Театр масок Kiberphant0m: один из самых опасных хакеров – солдат армии США?

Один из самых загадочных персонажей в мире киберкриминала — хакер под псевдонимом Kiberphant0m — стал объектом международных расследований . Его действия связывают с многими громкими утечками данных, но сам он пока избегает ареста. На фоне задержания его соратников появились сведения, которые могут пролить свет на его личность.

Киберпреступник прославился на форумах вроде BreachForums, в Telegram-каналах и даже игровых чатах. Его последние жертвы — клиенты Snowflake, включая корпорацию AT&T, которая, как сообщается, заплатила $370,000 за удаление украденных данных. Но кто он? Новые данные указывают на неожиданную связь с армией США.

В октябре 2024 года канадские власти арестовали Александра Маука, одного из подельников Kiberphant0m, известного как Judische и Waifu. Маука обвиняют в продаже данных, украденных у пользователей Snowflake, которые отказывались платить выкуп. После ареста Kiberphant0m оставил эмоциональные угрозы на BreachForums, заявляя о готовности опубликовать президентские записи AT&T. Его посты сопровождались хэштегами #FREEWAIFU.

Среди данных, которые Kiberphant0m якобы украл, оказались записи звонков госслужб, схемы данных Национальной службы безопасности США и информация об экстренных службах Verizon. На форумах Kiberphant0m также продавал базы данных, похищенные у южнокорейских компаний.

Kiberphant0m часто использовал другие псевдонимы вроде Reverseshell и Proman557. Одним из таких было Proman557, который появился на хакерских форумах в 2022 году. Под этим именем преступник размещал объявления о продаже Linux-базированных ботнетов и доступа к корпоративным сетям. Однако его деятельность на русскоязычном форуме Exploit закончилась скандалом: он был заблокирован за мошенничество на сумму $350. Правда, это не помешало хакеру позже продолжить свою активность под новым именем - Vars_Secc.

Telegram-аккаунт @Kiberphant0m с идентификатором 6953392511 активно участвовал в обсуждениях на канале Dstat, где собираются киберпреступники, предлагающие услуги DDoS-атак. 4 января 2024 года, сразу после того как Kiberphant0m присоединился к обсуждению, один из пользователей приветствовал его под другим псевдонимом 'buttholio,' на что тот ответил знакомым сленговым 'wsg' ('что нового?'). Позже деятельность канала и самого сайта Dstat была остановлена в ходе международной операции PowerOFF против DDoS-сервисов."

В апреле 2024 года Kiberphant0m признался на канале Dstat, что использует альтернативный Telegram-аккаунт под псевдонимом @Reverseshell. Через две недели он подтвердил это в другом Telegram-чате под названием The Jacuzzi. Это сильно облегчило работу следователям.

Telegram-аккаунт Vars_Secc также заявлял о своей принадлежности к пользователю BreachForums под ником “Boxfan”. В своем последнем посте на BreachForums в январе 2024 года Boxfan раскрыл уязвимость, которую он обнаружил в Naver — самой популярной поисковой системе Южной Кореи (по данным Statista.com). Комментарии свидетельствуют о его крайне негативном отношении к культуре страны (и этот мотив прослеживается в большинстве инцидентов).

"Наслаждайтесь эксплуатацией этой уязвимости," — написал злоумышленник на BreachForums, выложив длинный фрагмент кода. — "Пошла ты, Южная Корея, со своими дискриминационными взглядами. Никому не нравится ваш к-поп, злые вы ублюдки. Кто сможет слить эту базу данных, поздравляю. Мне неохота этим заниматься, поэтому выкладываю на форум."

Одно время хакер даже зарабатывал на «баг-баунти» — программе вознаграждений за поиск уязвимостей, сотрудничая с такими компаниями, как Reddit и Coinbase. В одном из своих сообщений он заявил, что нашел уязвимость в системе крупной аэрокосмической компании США, однако вместо того, чтобы сообщить об ошибке, решил выставить данные на продажу.

Самый интригующий элемент истории - это, конечно, слова, указывающие на связи с вооруженными силами. В переписке 2022 года хакер под одним из своих ников утверждал, что служит в армии США на южнокорейской базе. Эту версию подтверждают скриншоты: на них видно, что он использовал армейский Wi-Fi, а также носил военную форму. Учитывая его навыки, вполне возможно, что он имел отношение к киберподразделению армии. Публикации на игровых форумах тоже рисуют необычную картину: хакер делился опытом использования корейских серверов в онлайн-играх. Игру он якобы приобрел в США, но играет из Азии, так как находится «на ротации».

Кстати, он часто вызывал недовольство модераторов киберпреступных форумов. Его неоднократно банили за обманы пользователей, но это не помешало ему продолжать предлагать свои услуги, включая взлом правительственных серверов и перепродажу доступа к ним.

Главный вопрос: действительно ли он может оставаться неуловимым? Kiberphant0m утверждает, что находится вне досягаемости правоохранительных органов и что его «легенда» с военной службой — просто отвлекающий маневр. Однако следователи продолжают искать зацепки, анализируя цифровые следы и анонимные учетные записи.

Несмотря на заявления хакера о своей «неуязвимости», киберспециалисты считают, что его арест — вопрос времени. Уже сейчас накоплено множество доказательств, в том числе связи между его псевдонимами, IP-адресами и форумами, где он торговал данными.

Кажется, что даже среди киберпреступников эта личность занимает уникальное место. В то время как большинство его коллег фокусируются на финансовых данных и корпоративных уязвимостях, Kiberphant0m демонстрирует избирательный подход, целясь в государственные структуры и критическую инфраструктуру.