스노우플레이크 협박 해커, 미군일 가능성
(krebsonsecurity.com)- Snowflake 고객사 데이터 탈취·협박 사건에서 2명이 체포된 뒤에도, 미체포 용의자 Kiberphant0m은 여러 온라인 정체성을 통해 계속 피해자를 압박하고 있음
- 공격자들은 2023년 말 다수 기업의 Snowflake 계정이 다중 인증 없이 사용자명과 비밀번호만으로 보호된다는 점을 노려 대형 기업 저장소에 침입함
- 피해 기업에는 AT&T도 포함되며, AT&T는 7월 약 1억 1천만 명의 개인정보와 통화·문자 기록 도난을 공개했고 도난 통화 기록 삭제 대가로 37만 달러가 지급됐다는 보도도 나옴
- Kiberphant0m과 연결된 계정들은 BreachForums, Telegram, Discord에서 Snowflake 데이터 판매, DDoS 봇넷, SIM 스와핑, 정부·통신사 서버 접근권 판매를 홍보함
- 여러 별칭은 미국 육군, 한국 주둔, South Korea Telecom, 군 기지 Wi-Fi, NSA 지원 화면과 연결되지만, Kiberphant0m은 미군 복무와 한국 체류를 부인하며 오래 만든 가짜 정체성이라고 주장함
Snowflake 협박 사건의 미체포 용의자
- Snowflake 고객사 데이터를 훔치고 협박한 혐의로 2명이 체포됐지만, Kiberphant0m으로 알려진 세 번째 인물은 아직 체포되지 않았고 공개적으로 피해자를 협박하고 있음
- 사이버범죄 포럼, Telegram, Discord에 남은 여러 대화 기록은 이 인물이 미국 육군 병사였거나 최근까지 한국에 주둔했을 가능성을 시사함
- 공격자들은 2023년 말 많은 기업이 Snowflake 계정에 대량의 민감 고객 데이터를 올려두면서도 다중 인증을 요구하지 않는다는 점을 발견함
- 이후 다크넷 시장에서 탈취된 Snowflake 계정 자격 증명을 찾아 세계 주요 기업의 데이터 저장소에 침입함
AT&T 피해와 기존 용의자 체포
- 피해 기업 중 하나인 AT&T는 7월 사이버범죄자가 약 1억 1천만 명의 개인정보와 통화·문자 기록을 훔쳤다고 공개함
- Wired에 따르면 AT&T는 도난당한 통화 기록 삭제를 위해 해커에게 37만 달러를 지급함
- 캐나다 당국은 10월 30일 미국의 임시 체포영장에 따라 Ontario Kitchener의 Alexander Moucka, 별칭 Connor Riley Moucka를 체포함
- 미국은 이후 Snowflake 침해와 관련해 그를 20개 범죄 혐의로 기소함
- Snowflake 해킹의 또 다른 용의자인 John Erin Binns는 튀르키예에 수감 중인 미국인임
- 수사관들은 Moucka가 Judische, Waifu라는 핸들을 사용했고, 몸값을 내지 않은 Snowflake 고객사 데이터를 Kiberphant0m에게 판매하도록 맡겼다고 봄
체포 이후 이어진 공개 협박
- Moucka 체포 소식 직후 Kiberphant0m은 BreachForums에 Donald J. Trump 대통령 당선인과 Kamala Harris 부통령의 AT&T 통화 기록이라고 주장한 자료를 게시함
- 같은 날 U.S. National Security Agency의 “data schema”라고 주장한 자료도 올림
- 11월 5일에는 Verizon PTT 고객, 주로 미국 정부기관과 긴급 구조대의 통화 기록을 판매하겠다고 제안함
- 11월 9일에는 BreachForums에서 Verizon PTT 고객을 겨냥한 SIM 스와핑 서비스를 판매하는 글을 올림
- SIM 스와핑은 이동통신사 직원에게서 피싱되거나 탈취된 자격 증명으로 대상의 전화와 문자를 공격자가 통제하는 기기로 돌리는 방식임
Buttholio, Kiberphant0m, Shi-Bot 연결고리
- Kiberphant0m은 2024년 1월 BreachForums에 가입했고, 첫 게시물에서 Telegram 핸들 @cyb3rph4nt0m으로 연락할 수 있다고 밝힘
- @cyb3rph4nt0m 계정은 2024년 1월 이후 4,200개가 넘는 메시지를 게시했으며, 다수는 IoT 봇넷에 호스트를 감염시키는 악성코드를 배포할 사람을 모집하는 내용임
- BreachForums에서는 Mirai 기반 커스텀 Linux DDoS 봇넷 Shi-Bot 소스 코드를 판매함
- Snowflake 공격이 5월 공개되기 전 Kiberphant0m의 BreachForums 판매 글은 많지 않았고, 상당수는 한국 기업에서 탈취한 데이터베이스와 관련됨
- 2024년 6월 5일 Telegram의 사기 관련 채널 Comgirl에 “Buttholio”라는 사용자가 참여해 자신이 Kiberphant0m이라고 주장함
- 이 사용자는 Google에서 “kiberphant0m”을 검색해 보라며 50개가 넘는 기사와 15개 이상의 통신사 침해를 주장함
- Verizon, T-Mobile, AT&T, Verifone에 등록된 모든 사람의 IMSI 번호가 있다고도 말함
한국 주둔 미군 정황으로 이어진 대화 기록
- 2023년 9월 17일 Buttholio는 Escape from Tarkov 플레이어 Discord에서 한국 서버에는 extract camper나 cheater가 거의 없다고 말함
- 같은 날 다른 메시지에서는 자신이 미국에서 게임을 샀지만 아시아 서버에서 플레이한다고 설명함
- 자신은 u.s. soldier라서 미국에서 샀지만 순환 배치로 아시아 서버를 써야 한다는 취지의 메시지를 남김
- Telegram ID 6953392511로 연결된 @Kiberphant0m 계정은 DDoS 관련 Telegram 채널 Dstat에도 등장함
- Kiberphant0m이 Dstat에 접속하자 다른 사용자가 “hi buttholio”라고 말했고, Kiberphant0m은 “wsg”라고 답함
- Dstat 웹사이트 dstat[.]cc는 11월 1일 국제 법집행 작전 Operation PowerOFF의 일부로 압수됨
Reverseshell 계정과 군 관련 발언
- Flashpoint 데이터에 따르면 @kiberphant0m은 2024년 4월 Telegram 채널 Dstat와 The Jacuzzi에서 자신의 다른 Telegram 사용자명이 @reverseshell이라고 밝힘
- @reverseshell 계정의 Telegram ID는 5408575119임
- 2022년 11월 15일 @reverseshell은 Telegram 채널 Cecilio Chat에서 자신이 U.S. Army 병사라고 말함
- 군복 하의와 위장 배낭이 보이는 사진도 공유함
- 2022년 9월 다른 사용자가 Reverseshell의 인터넷 주소에 DDoS 공격을 하겠다고 협박했고, 공격이 발생하자 Reverseshell은 “군 기지 계약 Wi-Fi를 때렸다”는 취지로 응답함
- 2022년 10월 대화에서는 자신이 사용하는 서버 속도를 자랑하며 인터넷 접속에 South Korea Telecom을 사용한다고 답함
- 2022년 8월 23일 Reverseshell은 자동화 도구로 인터넷 서버의 유효 로그인 정보를 찾아 재판매했다고 말함
- 미국 정부 서버, 통신 제어 서버, 기계 공장, 러시아 ISP 서버 등을 기본 자격 증명으로 침입했다고 주장함
- 2023년 7월 29일에는 미국 주요 방산업체 로그인 페이지 스크린샷을 올리고 항공우주 기업 자격 증명을 판매한다고 주장함
Proman557, Vars_Secc, 봇넷 판매 이력
- Telegram ID 5408575119는 2022년 이후 Reverseshell과 Proman557 등 여러 별칭을 사용함
- Intel 471은 Hackforums의 “Proman554”가 2022년 9월 등록했고, 다른 사용자에게 Telegram 계정 Buttholio로 연락할 수 있다고 말한 기록을 확인함
- Proman557은 러시아어 해킹 포럼 Exploit에서 Linux 기반 봇넷 악성코드를 판매한 여러 별칭 중 하나였음
- Proman557은 350달러 사기 혐의로 밴당했고, Exploit 운영자는 이 사용자가 Vars_Secc 등 여러 다른 닉네임으로 등록한 적이 있다고 경고함
- Vars_Secc의 Telegram 활동은 온라인 게임, DDoS 봇넷 운영, 봇넷 판매·대여 홍보에 집중됨
- Vars_Secc는 봇넷을 서버 공격, 게임 아이템 복구 목적의 DDoS, 서버 측 desync RCE 취약점, 협박, 오락에 쓴다고 나열함
정부·통신 서버 접근권 판매
- 2023년 6월 Vars_Secc는 SecHub 채널에서 자신이 4년 동안 활동했고, 정부가 “무의미한 DDoS 봇넷” 운영자에게 수백만 달러를 지급하지는 않을 것이라고 말함
- 2023년 몇 달 동안 Vars_Secc는 러시아어 범죄 포럼 XSS에서 활동하며 미국 정부 서버 접근권을 2,000달러에 판매함
- 이후 러시아 통신사 Rostelecom 접근권을 판매하려다 XSS에서 밴당함
- 러시아 기반 범죄 포럼에는 러시아 기관이나 시민을 해킹하거나 이들의 데이터를 판매하는 행위를 금지하는 규칙이 있음
- 2023년 6월 20일 Vars_Secc는 Ramp 2.0 포럼에서 “Selling US Gov Financial Access”라는 판매 글을 올림
- 네트워크 내부 서버 접근권, 3~5개 subroute 연결, 가격 1,250달러라고 게시함
- 같은 달 Ramp에서 “Vietnam government Internet Network Information Center” 내부 서버 접근권도 500달러에 판매한다고 게시함
버그 바운티와 Naver 취약점
- Vars_Secc는 2023년 5월 Telegram에서 HackerOne을 통해 소프트웨어 취약점을 보고해 돈을 번다고 주장함
- reddit.com, 미국 국방부, Coinbase 등 30곳 이상에서 버그 바운티 보상을 받았다고 말함
- 한 달 전에는 reddit.com의 캐시를 오염시켰고, 더 악용한 뒤 reddit에 보고하겠다고 말함
- HackerOne은 관련 주장에 대해 조사하겠다고 답함
- Vars_Secc Telegram 핸들은 BreachForums 회원 Boxfan의 소유자라고도 주장함
- Intel 471에 따르면 Boxfan의 초기 BreachForums 게시물 서명에는 Vars_Secc Telegram 계정이 들어 있었음
- Boxfan은 2024년 1월 BreachForums에서 한국 검색엔진 Naver의 보안 취약점을 공개함
- 해당 게시물에는 한국 문화에 대한 강한 부정적 표현이 포함됨
부인과 남은 불확실성
- Kiberphant0m과 연결된 여러 정체성은 이 인물이 미국 육군 병사였거나 최근까지 한국에 주둔했을 가능성을 강하게 시사함
- 연결된 별칭들은 군 계급, 연대, 전문 분야를 언급하지 않음
- 2023년 4월 1일 Vars_Secc는 NSA 웹사이트 스크린샷을 공개 Telegram 채널에 올렸고, 이미 NSA의 어떤 일자리에 지원한 화면처럼 보였음
- NSA는 논평 요청에 아직 답하지 않음
- Telegram으로 연락받은 Kiberphant0m은 과거 별칭이 드러난 사실은 인정했지만, 미군 복무나 한국 체류는 부인함
- 자신이 오래 만든 가짜 페르소나였고 “Epic opsec troll”이었다고 주장함
- 체포될 가능성에 대해서는 “나는 문자 그대로 잡힐 수 없다”고 말했고, 미국에 살지 않는다고 주장함
댓글과 토론
Hacker News 의견들
-
Kiberphant0m이 정말 수사관을 속이기 위한 가공 인물이었다면 절대 그렇게 인정하지 않았을 것 같음
들통난 뒤 둘러대는 사람처럼 들리고, 결국 잡힐 가능성이 커 보임
Krebs 글 끝에는 별칭들 사이의 연결을 보여주는 마인드맵 이미지도 있음- 정보분석가에게 물어보면 opsec troll 같은 건 없다고 할 듯함
목표물이 하는 모든 행동은, 오도 행위까지 포함해 정보를 흘리거나 흘릴 위험을 만들기 때문임
실제로 상황을 통제하고 있다면 99% 가짜라고 확신해도 상대가 계속 확인에 자원을 쓰게 만들 수 있으니 위장을 스스로 날려버리지 않음
특히 이런 페르소나를 오래 구축했고 추적당하고 있다면 그냥 잠적한 뒤 새 페르소나로 다시 시작할 계획을 세우는 편이 훨씬 그럴듯함 - 이건 이중 위장 이야기라고 부르는 것으로, 잡히거나 노출됐을 때 쓰는 고전적인 회피 수법임
- 신뢰할 수 없는 사람이 하는 말은 믿지 않는 편이 좋음
그 사람이 한 말은 사실 판단에 넣지 말고, 검증 가능한 증거만 봐야 함 - 같은 테마로 여러 별칭을 만든 것 자체가 나쁜 작전보안처럼 보임
미끼를 만들 목적이었다면 미군 1명, 러시아인 1명, 아프리카인 1명처럼 서로 다른 설정을 쓰는 게 낫지 않았을까 싶음
- 정보분석가에게 물어보면 opsec troll 같은 건 없다고 할 듯함
-
정부가 범위를 좁히기는 꽤 쉬워 보임
스크린샷이 올라온 날짜 전후로 NSA 채용 지원을 한 사람들의 로그를 확인하고, 그중 한국에 있었거나 있는 사람과 대조하면 목록이 꽤 짧아질 듯함
이 사람은 거만해 보이고, 거만함은 곧 부주의로 이어지니 잡힐 것 같음- 곧 잡힐 걸 알아서 서둘러 NSA 문을 두드린 것일 수도 있음
어쨌든 NSA가 받아줄지도 모름
- 곧 잡힐 걸 알아서 서둘러 NSA 문을 두드린 것일 수도 있음
-
“Google에서 따옴표를 넣어 ‘kiberphant0m’을 검색해봐. 기다릴게. 기사 50개 넘고, 통신사 15곳 이상을 털었어. Verizon, Tmobile, ATNT, Verifone에 등록된 모든 사람의 IMSI 번호를 갖고 있어”라는 식의 발언은 SBF급 자폭임
잡히는 건 시간문제이고, 연방 수사기관이 이 광대를 제대로 말려 죽일 듯함- 차라리 “Verizon, Tmobile, ATNT, Verifone에 등록된 모든 사람의 IMSI 번호”를 넘긴 통신사 15곳 이상을 말려 죽이는 모습을 보고 싶음
보안에 투자하는 것보다 털리는 편이 싸다고 판단했기 때문일 테니까
- 차라리 “Verizon, Tmobile, ATNT, Verifone에 등록된 모든 사람의 IMSI 번호”를 넘긴 통신사 15곳 이상을 말려 죽이는 모습을 보고 싶음
-
Kiberphant0m이 Dstat 채널에 로그인하자 다른 사용자가 “hi buttholio”라고 했고, Kiberphant0m이 “wsg”로 답했다는 대목은 본인에게 좀 불운해 보임
Beavis and Butt-Head 참조를 더 잘했더라면 나았을 것 같음
사용자명이 “Cornholio”나 “Bungholio”였다면 단순히 쇼를 직접 참조한 이름으로 읽혀 다른 계정과 무관하다는 부인이 조금 더 그럴듯했을 수 있음- “절대 잡힐 수 없다”에서 “아니, Hacker News에서 내 엘리트 해커 정체성인... 메모 확인... Buttholio를 다들 논의하고 있네. 이름을 좀 더 다듬었어야 했나”로 넘어간 셈임
-
곧 NSA가 데이터베이스를 얼마나 잘 정규화하는지 알게 될 듯함
스키마를 보여줄 시간임 -
이 사람의 게시 시간, 특히 바로 직전 글에 답한 게시물들의 시간대 히스토그램을 보면 뭔가 알 수 있지 않을까 싶음
인위적으로 지연된 답변이 아니라 깨어 있었다는 신호일 테니까
Krebs도 시간대 분석 기법을 알 텐데, 확인하지 않았는지 아니면 결론이 안 났는지 궁금함- 이게 9시부터 5시까지 급여를 받고 하는 사람이 아닌 경우에도 효과적인지 모르겠음
컴퓨터를 너무 오래 붙잡는 사람 중에는 수면 패턴이 완전히 망가져서 전혀 다른 시간대에서 활동하는 것처럼 보일 사람이 많음
- 이게 9시부터 5시까지 급여를 받고 하는 사람이 아닌 경우에도 효과적인지 모르겠음
-
이런 독립 사이버범죄자들이 너무 거만해서 가장 기본적인 작전보안 실수를 하고 스스로 노출되는 건 다행임
-
Krebs나 Unit 221B가 찾아낸 연결고리와 엮어낸 정보가 정말 흥미로웠고, 탐정소설을 읽는 느낌이었음
이 사람은 끝난 것처럼 보이고, NSA 지원 날짜만으로도 사실상 신원이 특정될 듯함- 221B는 Sherlock Holmes가 살던 221B Baker Street를 가리킴
- 데이터가 충분하다면 요즘은 좋은 LLM 프롬프트로 이런 추적 작업을 얼마나 자동화할 수 있을지 궁금함
수작업으로 하면 시간이 엄청 많이 걸림
-
저 사람은 배짱이 대단함
민간인이 불법 행위로 잡히면 또래 배심원단이 있는 공정한 재판을 받을 권리가 있지만, 군인이 같은 일을 하다 잡히면 군사재판은 거의 형식에 가깝고 사실상 곧바로 아주 오래 감옥에 가게 됨- 군대에 들어가면 시민권적 권리를 포기하는 건가?
입대할 때 이런 내용이 사람들에게 명확히 설명되는지 궁금함
- 군대에 들어가면 시민권적 권리를 포기하는 건가?
-
큰 판의 범죄자가 되는 건 너무 어려움
한 번만 실수해도 뚫리고, 실수할 기회도 수백만 번이며 수사관이 운 좋게 맞힐 기회도 수백만 번 있음- 맞지만, 우리는 실수한 사람들만 듣게 됨
실제로 허술한 작전보안 때문에 잡히는 범죄자의 비율이 어느 정도인지 궁금함
- 맞지만, 우리는 실수한 사람들만 듣게 됨