Театр масок Kiberphant0m: один из самых опасных хакеров – солдат армии США?

От Snowflake до AT&T: кто же стоит за серией громких атак.


1w9cxm9q7li10rn2gp9an287mpjfutff.jpg


Один из самых загадочных персонажей в мире киберкриминала — хакер под псевдонимом Kiberphant0m — стал объектом международных расследований . Его действия связывают с многими громкими утечками данных, но сам он пока избегает ареста. На фоне задержания его соратников появились сведения, которые могут пролить свет на его личность.

Киберпреступник прославился на форумах вроде BreachForums, в Telegram-каналах и даже игровых чатах. Его последние жертвы — клиенты Snowflake , включая корпорацию AT&T, которая, как сообщается, заплатила $370,000 за удаление украденных данных. Но кто он? Новые данные указывают на неожиданную связь с армией США.

В октябре 2024 года канадские власти арестовали Александра Маука, одного из подельников Kiberphant0m, известного как Judische и Waifu. Маука обвиняют в продаже данных, украденных у пользователей Snowflake, которые отказывались платить выкуп. После ареста Kiberphant0m оставил эмоциональные угрозы на BreachForums, заявляя о готовности опубликовать президентские записи AT&T. Его посты сопровождались хэштегами #FREEWAIFU.

Среди данных, которые Kiberphant0m якобы украл, оказались записи звонков госслужб, схемы данных Национальной службы безопасности США и информация об экстренных службах Verizon. На форумах Kiberphant0m также продавал базы данных, похищенные у южнокорейских компаний, что стало заметным изменением в его фокусе после утечек Snowflake. До этого его активность в основном ограничивалась продажей инструментов для создания ботнетов.

Kiberphant0m часто использовал другие псевдонимы вроде Reverseshell и Proman557. Одним из таких было Proman557, который появился на хакерских форумах в 2022 году. Под этим именем Kiberphant0m размещал объявления о продаже Linux-базированных ботнетов и доступа к корпоративным сетям. Однако его деятельность на русскоязычном форуме Exploit закончилась скандалом: он был заблокирован за мошенничество на сумму $350. Хотя это не помешало преступнику позже продолжить свою активность под новым именем - Vars_Secc.

Telegram-аккаунт @Kiberphant0m с идентификатором 6953392511 активно участвовал в обсуждениях на канале Dstat, где собираются киберпреступники, предлагающие услуги DDoS-атак. 4 января 2024 года, сразу после того как Kiberphant0m присоединился к обсуждению, один из пользователей приветствовал его под другим псевдонимом 'buttholio,' на что тот ответил знакомым сленговым 'wsg' ('что нового?'). Однако позже деятельность канала и самого сайта Dstat была остановлена в ходе международной операции PowerOFF против DDoS-сервисов."

В апреле 2024 года Kiberphant0m признался на канале Dstat, что использует альтернативный Telegram-аккаунт под псевдонимом @Reverseshell. Через две недели он подтвердил это в другом Telegram-чате под названием The Jacuzzi. Это сильно облегчило работу следователям.

Telegram-аккаунт Vars_Secc также заявлял о своей принадлежности к пользователю BreachForums под ником “Boxfan”. По данным Intel 471, в первых сообщениях на форуме он указывал в подписи Telegram-аккаунт Vars_Secc. В своем последнем посте на BreachForums в январе 2024 года Boxfan раскрыл уязвимость, которую он обнаружил в Naver — самой популярной поисковой системе Южной Кореи (по данным Statista.com). Комментарии свидетельствуют о его крайне негативном отношении к культуре Южной Кореи.

"Наслаждайтесь эксплуатацией этой уязвимости," — написал злоумышленник на BreachForums, выложив длинный фрагмент кода. — "Пошла ты, Южная Корея, со своими дискриминационными взглядами. Никому не нравится ваш к-поп, злые вы ублюдки. Кто сможет слить эту базу данных, поздравляю. Мне неохота этим заниматься, поэтому выкладываю на форум."

Одно время хакер даже зарабатывал на «баг-баунти» — программе вознаграждений за поиск уязвимостей, сотрудничая с такими компаниями, как Reddit и Coinbase. В одном из своих сообщений он заявил, что нашел уязвимость в системе крупной аэрокосмической компании США, однако вместо того, чтобы сообщить об ошибке, решил выставить данные на продажу.

Самый интригующий элемент истории - это, конечно, слова, указывающие на связи с вооруженными силами. В переписке 2022 года хакер под одним из своих ников утверждал, что служит в армии США на южнокорейской базе. Эту версию подтверждают скриншоты: на них видно, что он использовал армейский Wi-Fi, а также носил военную форму. Учитывая его навыки, вполне возможно, что он имел отношение к киберподразделению армии. Публикации на игровых форумах тоже рисуют необычную картину: хакер делился опытом использования корейских серверов в онлайн-играх. Игру он якобы приобрел в США, но играет из Азии, так как находится «на ротации».


kW-9W9ZqrVFoOCBx55bag?key=J5O7MoYHsKzt9TCgi1Mvu6VQ.png


Кстати, он часто вызывал недовольство модераторов киберпреступных форумов. Его неоднократно банили за обманы пользователей, но это не помешало ему продолжать предлагать свои услуги, включая взлом правительственных серверов и перепродажу доступа к ним.

Главный вопрос: действительно ли он может оставаться неуловимым? Kiberphant0m утверждает, что находится вне досягаемости правоохранительных органов и что его «легенда» с военной службой — просто отвлекающий маневр. Однако следователи продолжают искать зацепки, анализируя цифровые следы и анонимные учетные записи.

Несмотря на заявления хакера о своей «неуязвимости», киберспециалисты считают, что его арест — вопрос времени. Уже сейчас накоплено множество доказательств, в том числе связи между его псевдонимами, IP-адресами и форумами, где он торговал данными.

Кажется, что даже среди киберпреступников эта личность занимает уникальное место. В то время как большинство его коллег фокусируются на финансовых данных и корпоративных уязвимостях, Kiberphant0m демонстрирует избирательный подход, целясь в государственные структуры и критическую инфраструктуру.