Канадские власти сообщили об аресте человека, которого подозревают во взломе компании Snowflake, занимающейся облачным хранением данных. В результате этой компрометации пострадали более 165 организаций-клиентов Snowflake и были похищены данные сотен миллионов человек.
По информации Министерства юстиции Канады, на прошлой неделе по запросу США был арестован Александр «Коннор» Мука (Alexander «Connor» Moucka), также известный в сети как Waifu и Judische.
Судя по всему, теперь ему может грозить экстрадиция в США, однако в канадском Минюсте сообщили, что «запросы на экстрадицию считаются конфиденциальной информацией между государствами» и отказались раскрывать детали. Также неясно, какие именно обвинения предъявлены хакеру, поскольку все детали дела пока засекречены.
Напомним, что весной 2024 года компания Snowflake пострадала от хакерской атаки. Согласно совместному расследованию, проведенному собственными специалистами SnowFlake, а также экспертами из Mandiant и CrowdStrike, злоумышленники (тогда исследователи отслеживали их под идентификатором UNC5537) выгрузили из Snowflake БД по меньшей мере 165 организаций, используя для этого учетные данные, ранее украденные с помощью инфостилеров.
Затем хакеры принялись шантажировать некоторые пострадавшие компании, требуя выкуп и угрожая в противном случае опубликовать украденную информацию или продать ее другим преступникам.
«UNC5537 объединяет участников из Северной Америки и как минимум одного участника из Турции», — писали тогда эксперты Mandiant.
Стоит отметить, что платформу Snowflake используют почти 10 000 клиентов, среди которых числятся крупнейшие компании мира, включая: Adobe, AT&T, Capital One, Doordash, HP, Instacart, JetBlue, Kraft Heinz, Mastercard, Micron, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, US Foods, Western Union, Yamaha и так далее.
В итоге последовавшие за атакой утечки данных затронули сотни миллионов человек, включая клиентов таких гигантов, как AT&T и Ticketmaster, а также Santander, Pure Storage, Advance Auto Parts, Los Angeles Unified, QuoteWizard/LendingTree и Neiman Marcus.
Вскоре после взлома представители Snowflake сообщили, что с октября 2024 года будет внедрена многофакторная аутентификация для учетных записей, а все пароли должны будут состоять не менее чем из 14 символов.
В сентябре 2024 года издание 404 Media и известный ИБ-журналист Брайан Кребс посвятили большие материалы личности Judische. Уже тогда расследователи предполагали, что правоохранители вышли на след хакера, проживающего в Канаде, который связан со сравнительно молодым криминальным феноменом Com (иногда The Comm или The Com, сокращение от Community).
Экосистема Com объединяет в Telegram и Discord тысячи англоговорящих подростков, которые занимаются криптовалютным мошенничеством и различным скамом, а порой взламывают крупные транснациональные корпорации. В своем блоге Кребс называл Com чем-то вроде соцсети для киберпреступников.
На днях, уже после ареста хакера, Кребс опубликовал большую статью, посвященную криминальной активности Judische, называя его одним из наиболее успешных SIM-swapper’ов на хакерской сцене. По данным Кребса, в реальной жизни Александр Мука — это 26-летний инженер-программист из Онтарио. Его мать родилась в Чечне, отец давно умер, и Мука свободно говорит по-русски, французский и английский.
В личной беседе с Кребсом Judische признал, что действительно похитил данные клиентов Snowflake и вымогал у них деньги (и якобы «заработал» на этом не менее 4 млн долларов США), но заявил, что не был заинтересован в продаже украденной информации, и этим занимались уже другие преступники.
При этом Мука утверждал, что взлом Snowflake – далеко не самая крупная атака на его счету. Якобы другие взломы позволили хакерам похитить более 100 ТБ данных, но об этих компрометациях не сообщалось публично.
«[Мы] сообщаем только о тех, кто не платит (если только они сами не афишируют информацию [об инциденте]). Многие из них даже не подают документы в Комиссию по ценным бумагам и биржам, а просто платят нам, чтобы мы отвалили», — говорил хакер.
Также в беседах с журналистом хакер заявлял, что практически не выходит из дома, страдает от некоего расстройства личности и не принимает прописанные ему лекарства.
Отметим, что еще один подозреваемый во взломе Snowflake злоумышленник и сообщник Judische, Джон Эрин Биннс (John Erin Binns), был арестован в Турции летом текущего года. Это полностью согласуется с тем, как описывали состав UNC5537 исследователи Mandiant. Известно, что Биннсу также были предъявлено обвинения во взломе компании T-Mobile в 2021 году и последующей продаже украденных данных.
«UNC5537, он же Александр „Коннор“ Мука, оказался одним из самых влиятельных злоумышленников 2024 года. В апреле 2024 года UNC5537 начал кампанию по систематическому взлому неправильно сконфигурированных экземпляров SaaS, затронувшую более ста организаций. Эта операция не только привела к потере большого количества данных и попыткам вымогательства, но и продемонстрировала, какой ужасающий ущерб может нанести всего один человек, используя готовые инструменты», — прокомментировали арест Judische в компании Mandiant.
