圖片來源: 

Luismt94, CC BY-SA 4.0

上週末美國大型電信業者AT&T向當地證券交易委員會(SEC)呈交8-K表單,證實駭客在今年4月存取第三方雲端平臺的工作區,複製含有客戶通話及簡訊互動記錄的資料,該公司超過1億名的用戶幾乎都受到影響,外傳攻擊者攻入雲端大數據服務Snowflake,劫掠眾多未啟用多因素驗證(MFA)的帳號而得逞,本週這起事故傳出新的進展。

根據新聞網站Wired的報導,AT&T決定向駭客組織低頭,支付贖金給駭客組織ShinyHunters的其中一名成員,以此條件促使對方刪除所竊取到的資料。這名駭客向該媒體透露收款的加密貨幣錢包地址,以及向他付款的來源錢包地址。Wired使用區塊鏈追蹤工具進行驗證,上述兩個加密貨幣錢包在5月17日出現一筆約為5.7個比特幣的交易款項。加密貨幣追蹤業者TRM Labs也證實這筆交易,他們看到金額約為5.72個比特幣,當時交易金額相當於373,646美元。隨後駭客經由數個加密貨幣交易所及錢包洗錢,但錢包的所有者身分目前仍不得而知。

使用ID為Reddington的人士也證實有此交易,因為駭客請他當雙方談判的中間人,這名人士收到AT&T支付的費用,他向該媒體提供收款資料證明此事。並指出駭客原本向AT&T索討100萬美元贖金,在討價還價後以約37萬美元的金額達成共識。

駭客也透過這名人士提供AT&T刪除竊得資料的影片作為證據,Wired向該電信業者進一步確認是否真有其事,但並未得到回應。究竟駭客是否真的刪除手上的資料,也不得而知。

值得留意的是,AT&T很有可能經由Reddington居中協商,而輾轉得知資料外洩的情況。

此人透露自己是在今年4月中旬捲入這起事故,先收到住在土耳其的美國駭客John Erin Binns的通知,聲稱握有他的AT&T通話記錄資料,Reddington進行比對之後,確認駭客提供的是真實資料,對方後來向他宣稱,手上還有數百萬個AT&T客戶的通話及簡訊文字記錄,而這些資料的來源,就是由Snowflake代管、安全性不足的雲端儲存帳號。

不過,他也提及收取贓款的駭客並非John Erin Binns,而是另有其人。

在得知上述情形之後,Reddington向資安業者Mandiant通報此事,Mandiant再通知AT&T。而AT&T在呈報給美國證券交易所的資料當中,提及得知資料外洩的情況在今年4月,時間點也與Reddington的說法相符。

但近期因Snowflake帳號保護不夠安全而遭駭客闖入,導致資料外洩的企業組織,並非只有AT&T。上個月資安業者Mandiant透露,今年4月開始,他們陸續收到使用Snowflake的企業組織受害的情況,截至6月上旬,他們向165個疑似受害的組織進行通報。而目前被公開的受害企業,還包括Ticketmaster、桑坦德銀行、LendingTree,以及Advance Auto Parts。

根據Reddington的了解,這波攻擊第一個受害的很可能是Ticketmaster,之後駭客向其他Snowflake用戶下手。

向AT&T收下贖金的駭客向Wired透露,這起攻擊事故是John Erin Binns所為,該名美國駭客號稱取得數十億筆記錄,並在竊得相關資料並與其他人分享。Reddington認為,這些駭客應該沒有對外公開相關資料,但他不確定John Erin Binns向多少人分享部分內容,以及得到資料的駭客是否用於不法。

為何該電信業者並未直接付款給John Erin Binns?負責收款的駭客指出,因為這名駭客今年5月在土耳其遭到逮捕,原因是他曾在2021年對另一家電信業者T-Mobile竊取大量資料。而這樣的說法,與AT&T通報美國證券交易所的內容有交集,因為該公司也提及至少有1名涉案駭客遭到逮捕。新聞媒體404 Media指出,這名被捕的駭客就是John Erin Binns

針對這些線索,Wired推測,John Erin Binns可能得知自己即將因竊取T-Mobile資料遭到逮捕,才承認AT&T資料外洩事故是他所犯下。

熱門新聞

Advertisement