Bulut Güvenliği, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Cameron Wagenius’un Snowflake Müşterilerine Çalınan Veriler Üzerinden Şantaj Yaptığından Şüpheleniliyor
Mathew J. Schwartz (euroinfosec) •
31 Aralık 2024
Federal yetkililer, Snowflake müşteri hesaplarının ihlali ve ardından gelen gaspla bağlantılı olduğu bildirilen iki maddelik bir iddianame nedeniyle ABD ordusunun görevde olan bir üyesini tutukladı.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
Siber güvenlik blog yazarı Brian Krebs’in ilk bildirdiğine göre polis, 20 Aralık’ta ABD Ordusu’nun Teksas’taki eski adıyla Fort Hood askeri üssü Fort Cavazos yakınlarında Cameron John Wagenius’u (20) gözaltına aldı.
Wagenius’a karşı 18 Aralık’ta Seattle federal mahkemesinde mühürlü olarak sunulan iki maddelik iddianamede Wagenius, “gizli telefon kayıt bilgilerini” “bilerek ve kasıtlı olarak” sattığı ve aktardığı müşteriden “önceden izin” almadan suçlanıyor. Gizli telefon kayıtları ile ilgili bilgilerin “bunu yapmak için” yanı sıra “bu tür bilgilerin hileli olarak elde edildiğini bilmesi için bir neden olması.”
Mahkeme Pazartesi günü iddianameyi açıkladı.
İddianamede bulut tabanlı veri depolama platformu Snowflake’ten hiç bahsedilmiyor. Wagenius’un annesi Krebs’e, oğlunun Connor Riley Moucka (namı diğer “Judische”, “Waifu”) ile birlikte olduğunu ve oğlunun son iki yıldır Güney Kore’deki bir ABD askeri üssünde görevli olduğunu doğruladığını söyledi. ABD’ye periyodik ziyaretler gerçekleştirerek
Federal savcılar, Wagenius ile Bozeman, Minnesota merkezli Snowflake’in (AT&T ve Verizon dahil) müşterilerinin verilerinin çalınması arasında iddia edilen herhangi bir bağlantı hakkında yorum yapmayı reddetti.
Geçen ay açıklanan bir ABD iddianamesi, Moucka ve Amerikalı John Binns’i, 165’ten fazla kuruluşu etkileyen ve yaklaşık 50 milyar çağrı ve metin kaydını içeren büyük bir ihlalde bulut platformu Snowflake’ten terabaytlarca veri çalmakla ve ayrıca “en az 36 bitcoin”i gasp etmekle suçluyor. Kurbanlardan Salı günü itibarıyla 3,4 milyon dolar değerinde.
Snowflake’in saldırıları araştırmak için görevlendirdiği olay müdahale firması Mandiant, Snowflake verileri çalınan en az 10 kuruluşun, çalıntı verileri sızdırmama sözü karşılığında 300.000 ila 5 milyon dolar arasında değişen fidye talepleri aldığını söyledi.
Wired’ın haberine göre en az bir kurban, AT&T, saldırganlara 110 milyon AT&T cep telefonu planı müşterisine ait çalıntı verileri silme sözü karşılığında 370.000 dolar değerinde bir fidye ödedi. Bu, saldırganın bunu yaptığını gösteren bir videoyla da doğrulandı.
Kanada polisi Moucka’yı geçen ay tutukladı. Türk polisi, Binns’i 2021’de T-Mobile’ı hacklemekle suçlayan 2022 tarihli 12 maddelik ABD iddianamesine bağlı ayrı suçlamalar nedeniyle Mayıs ayında Binns’i tutukladı.
ABD her iki şüphelinin de iadesini istiyor.
Snowflake saldırganları, müşterilerin çok faktörlü kimlik doğrulamayı etkinleştirmediği hesaplara başarıyla erişti. Bulut sağlayıcısı daha sonra yeni hesaplar için zorunlu çok faktörlü, yöneticilere MFA’yı tüm kullanıcılar için zorunlu yapma olanağı veren ve henüz MFA’yı etkinleştirmemiş yerleşik hesaplar için düzenli olarak uyarıda bulunan bir dizi güvenlik iyileştirmesi uyguladı (bkz.: Müşterilerin İhlalinin Ardından Snowflake Güvenliği İyileştiriyor).
Geçtiğimiz ay Krebs, müfettişlerin Judische’nin “Kiberphant0m” adlı çevrimiçi kullanıcıyı fidye ödemeyi reddeden Snowflake kurbanlarının verilerini satmakla görevlendirdiğine inandığını bildirdi. Krebs, güvenlik araştırmacılarının Kiberphant0m’in Güney Kore’de görevli bir ABD askeri olduğuna dair kanıtlarına atıfta bulundu.
Kiberphant0m, siber suç sitesi Breach Forums’un düzenli olarak posteri olarak yer alıyor. Ocak ayında, hizmet reddi saldırıları oluşturmak için kullanılabilecek Mushi adlı “gelişmiş Linux botnet’inin” kaynak kodunu 3.000 dolar talep etti. Mayıs ayında “FBI’a ait büyük veriyi” satmayı teklif etti ve Haziran ayında Taylandlı bir telekomünikasyon firmasından çalındığı iddia edilen 900 gigabayt veriyi teklif etti. 14 Ekim’de Verizon’dan çalınan API erişim kimlik bilgileri, F5 ağ donanımı kimlik bilgileri, SIM anahtarları ve daha fazlasını içeren 328 gigabayt veriyi satışa sundu. Satış fiyatı 200.000 dolardı. 9 Kasım’da Kiberphant0m, bas-konuş Verizon müşterilerini “yüksek değerli hedefleri olanlara (kripto tercihi) yönelik” “SIM değiştirme hizmetleri”nin reklamını yaptı.
Moucka’nın tutuklanmasının ardından 7 Kasım’da Kiberphant0m, AT&T’yi tehdit ederek, hem ABD başkanlık adayları Kamala Harris hem de Donald Trump’ın “çağrı kayıtlarını” İhlal Forumlarına sızdırarak ve AT&T Telegram yoluyla ulaşmadığı sürece bu tür verileri daha fazla sızdırmakla tehdit ederek karşılık verdi. , birden fazla “#FREEWAIFU” hashtag’inin yer aldığı bir gönderide.
“Tutuklanma durumunda bir planımız olmadığını mı sanıyorsun?” Kiberphant0m paylaştı. “Bir daha düşün.”