Das Cybersicherheitsunternehmen Mandiant, eine Tochtergesellschaft von Google, die die Snowflake-Verstöße untersucht hat, bezeichnete den dahinter stehenden Hacker als UNC5537, und der Threat-Intelligence-Analyst des Unternehmens, Austin Larsen, beschreibt ihn in einer Erklärung gegenüber WIRED als „einen der folgenreichsten Bedrohungsakteure von.“ 2024.“
„Die Operation, bei der Unternehmen unter erheblichen Datenverlusten und Erpressungsversuchen litten, verdeutlichte das alarmierende Ausmaß des Schadens, den eine einzelne Person mit handelsüblichen Tools anrichten kann“, fügt Larsen hinzu.
Während der Hacker hinter den Waifu- und Judische-Handles mit einer kanadischen Identität in Verbindung gebracht wurde mehrere MonateEs wird angenommen, dass sie nicht die einzige Person sind, die mit den Snowflake-Vorfällen in Verbindung steht. Als WIRED berichtete im Juliwar der amerikanische Hacker John Binns angeblich an dem Snowflake-bezogenen AT&T-Verstoß beteiligt, bei dem das Unternehmen mehr als 300.000 US-Dollar auszahlte, um Millionen gestohlener Kundendaten löschen zu lassen. (Binns war zuvor in der Türkei verhaftet nachdem die USA ihn angeklagt hatten 2021 Verstoß gegen T-Mobile). Nixon von Unit 221B sagt, sie wisse, dass andere Mitglieder der Cyberkriminellenbande noch auf freiem Fuß seien.
Laut Nixon entstammte Waifu, der nun mutmaßlich Moucka heißt, einer Cyberkriminellen-Gemeinschaft namens „The Com“. Untergrundnetzwerk junger Hacker und Trolle aktiv auf Plattformen wie Telegram und Discord und verantwortlich für Hacking und andere digitale Verbrechen, darunter Ransomware, SIM-Tausch, Kryptowährungsdiebstahl, Sextortion und Belästigung. Die als Scattered Spider bekannte Ransomware-Gruppe, die für äußerst störende Erpressungsangriffe gegen Opfer wie MGM Entertainment und Caesars Entertainment verantwortlich ist, gehört zu mehreren kriminellen Untergruppen, die mit der Com verbunden sind. „Das sind Leute, die Strafgesetze wie eine Checkliste behandeln“, sagt Nixon.
„Ich weiß, dass er schon sehr lange, fast ein Jahrzehnt, im Komitee ist. Er hat seine früheren Teenagerjahre offensichtlich damit verbracht, Teil dieser Kultur zu sein“, sagt Nixon über Moucka, der ihrer Meinung nach mittlerweile in den Zwanzigern ist. „Wenn Menschen in der Kom-Welt aufwachsen, werden sie sich so entwickeln.“
Als Nixon Waifu und seine Mitarbeiter im vergangenen Jahr verfolgte, sagte sie, dass ihm irgendwann ein Fehler bei der Betriebssicherheit oder „Opsec“ unterlaufen sei, der den Strafverfolgungsbehörden möglicherweise zu seiner Identität geführt habe – sie lehnte es jedoch ab, zu sagen, um welchen Fehler es sich handelte oder wann genau es ist passiert. Anschließend versuchte Waifu, diese versehentliche Enthüllung mit falschen Hinweisen und auf Telegram geposteten Fehlinformationen zu vertuschen, was er als „gutes Gift“ bezeichnete. Nixon sagt jedoch, dass die Strafverfolgungsbehörden zumindest seit Anfang Juli Kenntnis von Mouckas Identität haben. „Wenn Sie einen Opsec-Fehler machen, ist es erledigt. Man kann es nicht unter einer Menge Blödsinn begraben, den man später postet“, sagt Nixon. „Es hat lediglich gezeigt, dass er wusste, dass das, was er tat, falsch war.“
Auch wenn Mouckas Verhaftung noch lange nicht das Ende der Kom-Bewegung bedeutet, sagt Nixon, dass sie darin einen potenziell wichtigen Schritt sieht, um auf das Chaos zu reagieren, das das größere kriminelle Netzwerk angerichtet hat. Sie sagt, Waifu sei ein Beispiel für ein größeres Prinzip, das sie in der Welt der Cyberkriminellen beobachtet habe, nämlich dass eine kleine Minderheit von Kriminellen oft für den Großteil des Schadens verantwortlich sei.
„Dieser spezielle Fall ist bedeutsam, weil sie einen Angehörigen dieser winzigen Minderheit aufgegriffen haben, der unverhältnismäßigen Schaden anrichtet“, sagt sie. „Deshalb ist das ein guter Anfang. Wir müssen mehr dieser unverhältnismäßig schädlichen Akteure verhaften.“
Aktualisiert um 15:55 Uhr EST, 5. November 2024: Eine Erklärung von Mandiant hinzugefügt.
