美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

admin 2024年11月29日00:11:46评论11 views字数 2775阅读9分15秒阅读模式
正当媒体热炒X台风入侵美国主要电信网络之际,一个名为kiberphant0m的威胁行为者浮出水面,这个被忽视威胁行为者近一段时间多次声称出售有关电信服务提供商、电信业务以及美国国家安全局的权限和数据,并直接了当地声称拥有当选总统唐纳德·特朗普和副总统卡玛拉·哈里斯的通话记录。同样被美国官方指出的电信攻击受害者T-mobile公司27日正式表态,不能确认攻击者是谁,敏感的客户记录(通话记录、短信)并无被窃。

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

自从今年1月份出现在英语和俄语网络犯罪论坛上以来,Cyble暗网研究人员一直在追踪一个名为“kiberphant0m”的威胁行为者(TA)的活动。自8月底以来,kiberphant0m一直在出售据称从Verizon和AT&T获得的数据和访问权限,此外还有据称属于美国国家安全局(NSA)的“间谍模式”,TA声称这些“间谍模式”来自今年早些时候的大规模Snowflake数据泄露事件。
kiberphant0m何许人也?

Kiberphant0m于2024年1月加入BreachForums,但他们在Discord和Telegram频道上的公开言论至少可以追溯到2022年初。在他们第一次发布到BreachForums的帖子中,Kiberphant0m表示可以通过Telegram账号@cyb3rph4nt0m联系他们。

对@cyb3rph4nt0m的评论显示,该用户自2024年1月以来已发布了4,200多条消息。其中许多消息都是试图招募人员,这些人可以被雇来部署一种恶意软件,该恶意软件可以奴役物联网 (IoT) 僵尸网络中的主机。

在3月对其他帖子做出几次回复后,Kiberphant0m于4月开始出售数据,首先是加密赌场数据库。Telegram频道大约在同一时间开始运营。目前共发布帖子57条。

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

其他活动包括销售:
访问乌克兰政府研究服务器的权限
获得国防承包商的许可
175TB应用程序泄露
获得拥有95个域名的中国服务器的根访问权限,其中包括一些关键基础设施部门
英国银行服务器访问权限
印度和亚洲电信数据和访问权限
进入欧洲生物医药公司的权限
访问移动社交媒体应用程序
SSH机器人和服务器访问权限
LinuxDDoS僵尸网络源代码
最近,kiberphant0m声称与UNC5537有联系,UNC5537是Snowflake入侵事件背后的经济驱动威胁组织。一些帖子包含标签#FREEWAIFU,指的是Alexander“Connor”Moucka的别名,他最近因Snowflake入侵事件被加拿大官员逮捕并受到指控。
威胁情报研究人员认为,kiberphant0m不仅仅是一个中间人,他在技术方面也表现出了高超的技能。声称与UNC5537的联系是最近才出现的,需要更多指标才能确定这种联系。FREEWAIFU活动可能是掩盖其他联系的幌子。其对美国电信网络入侵事件发生的时间与外国媒体炒作某台风活动时间相近,这一点也值得关注。
KrebsonSecurity于26日发布博文称,kiberphant0m可能是“一名目前或曾经驻扎在韩国的美国陆军士兵”,其活动可以追溯到2022年,当时他使用的是其他化名。

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

人们在一定程度上相信kiberphant0m是可靠的,并且有可信的声明历史,而且他们在BreachForums的声誉评分是正面的,没有中性或负面的反馈。
电信公司数据泄露
11月5日至6日,kiberphant0m在BreachForums上创建了四个主题,其中三个与Verizon和AT&T相关,另外三个与NSA帖子相关。

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

威胁者kiberphant0m声称特朗普和哈里斯的通话记录
特朗普和哈里斯的通话记录包括哈里斯2022年的通话样本,并敦促AT&T(ATNT)与他们联系(下图)。另一篇帖子提供了VerizonWirelessPTT(一键通)日志,包括SQL数据库、服务器日志和凭证,可能是从第三方服务提供商处获得的。
第三篇帖子提供了VerizonWireless的SIM卡交换服务,第四篇帖子似乎是据称属于NSA的Snowflake技术数据库模式(下图)。

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

VerizonWireless的SIM卡交换服务

美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

美国国家安全局间谍计划Snowflake黑客攻击
最近的泄密事件似乎并不涉及极其敏感的信息,但仍然令人担忧,特别是考虑到电信网络安全状况松懈。
电信网络安全难题 
正如参议院情报委员会主席马克·沃纳(弗吉尼亚州民主党议员)上周向《华盛顿邮报》表示,美国大型电信网络是“一堆老旧网络的大杂烩……是一系列收购的组合,而且现有的设备非常老旧,无法修补”。
据推测,其中大部分都是路由器和交换机等报废设备。华纳告诉《华盛顿邮报》,网络仍然受到威胁,修复它们可能需要在全国范围内更换“成千上万台设备”。
上周五,美国国家最高安全官员与电信行业高管会面,讨论如何合作解决该问题。

T-Mobile:无法确认黑客身份,敏感客户记录并未被访问

TechCrunch最新的报道,美国电话巨头T-Mobile当地时间周三(27日)表示,在针对互联网和电话公司的持续全行业网络攻击中,黑客“无法访问”其客户的通话、短信和语音邮件。
T-Mobile首席安全官Jeff Simon在一份声明中表示,该公司最近几周检测到“试图入侵我们系统的行为”,Simon表示,这些行为源自另一家与T-Mobile网络相连的电信公司。该公司没有透露名称。
T-Mobile周三(27日)表示,无法明确识别黑客的身份,但补充说:“目前我们没有在我们的系统中发现这些或其他攻击者。”该公司没有明确排除其系统之前遭到入侵的可能性,称其网络安全防御阻止了攻击者“访问敏感的客户信息”。
当TechCrunch询问时,T-Mobile发言人表示,有关客户电话和短信的元数据,例如有关呼叫者、发送者和接收者的信息以及通信日期和时间,被视为“敏感”客户记录,并且未被访问。
这与美国FBI、CISA的说法完全不同!
参考资源
1、https://techcrunch.com/2024/11/27/t-mobile-says-telco-hackers-had-no-access-to-customer-call-and-text-message-logs/
2、https://krebsonsecurity.com/2024/11/hacker-in-snowflake-extortions-may-be-a-u-s-soldier/
3、https://thecyberexpress.com/verizon-att-hacked-by-second-threat-actor/

原文始发于微信公众号(网空闲话plus):美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月29日00:11:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录https://cn-sec.com/archives/3443101.html

发表评论

匿名网友 填写信息