1 poin oleh GN⁺ 2024-11-28 | 1 komentar | Bagikan ke WhatsApp
  • Bahkan setelah 2 orang ditangkap dalam kasus pencurian dan pemerasan data pelanggan Snowflake, tersangka yang belum ditangkap, Kiberphant0m, terus menekan para korban melalui berbagai identitas daring
  • Para penyerang pada akhir 2023 mengincar fakta bahwa akun Snowflake di banyak perusahaan hanya dilindungi nama pengguna dan kata sandi tanpa autentikasi multifaktor, lalu menyusup ke repositori perusahaan besar
  • Perusahaan korban termasuk AT&T; pada Juli, AT&T mengungkap pencurian informasi pribadi serta catatan panggilan dan SMS sekitar 110 juta orang, dan ada laporan bahwa 370 ribu dolar dibayarkan sebagai imbalan penghapusan catatan panggilan yang dicuri
  • Akun-akun yang terhubung dengan Kiberphant0m mempromosikan penjualan data Snowflake, botnet DDoS, SIM swapping, serta penjualan akses ke server pemerintah dan operator telekomunikasi di BreachForums, Telegram, dan Discord
  • Beberapa alias terkait dengan Angkatan Darat AS, penempatan di Korea, South Korea Telecom, Wi-Fi pangkalan militer, dan layar dukungan NSA, tetapi Kiberphant0m membantah pernah berdinas di militer AS maupun tinggal di Korea, dan mengklaim itu adalah identitas palsu yang sudah lama dibuat

Tersangka yang belum ditangkap dalam kasus pemerasan Snowflake

  • Dua orang telah ditangkap atas tuduhan mencuri dan memeras data pelanggan Snowflake, tetapi sosok ketiga yang dikenal sebagai Kiberphant0m belum ditangkap dan masih secara terbuka memeras para korban
  • Berbagai rekaman percakapan yang tersisa di forum kejahatan siber, Telegram, dan Discord mengindikasikan bahwa orang ini mungkin pernah menjadi prajurit Angkatan Darat AS atau hingga baru-baru ini ditempatkan di Korea
  • Pada akhir 2023, para penyerang menemukan bahwa banyak perusahaan menaruh sejumlah besar data pelanggan sensitif di akun Snowflake mereka, tetapi tidak mewajibkan autentikasi multifaktor
  • Setelah itu, mereka mencari kredensial akun Snowflake yang dicuri di pasar darknet dan menyusup ke penyimpanan data perusahaan-perusahaan besar dunia

Kerugian AT&T dan penangkapan tersangka sebelumnya

  • Salah satu perusahaan korban, AT&T, pada Juli mengungkap bahwa penjahat siber telah mencuri informasi pribadi serta catatan panggilan dan SMS sekitar 110 juta orang
  • Menurut Wired, AT&T membayar 370 ribu dolar kepada peretas untuk menghapus catatan panggilan yang dicuri
  • Pada 30 Oktober, otoritas Kanada menangkap Alexander Moucka dari Kitchener, Ontario, alias Connor Riley Moucka, berdasarkan surat perintah penangkapan sementara dari AS
    • AS kemudian mendakwanya dengan 20 tuduhan pidana terkait pembobolan Snowflake
    • Tersangka lain dalam peretasan Snowflake, John Erin Binns, adalah warga AS yang sedang dipenjara di Turki
  • Para penyelidik menilai Moucka menggunakan handle Judische dan Waifu, serta menugaskan Kiberphant0m untuk menjual data pelanggan Snowflake yang tidak membayar tebusan

Pemerasan terbuka yang berlanjut setelah penangkapan

  • Tak lama setelah kabar penangkapan Moucka, Kiberphant0m memposting di BreachForums materi yang diklaim sebagai catatan panggilan AT&T milik presiden terpilih Donald J. Trump dan Wakil Presiden Kamala Harris
  • Pada hari yang sama, ia juga mengunggah materi yang diklaim sebagai “data schema” milik U.S. National Security Agency
  • Pada 5 November, ia menawarkan untuk menjual catatan panggilan pelanggan Verizon PTT, terutama lembaga pemerintah AS dan layanan darurat
  • Pada 9 November, ia memposting di BreachForums penjualan layanan SIM swapping yang menargetkan pelanggan Verizon PTT
    • SIM swapping adalah metode mengalihkan telepon dan SMS target ke perangkat yang dikendalikan penyerang menggunakan kredensial yang diphishing atau dicuri dari karyawan operator seluler

Kaitan Buttholio, Kiberphant0m, dan Shi-Bot

  • Kiberphant0m bergabung dengan BreachForums pada Januari 2024, dan pada postingan pertamanya menyatakan dapat dihubungi melalui handle Telegram @cyb3rph4nt0m
  • Akun @cyb3rph4nt0m telah memposting lebih dari 4.200 pesan sejak Januari 2024, banyak di antaranya berisi perekrutan orang untuk menyebarkan malware yang menginfeksi host ke botnet IoT
  • Di BreachForums, ia menjual kode sumber botnet DDoS Linux kustom berbasis Mirai bernama Shi-Bot
  • Sebelum serangan Snowflake terungkap pada Mei, tidak banyak postingan penjualan Kiberphant0m di BreachForums, dan cukup banyak di antaranya terkait database yang dicuri dari perusahaan Korea
  • Pada 5 Juni 2024, seorang pengguna bernama “Buttholio” bergabung ke channel terkait penipuan di Telegram, Comgirl, dan mengklaim dirinya adalah Kiberphant0m
    • Pengguna ini menyuruh orang mencari “kiberphant0m” di Google, sambil mengklaim ada lebih dari 50 artikel dan lebih dari 15 pembobolan operator telekomunikasi
    • Ia juga mengatakan memiliki nomor IMSI semua orang yang terdaftar di Verizon, T-Mobile, AT&T, dan Verifone

Rekaman percakapan yang mengarah ke indikasi militer AS di Korea

  • Pada 17 September 2023, Buttholio mengatakan di Discord pemain Escape from Tarkov bahwa hampir tidak ada extract camper atau cheater di server Korea
  • Dalam pesan lain pada hari yang sama, ia menjelaskan bahwa ia membeli gim tersebut di AS tetapi bermain di server Asia
    • Ia meninggalkan pesan bernada bahwa karena ia adalah u.s. soldier, ia membelinya di AS tetapi harus menggunakan server Asia karena penempatan rotasi
  • Akun @Kiberphant0m yang terhubung ke Telegram ID 6953392511 juga muncul di channel Telegram terkait DDoS, Dstat
    • Saat Kiberphant0m masuk ke Dstat, pengguna lain berkata “hi buttholio”, dan Kiberphant0m menjawab “wsg”
    • Situs web Dstat, dstat[.]cc, disita pada 1 November sebagai bagian dari operasi penegakan hukum internasional Operation PowerOFF

Akun Reverseshell dan pernyataan terkait militer

  • Menurut data Flashpoint, @kiberphant0m pada April 2024 mengungkap di channel Telegram Dstat dan The Jacuzzi bahwa nama pengguna Telegram lainnya adalah @reverseshell
  • Telegram ID akun @reverseshell adalah 5408575119
  • Pada 15 November 2022, @reverseshell mengatakan di channel Telegram Cecilio Chat bahwa dirinya adalah prajurit U.S. Army
    • Ia juga membagikan foto yang memperlihatkan celana seragam militer dan ransel kamuflase
  • Pada September 2022, pengguna lain mengancam akan melakukan serangan DDoS terhadap alamat internet Reverseshell, dan ketika serangan terjadi, Reverseshell menanggapi dengan maksud bahwa mereka “menghantam Wi-Fi kontrak pangkalan militer”
  • Dalam percakapan pada Oktober 2022, ia membanggakan kecepatan server yang digunakan dan menjawab bahwa ia menggunakan South Korea Telecom untuk akses internet
  • Pada 23 Agustus 2022, Reverseshell mengatakan bahwa ia menemukan informasi login valid untuk server internet dengan alat otomatisasi lalu menjualnya kembali
    • Ia mengklaim telah menyusup ke server pemerintah AS, server kontrol telekomunikasi, pabrik mesin, server ISP Rusia, dan lainnya menggunakan kredensial default
    • Pada 29 Juli 2023, ia mengunggah tangkapan layar halaman login perusahaan kontraktor pertahanan besar AS dan mengklaim menjual kredensial perusahaan kedirgantaraan

Riwayat Proman557, Vars_Secc, dan penjualan botnet

  • Telegram ID 5408575119 menggunakan beberapa alias sejak 2022, termasuk Reverseshell dan Proman557
  • Intel 471 mengonfirmasi catatan bahwa “Proman554” di Hackforums mendaftar pada September 2022 dan memberi tahu pengguna lain bahwa ia dapat dihubungi melalui akun Telegram Buttholio
  • Proman557 adalah salah satu dari beberapa alias yang menjual malware botnet berbasis Linux di forum peretasan berbahasa Rusia, Exploit
  • Proman557 diblokir karena tuduhan penipuan 350 dolar, dan operator Exploit memperingatkan bahwa pengguna ini pernah mendaftar dengan berbagai nama panggilan lain, termasuk Vars_Secc
  • Aktivitas Telegram Vars_Secc berfokus pada gim online, operasi botnet DDoS, serta promosi penjualan dan penyewaan botnet
    • Vars_Secc mencantumkan penggunaan botnet untuk menyerang server, DDoS demi memulihkan item gim, kerentanan desync RCE sisi server, pemerasan, dan hiburan

Penjualan akses ke server pemerintah dan telekomunikasi

  • Pada Juni 2023, Vars_Secc mengatakan di channel SecHub bahwa dirinya telah aktif selama 4 tahun, dan pemerintah tidak akan membayar jutaan dolar kepada operator “botnet DDoS yang tidak bermakna”
  • Selama beberapa bulan pada 2023, Vars_Secc aktif di forum kriminal berbahasa Rusia XSS dan menjual akses ke server pemerintah AS seharga 2.000 dolar
  • Kemudian ia diblokir dari XSS setelah mencoba menjual akses ke operator telekomunikasi Rusia, Rostelecom
    • Forum kriminal berbasis Rusia memiliki aturan yang melarang peretasan terhadap lembaga atau warga Rusia maupun penjualan data mereka
  • Pada 20 Juni 2023, Vars_Secc memposting penjualan berjudul “Selling US Gov Financial Access” di forum Ramp 2.0
    • Ia memposting akses ke server internal jaringan, koneksi 3–5 subroute, dan harga 1.250 dolar
  • Pada bulan yang sama di Ramp, ia juga memposting penjualan akses ke server internal “Vietnam government Internet Network Information Center” seharga 500 dolar

Bug bounty dan kerentanan Naver

  • Pada Mei 2023, Vars_Secc mengklaim di Telegram bahwa ia menghasilkan uang dengan melaporkan kerentanan perangkat lunak melalui HackerOne
  • Ia mengatakan telah menerima imbalan bug bounty dari lebih dari 30 pihak, termasuk reddit.com, Departemen Pertahanan AS, dan Coinbase
  • Sebulan sebelumnya, ia mengatakan telah mencemari cache reddit.com dan akan mengeksploitasi lebih jauh sebelum melaporkannya ke reddit
  • HackerOne menjawab bahwa mereka akan menyelidiki klaim terkait
  • Handle Telegram Vars_Secc juga mengklaim sebagai pemilik anggota BreachForums Boxfan
    • Menurut Intel 471, tanda tangan pada postingan awal Boxfan di BreachForums memuat akun Telegram Vars_Secc
    • Boxfan mengungkap kerentanan keamanan pada mesin pencari Korea Naver di BreachForums pada Januari 2024
    • Postingan tersebut berisi ungkapan sangat negatif terhadap budaya Korea

Bantahan dan ketidakpastian yang tersisa

  • Berbagai identitas yang terhubung dengan Kiberphant0m dengan kuat mengindikasikan bahwa orang ini mungkin pernah menjadi prajurit Angkatan Darat AS atau hingga baru-baru ini ditempatkan di Korea
  • Alias-alias yang terhubung tidak menyebutkan pangkat militer, resimen, atau spesialisasi
  • Pada 1 April 2023, Vars_Secc memposting tangkapan layar situs web NSA di channel Telegram publik, yang tampak seperti layar setelah ia melamar suatu pekerjaan di NSA
  • NSA belum menanggapi permintaan komentar
  • Kiberphant0m, yang dihubungi melalui Telegram, mengakui bahwa alias-alias lamanya telah terungkap, tetapi membantah pernah berdinas di militer AS atau tinggal di Korea
    • Ia mengklaim itu adalah persona palsu yang sudah lama dibuat dan merupakan “Epic opsec troll”
    • Mengenai kemungkinan ditangkap, ia mengatakan “aku secara harfiah tidak bisa ditangkap” dan mengklaim tidak tinggal di AS

1 komentar

 
GN⁺ 2024-11-28
Opini Hacker News
  • Kalau Kiberphant0m benar-benar tokoh rekaan untuk mengelabui penyelidik, rasanya ia tidak akan pernah mengakuinya seperti itu
    Kedengarannya seperti orang yang berkelit setelah ketahuan, dan pada akhirnya tampaknya besar kemungkinan ia akan tertangkap
    Di akhir tulisan Krebs juga ada gambar mind map yang menunjukkan keterkaitan antar-alias

    • Kalau bertanya kepada analis intelijen, mereka mungkin akan bilang tidak ada yang namanya opsec troll
      Sebab semua tindakan target, termasuk upaya menyesatkan, membocorkan informasi atau menciptakan risiko kebocoran
      Kalau benar-benar mengendalikan situasi, bahkan jika 99% yakin itu palsu, seseorang tetap bisa membuat lawan terus menghabiskan sumber daya untuk memverifikasi, jadi ia tidak akan membongkar penyamarannya sendiri
      Apalagi jika persona seperti ini sudah dibangun lama dan sedang dilacak, jauh lebih masuk akal untuk menghilang begitu saja lalu menyusun rencana memulai lagi dengan persona baru
    • Ini disebut cerita penyamaran ganda, taktik mengelak klasik yang dipakai saat tertangkap atau terekspos
    • Lebih baik tidak memercayai ucapan orang yang tidak bisa dipercaya
      Jangan masukkan ucapannya dalam penilaian fakta; lihat saja bukti yang bisa diverifikasi
    • Membuat beberapa alias dengan tema yang sama itu sendiri terlihat seperti keamanan operasional yang buruk
      Kalau tujuannya membuat umpan, bukankah lebih baik memakai latar berbeda seperti 1 tentara AS, 1 orang Rusia, 1 orang Afrika?
  • Tampaknya cukup mudah bagi pemerintah untuk mempersempit cakupannya
    Periksa log orang-orang yang melamar kerja ke NSA sekitar tanggal tangkapan layar itu diunggah, lalu cocokkan dengan mereka yang pernah atau sedang berada di Korea; daftar itu mungkin akan menjadi cukup pendek
    Orang ini terlihat arogan, dan arogansi biasanya berujung pada kecerobohan, jadi rasanya ia akan tertangkap

    • Bisa juga ia tahu akan segera tertangkap, jadi buru-buru mengetuk pintu NSA
      Bagaimanapun, mungkin saja NSA menerimanya
  • Pernyataan seperti “coba cari ‘kiberphant0m’ di Google dengan tanda kutip. Aku tunggu. Ada lebih dari 50 artikel, dan aku sudah membobol 15+ operator telekomunikasi. Aku punya nomor IMSI semua orang yang terdaftar di Verizon, Tmobile, ATNT, Verifone” adalah bunuh diri setingkat SBF
    Tertangkap hanya soal waktu, dan lembaga penyelidik federal tampaknya akan benar-benar menghancurkan badut ini

    • Saya justru ingin melihat 15+ operator telekomunikasi yang menyerahkan “nomor IMSI semua orang yang terdaftar di Verizon, Tmobile, ATNT, Verifone” itu dihancurkan
      Karena kemungkinan mereka menilai dibobol lebih murah daripada berinvestasi pada keamanan
  • Bagian ketika Kiberphant0m login ke kanal Dstat lalu pengguna lain berkata “hi buttholio”, dan Kiberphant0m menjawab “wsg”, tampaknya agak sial bagi dirinya
    Mungkin akan lebih baik kalau rujukan ke Beavis and Butt-Head dibuat lebih tepat
    Jika nama penggunanya “Cornholio” atau “Bungholio”, itu bisa dibaca sekadar sebagai nama yang merujuk langsung ke acara tersebut, sehingga penyangkalan bahwa akun itu tidak terkait dengan akun lain mungkin sedikit lebih masuk akal

    • Jadinya berubah dari “aku tidak mungkin tertangkap” menjadi “oh tidak, di Hacker News semua orang sedang membahas identitas hacker elitku yang... cek catatan... Buttholio. Mungkin seharusnya namanya kubuat lebih rapi”
  • Sepertinya kita akan segera tahu seberapa baik NSA melakukan normalisasi basis data
    Saatnya menunjukkan skemanya

  • Mungkin ada sesuatu yang bisa diketahui dari waktu posting orang ini, terutama histogram zona waktu dari posting yang membalas tulisan tepat sebelumnya
    Karena itu akan menjadi sinyal bahwa ia sedang terjaga, bukan balasan yang ditunda secara sengaja
    Krebs pasti tahu teknik analisis zona waktu, jadi saya penasaran apakah ia tidak memeriksanya atau hasilnya tidak konklusif

    • Entah apakah ini tetap efektif jika orang itu bukan pekerja bergaji 9-to-5
      Di antara orang yang terlalu lama menempel di komputer, banyak yang pola tidurnya benar-benar rusak sehingga tampak seperti aktif dari zona waktu yang sama sekali berbeda
  • Untung saja para penjahat siber independen seperti ini terlalu arogan sampai membuat kesalahan keamanan operasional paling dasar dan mengekspos diri sendiri

  • Keterkaitan yang ditemukan Krebs atau Unit 221B dan informasi yang mereka rangkai benar-benar menarik, rasanya seperti membaca novel detektif
    Orang ini tampaknya sudah tamat, dan tanggal melamar ke NSA saja pun rasanya sudah cukup untuk mengidentifikasi dirinya secara praktis

    • 221B merujuk pada 221B Baker Street, tempat tinggal Sherlock Holmes
    • Kalau datanya cukup, saya penasaran sejauh mana pekerjaan pelacakan seperti ini sekarang bisa diotomatisasi dengan prompt LLM yang bagus
      Kalau dikerjakan manual, waktunya akan sangat banyak
  • Orang itu nyalinya luar biasa
    Kalau warga sipil tertangkap karena tindakan ilegal, ia berhak mendapat persidangan yang adil dengan juri dari sesama warga, tetapi kalau prajurit tertangkap melakukan hal yang sama, pengadilan militer nyaris hanya formalitas dan pada dasarnya ia akan langsung masuk penjara sangat lama

    • Apakah masuk militer berarti melepaskan hak-hak sipil?
      Saya penasaran apakah hal seperti ini dijelaskan dengan jelas kepada orang-orang saat mendaftar
  • Menjadi penjahat kelas kakap itu terlalu sulit
    Satu kesalahan saja bisa menjebol semuanya, ada jutaan peluang untuk membuat kesalahan, dan penyelidik juga punya jutaan peluang untuk beruntung menebaknya

    • Benar, tapi kita hanya mendengar tentang orang-orang yang melakukan kesalahan
      Saya penasaran berapa sebenarnya persentase penjahat yang tertangkap karena keamanan operasional yang ceroboh