Mandiant, firma zajmująca się bezpieczeństwem cybernetycznym, spółka zależna Google, która badała naruszenia zasad Snowflake, określiła stojącego za nimi hakera jako UNC5537, a analityk firmy ds. wywiadu zagrożeń Austin Larsen opisuje go w oświadczeniu dla WIRED jako „jednego z najbardziej znaczących aktorów zagrażających 2024.”
„Ta operacja, w wyniku której organizacje stanęły w obliczu znaczących prób utraty danych i wyłudzeń, uwydatniła alarmującą skalę szkód, jakie może wyrządzić pojedyncza osoba, korzystając z gotowych narzędzi” – dodaje Larsen.
Chociaż haker stojący za uchwytami Waifu i Judische został powiązany z kanadyjską tożsamością kilka miesięcyuważa się, że nie są oni jedyną osobą powiązaną z incydentami w płatkach śniegu. Jak donosił WIRED w lipcu, amerykański haker John Binns był rzekomo zamieszany w związane z Snowflake włamanie do sieci AT&T, w wyniku którego firma zapłaciła ponad 300 000 dolarów za usunięcie milionów skradzionych danych klientów. (Binns był wcześniej aresztowany w Turcji po tym, jak Stany Zjednoczone postawiły mu zarzuty włamania do T-Mobile w 2021 r.). Nixon z Jednostki 221B twierdzi, że wie o innych członkach gangu cyberprzestępczego, którzy pozostają na wolności.
Według Nixona Waifu, obecnie rzekomo Moucka, wyłonił się ze społeczności cyberprzestępczej znanej jako „Com”, podziemnej sieci młodych hakerów i trolli działających na platformach takich jak Telegram i Discord i odpowiedzialnych za hakowanie i inne przestępstwa cyfrowe, w tym oprogramowanie ransomware, Wymiana kart SIM, kradzież kryptowalut, molestowanie seksualne i molestowanie. Grupa zajmująca się oprogramowaniem ransomware znana jako Scattered Spider, odpowiedzialna za wysoce zakłócające ataki wymuszenia na ofiary, w tym MGM Entertainment i Caesars Entertainment, należy do kilku podgrup przestępczych powiązanych z Com. „To ludzie, którzy traktują przepisy karne jak listę kontrolną” – mówi Nixon.
„Wiem, że pracuje w Com od bardzo długiego czasu, prawie dekady. Najwyraźniej spędził swoje dawne nastoletnie lata będąc częścią tej kultury” – Nixon mówi o Mouckiej, która według niej ma teraz około 20 lat. „Kiedy ludzie dorastają w Com, tak się właśnie okazuje.”
Kiedy Nixon śledził Waifu i jego współpracowników przez ostatni rok, twierdzi, że w pewnym momencie popełnił on wpadkę w zakresie bezpieczeństwa operacyjnego lub wpadkę „opsec”, która mogła doprowadzić organy ścigania do ustalenia jego tożsamości – chociaż odmówiła podania, na czym polegał ten błąd ani kiedy dokładnie. to się wydarzyło. Następnie Waifu próbował zatuszować to przypadkowe ujawnienie fałszywymi tropami i dezinformacją przesłaną do Telegramu, co określił jako „dobrze truciznę”. Nixon twierdzi jednak, że organy ścigania znają tożsamość Mouckiej co najmniej od początku lipca. „Jeśli popełnisz błąd w opsec, to koniec. Nie można tego zakopać pod masą bzdur, które później publikujesz” – mówi Nixon. „Wszystko, czego udało się osiągnąć, to pokazanie, że wiedział, że to, co robi, było złe”.
Chociaż aresztowanie Mouckiej jest dalekie od końca Com, Nixon twierdzi, że postrzega to jako potencjalnie ważny krok w reakcji na chaos, jaki spowodowała większa siatka przestępcza. Mówi, że Waifu była przykładem szerszej zasady, którą zaobserwowała w świecie cyberprzestępczym, mówiącej, że za większość szkód często odpowiedzialna jest niewielka mniejszość przestępców.
„Ten konkretny przypadek jest znaczący, ponieważ wykryto jedną z tej niewielkiej mniejszości, która powoduje nieproporcjonalne szkody” – mówi. „Dlatego jest to dobry początek. Musimy aresztować więcej tych nieproporcjonalnie szkodliwych aktorów”.
Aktualizacja o 15:55 EST, 5 listopada 2024 r.: Dodano oświadczenie Mandiant.
