# 스노우플레이크 협박 해커, 미군일 가능성 > Clean Markdown view of GeekNews topic #17990. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=17990](https://news.hada.io/topic?id=17990) - GeekNews Markdown: [https://news.hada.io/topic/17990.md](https://news.hada.io/topic/17990.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-11-28T09:48:15+09:00 - Updated: 2024-11-28T09:48:15+09:00 - Original source: [krebsonsecurity.com](https://krebsonsecurity.com/2024/11/hacker-in-snowflake-extortions-may-be-a-u-s-soldier/) - Points: 1 - Comments: 0 ## Topic Body - 두 명의 남성이 클라우드 데이터 저장 회사 **Snowflake**를 이용하는 여러 기업의 데이터를 훔치고 협박한 혐의로 체포되었음. 그러나 세 번째 용의자인 **Kiberphant0m**이라는 해커는 여전히 활동 중이며 피해자들을 공개적으로 협박하고 있음. Kiberphant0m의 신원은 미국 육군 병사로, 최근 한국에 주둔했을 가능성이 있음. - Kiberphant0m은 여러 사이버 범죄 포럼과 Telegram, Discord 채널에서 Snowflake 고객의 데이터를 판매하고 있음. 2023년 말, 해커들은 많은 기업이 민감한 고객 데이터를 Snowflake 계정에 업로드했으며, 이 계정들이 단순한 사용자 이름과 비밀번호로만 보호되고 있다는 사실을 발견했음. - 해커들은 Snowflake 계정 자격 증명을 도난당한 후, 세계 최대 기업들의 데이터 저장소를 침입하기 시작했음. 이 중에는 **AT&T**도 포함되어 있으며, AT&T는 약 1억 1천만 명의 개인 정보와 전화 및 문자 메시지 기록이 도난당했다고 7월에 공개했음. - 캐나다 당국은 10월 30일 **Alexander Moucka**를 체포했으며, 그는 Snowflake 해킹과 관련된 20건의 범죄 혐의로 기소되었음. 또 다른 용의자인 **John Erin Binns**는 현재 터키에서 수감 중임. - Kiberphant0m은 Moucka의 체포 소식이 전해진 직후, 해커 커뮤니티 **BreachForums**에 AT&T의 **도널드 J. 트럼프** 대통령 당선인과 **카말라 해리스** 부통령의 통화 기록을 게시하며 협박했음. - Kiberphant0m은 또한 Verizon의 푸시 투 토크(PTT) 고객의 통화 기록을 판매하고 있으며, Verizon PTT 고객을 대상으로 하는 "SIM 스와핑" 서비스를 제공하고 있음. ### ‘BUTTHOLIO’ 소개 - Kiberphant0m은 2024년 1월 BreachForums에 가입했으며, Discord와 Telegram 채널에서의 활동은 최소 2022년 초부터 시작되었음. BreachForums에서 첫 게시물에서 Telegram 핸들 **@cyb3rph4nt0m**으로 연락할 수 있다고 밝힘. - @cyb3rph4nt0m은 2024년 1월 이후 4,200개 이상의 메시지를 게시했으며, 많은 메시지는 IoT 봇넷에 호스트 머신을 감염시키는 악성 소프트웨어를 배포할 사람을 모집하려는 시도였음. - Kiberphant0m은 BreachForums에서 Mirai 악성 소프트웨어를 기반으로 한 Linux DDoS 봇넷 " **Shi-Bot** "의 소스 코드를 판매했음. ### ‘REVERSESHELL’ - @Kiberphant0m은 Telegram ID 6953392511로 지정되었으며, Flashpoint의 데이터에 따르면 2024년 1월 4일 Dstat 채널에 게시했음. 이 채널은 DDoS 공격을 수행하고 DDoS 대여 서비스를 판매하는 사이버 범죄자들이 모여 있음. - Flashpoint의 데이터에 따르면 @kiberphant0m은 2024년 4월 10일 Dstat의 다른 회원에게 자신의 대체 Telegram 사용자 이름이 " **@reverseshell** "이라고 밝힘. - 2022년 11월 15일, @reverseshell은 Telegram 채널 Cecilio Chat에서 자신이 미 육군 병사라고 밝힘. ### PROMAN AND VARS_SECC - Flashpoint는 Telegram ID 5408575119가 2022년부터 Reverseshell 및 **Proman557**이라는 여러 별칭을 사용했다고 밝힘. - Intel 471은 Proman557이라는 이름이 2022년 러시아어 해킹 포럼 **Exploit**에서 다양한 Linux 기반 봇넷 악성 소프트웨어를 판매한 사람 중 하나라고 밝힘. ### BUG BOUNTIES - Vars_Secc는 2023년 5월 Telegram에서 **HackerOne**을 통해 소프트웨어 결함에 대한 보고서를 제출하여 돈을 벌었다고 주장했음. HackerOne은 기술 회사가 제품 및 서비스의 보안 취약점에 대한 보고서를 처리하도록 돕는 회사임. - Vars_Secc는 **reddit.com**, **미국 국방부**, **Coinbase** 등 30개 이상의 회사에서 버그 바운티를 받았다고 주장했음. - Kiberphant0m의 여러 정체성은 그가 최근까지 한국에 주둔한 미 육군 병사일 가능성을 강하게 시사함. Kiberphant0m의 다른 정체성은 군 계급, 연대, 또는 전문성을 언급하지 않았으나, 그의 컴퓨터 및 네트워킹 능력이 군대에서 주목받았을 가능성이 있음. ## Comments _No public comments on this page._