan keterkaitan antar-alias
Sebab semua tindakan target, termasuk upaya menyesatkan, membocorkan informasi atau menciptakan risiko kebocoran
Kalau benar-benar mengendalikan situasi, bahkan jika 99% yakin itu palsu, seseorang tetap bisa membuat lawan terus menghabiskan sumber daya untuk memverifikasi, jadi ia tidak akan membongkar penyamarannya sendiri
Apalagi jika persona seperti ini sudah dibangun lama dan sedang dilacak, jauh lebih masuk akal untuk menghilang begitu saja lalu menyusun rencana memulai lagi dengan persona baru
Jangan masukkan ucapannya dalam penilaian fakta; lihat saja bukti yang bisa diverifikasi
Kalau tujuannya membuat umpan, bukankah lebih baik memakai latar berbeda seperti 1 tentara AS, 1 orang Rusia, 1 orang Afrika?
Tampaknya cukup mudah bagi pemerintah untuk mempersempit cakupannya
Periksa log orang-orang yang melamar kerja ke NSA sekitar tanggal tangkapan layar itu diunggah, lalu cocokkan dengan mereka yang pernah atau sedang berada di Korea; daftar itu mungkin akan menjadi cukup pendek
Orang ini terlihat arogan, dan arogansi biasanya berujung pada kecerobohan, jadi rasanya ia akan tertangkap
Bagaimanapun, mungkin saja NSA menerimanya
Pernyataan seperti “coba cari ‘kiberphant0m’ di Google dengan tanda kutip. Aku tunggu. Ada lebih dari 50 artikel, dan aku sudah membobol 15+ operator telekomunikasi. Aku punya nomor IMSI semua orang yang terdaftar di Verizon, Tmobile, ATNT, Verifone” adalah bunuh diri setingkat SBF
Tertangkap hanya soal waktu, dan lembaga penyelidik federal tampaknya akan benar-benar menghancurkan badut ini
Karena kemungkinan mereka menilai dibobol lebih murah daripada berinvestasi pada keamanan
Bagian ketika Kiberphant0m login ke kanal Dstat lalu pengguna lain berkata “hi buttholio”, dan Kiberphant0m menjawab “wsg”, tampaknya agak sial bagi dirinya
Mungkin akan lebih baik kalau rujukan ke Beavis and Butt-Head dibuat lebih tepat
Jika nama penggunanya “Cornholio” atau “Bungholio”, itu bisa dibaca sekadar sebagai nama yang merujuk langsung ke acara tersebut, sehingga penyangkalan bahwa akun itu tidak terkait dengan akun lain mungkin sedikit lebih masuk akal
Sepertinya kita akan segera tahu seberapa baik NSA melakukan normalisasi basis data
Saatnya menunjukkan skemanya
Mungkin ada sesuatu yang bisa diketahui dari waktu posting orang ini, terutama histogram zona waktu dari posting yang membalas tulisan tepat sebelumnya
Karena itu akan menjadi sinyal bahwa ia sedang terjaga, bukan balasan yang ditunda secara sengaja
Krebs pasti tahu teknik analisis zona waktu, jadi saya penasaran apakah ia tidak memeriksanya atau hasilnya tidak konklusif
Di antara orang yang terlalu lama menempel di komputer, banyak yang pola tidurnya benar-benar rusak sehingga tampak seperti aktif dari zona waktu yang sama sekali berbeda
Untung saja para penjahat siber independen seperti ini terlalu arogan sampai membuat kesalahan keamanan operasional paling dasar dan mengekspos diri sendiri
Keterkaitan yang ditemukan Krebs atau Unit 221B dan informasi yang mereka rangkai benar-benar menarik, rasanya seperti membaca novel detektif
Orang ini tampaknya sudah tamat, dan tanggal melamar ke NSA saja pun rasanya sudah cukup untuk mengidentifikasi dirinya secara praktis
Kalau dikerjakan manual, waktunya akan sangat banyak
Orang itu nyalinya luar biasa
Kalau warga sipil tertangkap karena tindakan ilegal, ia berhak mendapat persidangan yang adil dengan juri dari sesama warga, tetapi kalau prajurit tertangkap melakukan hal yang sama, pengadilan militer nyaris hanya formalitas dan pada dasarnya ia akan langsung masuk penjara sangat lama
Saya penasaran apakah hal seperti ini dijelaskan dengan jelas kepada orang-orang saat mendaftar
Menjadi penjahat kelas kakap itu terlalu sulit
Satu kesalahan saja bisa menjebol semuanya, ada jutaan peluang untuk membuat kesalahan, dan penyelidik juga punya jutaan peluang untuk beruntung menebaknya
Saya penasaran berapa sebenarnya persentase penjahat yang tertangkap karena keamanan operasional yang ceroboh