Durante grande parte deste verão, um grupo misterioso de hackers realizou uma série de invasões de dados, todas direcionadas a clientes da empresa de armazenamento em nuvem Snowflake. Agora, um suposto hacker – que especialistas acreditam ser o líder desse grupo – foi preso no Canadá e pode estar a caminho de um tribunal dos EUA.
Na segunda-feira, Bloomberg e 404 Media relataram que um canadense chamado Alexander Moucka, que também é conhecido pelo nome Connor Moucka, foi detido no final de outubro por um mandado de prisão provisório. Moucka então compareceu a uma audiência judicial hoje, 5 de novembro, como parte dos procedimentos de extradição, conforme relatado pela 404 Media.
Sob os pseudônimos Waifu e Judische, Moucka é considerado uma figura notória no submundo cibernético, diz Allison Nixon, uma pesquisadora de segurança e diretora de pesquisa da empresa de segurança Unit 221B, que há muito rastreia sua atividade online. Ela menciona que a atividade de hacking de Moucka remonta a anos antes das invasões ao Snowflake. “Eu estava esperando por isso”, diz Nixon. “Waifu era o líder de um grupo responsável por muitas intrusões importantes nos últimos cinco anos.”
Atividades suspeitas ligadas a contas de clientes do Snowflake foram detectadas pela primeira vez em abril, de acordo com um relatório de junho da empresa de segurança Mandiant, que foi contratada pelo Snowflake para investigar conjuntamente o hacking. Os sistemas do primeiro cliente desconhecido do Snowflake foram acessados usando credenciais que foram previamente obtidas por malware infostealer, diz o relatório. Nos meses seguintes, mais de 165 clientes do Snowflake, segundo o relatório da Mandiant, tiveram potencialmente dados que armazenavam nos sistemas do Snowflake expostos ou roubados. Centenas de milhões de registros da AT&T, Santander, Live Nation Entertainment, proprietário do Ticketmaster, e mais foram acessados na onda de hacks.
O relatório da Mandiant em junho afirmou que a maioria das contas comprometidas do Snowflake não tinha autenticação multifatorial ativada e credenciais coletadas de logs de infostealers – alguns datando de 2020 – foram usadas para acessá-las. Desde as invasões, o Snowflake atualizou seus sistemas para exigir que a autenticação multifatorial seja ativada por padrão.
Um porta-voz do Snowflake diz à WIRED que não tem comentários sobre a prisão. Ian McLeod, porta-voz do Departamento de Justiça do Canadá, afirma que Moucka foi preso após um pedido dos Estados Unidos. “Como os pedidos de extradição são considerados comunicações confidenciais entre estados, não podemos comentar mais sobre este caso”, diz McLeod.
Embora o hacker por trás dos pseudônimos Waifu e Judische tenha sido vinculado a uma identidade canadense por vários meses, acredita-se que ele não seja a única pessoa ligada aos incidentes do Snowflake. Como a WIRED relatou em julho, o hacker americano John Binns supostamente esteve envolvido na violação da AT&T relacionada ao Snowflake, que fez a empresa pagar mais de $300.000 para ter milhões de registros de clientes roubados deletados. (Binns foi preso anteriormente na Turquia após os EUA o inditarem por uma violação de 2021 da T-Mobile). Nixon, da Unit 221B, diz que está ciente de outros membros da gangue cibernética que permanecem à solta.
De acordo com Nixon, Waifu, agora supostamente Moucka, emergiu de uma comunidade cibernética conhecida como “the Com”, uma rede subterrânea de jovens hackers e trolls ativos em plataformas como Telegram e Discord e responsáveis por hacking e outros crimes digitais, incluindo ransomware, troca de SIM, roubo de criptomoedas, sextorsão e assédio. O grupo de ransomware conhecido como Scattered Spider, que é responsável por ataques de extorsão altamente disruptivos contra vítimas, incluindo MGM Entertainment e Caesars Entertainment, está entre vários subgrupos criminosos ligados ao Com. “Essas são pessoas que tratam os estatutos criminais como uma lista de verificação”, diz Nixon.
“Eu sei que ele está no Com há muito tempo, mais perto de uma década. Ele claramente passou seus anos de adolescência fazendo parte dessa cultura”, diz Nixon sobre Moucka, que ela afirma estar agora na casa dos 20 anos. “Quando as pessoas crescem no Com, é assim que elas acabam.”
Enquanto Nixon rastreava Waifu e seus associados ao longo do último ano, ela diz que ele em um ponto cometeu um erro de segurança operacional ou “opsec” que pode ter levado a aplicação da lei a sua identidade – embora ela tenha se recusado a dizer qual foi esse erro ou exatamente quando ocorreu. Waifu subsequentemente tentou encobrir essa revelação acidental com falsas pistas e desinformação postadas no Telegram, o que ele descreveu como “envenenamento de poço”. Mas Nixon diz que a aplicação da lei estava ciente da identidade de Moucka desde pelo menos o início de julho. “Se você comete um erro de opsec, está feito. Você não pode enterrar isso sob um monte de besteiras que posta depois”, diz Nixon. “Tudo o que isso conseguiu foi mostrar que ele sabia que o que estava fazendo estava errado.”
Embora a prisão de Moucka esteja longe de ser o fim do Com, Nixon diz que vê isso como um movimento potencialmente importante em resposta ao caos que a rede criminosa maior causou. Waifu, diz ela, era um exemplo de um princípio maior que ela observou no mundo cibernético, que uma pequena minoria de criminosos é frequentemente responsável pela maioria dos danos.
“Este caso é significativo porque eles pegaram uma daquelas pequenas minorias que causam danos desproporcionais”, diz ela. “É por isso que isso é um bom começo. Precisamos prender mais desses atores desproporcionalmente prejudiciais.