Канадские власти https://www.bloomberg.com/news/artic...omers-arrestedоб аресте человека, которого подозревают во взломе компании Snowflake, занимающейся облачным хранением данных. В результате этой компрометации пострадали более 165 организаций-клиентов Snowflake и были похищены данные сотен миллионов человек.
По информации Министерства юстиции Канады, на прошлой неделе по запросу США был арестован Александр «Коннор» Мука (Alexander «Connor» Moucka), также известный в сети как Waifu и Judische.
Судя по всему, теперь ему может грозить экстрадиция в США, однако в канадском Минюсте сообщили, что «запросы на экстрадицию считаются конфиденциальной информацией между государствами» и отказались раскрывать детали. Также неясно, какие именно обвинения предъявлены хакеру, поскольку все детали дела пока засекречены.
Напомним, что весной 2024 года компания Snowflake пострадала от хакерской атаки. Согласно https://cloud.google.com/blog/topics...heft-extortionhttps://www.snowflake.com/en/resourc...b/crowdstrike/, проведенному собственными специалистами SnowFlake, а также экспертами из Mandiant и CrowdStrike, злоумышленники (тогда исследователи отслеживали их под идентификатором UNC5537) выгрузили из Snowflake БД по меньшей мере 165 организаций, используя для этого учетные данные, ранее украденные с помощью инфостилеров.
Затем хакеры https://xakep.ru/2024/06/04/snowflake-attack/ некоторые пострадавшие компании, требуя выкуп и угрожая в противном случае опубликовать украденную информацию или продать ее другим преступникам.
https://xakep.ru/wp-content/uploads/...ttack-flow.jpg
Схема атаки на Snowflake
«UNC5537 объединяет участников из Северной Америки и как минимум одного участника из Турции», — писали тогда эксперты Mandiant.
Стоит отметить, что платформу Snowflake используют почти 10 000 клиентов, среди которых числятся крупнейшие компании мира, включая: Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha и так далее.
В итоге последовавшие за атакой утечки данных затронули сотни миллионов человек, включая клиентов таких гигантов, как AT&T и Ticketmaster, а также Santander, Pure Storage, Advance Auto Parts, Los Angeles Unified, QuoteWizard/LendingTree и Neiman Marcus.
Вскоре после взлома представители Snowflake https://www.snowflake.com/en/blog/mu...ation-default/, что с октября 2024 года будет внедрена многофакторная аутентификация для учетных записей, а все пароли должны будут состоять не менее чем из 14 символов.
В сентябре 2024 года издание https://www.404media.co/the-walls-ar...wflake-hacker/ и известный ИБ-журналист https://krebsonsecurity.com/2024/09/...s-and-the-com/ посвятили большие материалы личности Judische. Уже тогда расследователи предполагали, что правоохранители вышли на след хакера, проживающего в Канаде, который связан со сравнительно молодым криминальным феноменом Com (иногда The Comm или The Com, сокращение от Community).
Экосистема Com объединяет в Telegram и Discord тысячи англоговорящих подростков, которые занимаются криптовалютным мошенничеством и различным скамом, а порой взламывают крупные транснациональные корпорации. В своем блоге Кребс называл Com чем-то вроде соцсети для киберпреступников.
На днях, уже после ареста хакера, Кребс опубликовал https://krebsonsecurity.com/2024/11/...ta-extortions/, посвященную криминальной активности Judische, называя его одним из наиболее успешных SIM-swapper’ов на хакерской сцене. По данным Кребса, в реальной жизни Александр Мука — это 26-летний инженер-программист из Онтарио. Его мать родилась в Чечне, отец давно умер, и Мука свободно говорит по-русски, французский и английский.
В личной беседе с Кребсом Judische признал, что действительно похитил данные клиентов Snowflake и вымогал у них деньги (и якобы «заработал» на этом не менее 4 млн долларов США), но заявил, что не был заинтересован в продаже украденной информации, и этим занимались уже другие преступники.
При этом Мука утверждал, что взлом Snowflake – далеко не самая крупная атака на его счету. Якобы другие взломы позволили хакерам похитить более 100 ТБ данных, но об этих компрометациях не сообщалось публично.
«[Мы] сообщаем только о тех, кто не платит (если только они сами не афишируют информацию [об инциденте]). Многие из них даже не подают документы в Комиссию по ценным бумагам и биржам, а просто платят нам, чтобы мы отвалили», — говорил хакер.
Также в беседах с журналистом хакер заявлял, что практически не выходит из дома, страдает от некоего расстройства личности и не принимает прописанные ему лекарства.
Отметим, что еще один подозреваемый во взломе Snowflake злоумышленник и сообщник Judische, Джон Эрин Биннс (John Erin Binns), https://www.securityweek.com/att-bre...ansom-reports/ в Турции летом текущего года. Это полностью согласуется с тем, как описывали состав UNC5537 исследователи Mandiant. Известно, что Биннсу также были предъявлено обвинения во взломе компании T-Mobile в 2021 году и последующей продаже украденных данных.
«UNC5537, он же Александр „Коннор“ Мука, оказался одним из самых влиятельных злоумышленников 2024 года. В апреле 2024 года UNC5537 начал кампанию по систематическому взлому неправильно сконфигурированных экземпляров SaaS, затронувшую более ста организаций. Эта операция не только привела к потере большого количества данных и попыткам вымогательства, но и продемонстрировала, какой ужасающий ущерб может нанести всего один человек, используя готовые инструменты», — прокомментировали арест Judische в компании Mandiant.
https://xakep.ru/2024/11/08/judische-arrested/