Un investigador de seguretat que va col·laborar en l’operació creu que s’ha esborrat l’única còpia del conjunt complet de dades de registres de trucades i missatges de text de «gairebé tots» els clients d’AT&T, encara que és possible que hi subsisteixin alguns riscos.

El gegant estatunidenc de les telecomunicacions AT&T, que va revelar divendres que uns pirates informàtics havien robat els registres de trucades de desenes de milions dels seus clients, va pagar a un membre de l’equip dels pirates informàtics més de 300.000 dòlars perquè esborrés les dades i proporcionés un vídeo que demostrés la prova de l’esborrament.

El pirata informàtic, que forma part del conegut grup de pirates informàtics ShinyHunters, que ha robat dades de diverses víctimes a través de comptes no segurs d’emmagatzematge al núvol Snowflake, explica a WIRED que AT&T va pagar el rescat al maig. Va facilitar la direcció de la cartera de criptodivises que va enviar la moneda, així com la direcció que la va rebre. WIRED va confirmar, a través d’una eina de seguiment de cadena de blocs en línia, que el 17 de maig es va produir una transacció de pagament per valor de 5,7 bitcoins. Chris Janczewski, cap d’investigacions globals de l’empresa de rastreig de criptomonedes TRM Labs, també va confirmar mitjançant la mateixa eina de rastreig de l’empresa que es va produir una transacció per un import d’uns 5,72 bitcoins (l’equivalent a 373.646 dòlars en el moment de transacció), i que els diners es van blanquejar després a través de diversos intercanvis i carteres de criptomonedes, però va dir que no hi havia indicis de qui controlava aquestes carteres.

Un investigador de seguretat que va demanar que fos identificat únicament pel seu nom d’usuari, Reddington, també va confirmar que s’havia produït un pagament. El pirata informàtic li va demanar que actués com a intermediari en la seva negociació amb AT&T, i Reddington va rebre una comissió de l’AT&T per exercir aquesta funció. Reddington va proporcionar a WIRED proves del pagament. El pirata informàtic va exigir inicialment un milió de dòlars a AT&T, però finalment va acceptar un terç d’aquesta quantitat.

WIRED va veure el vídeo en el qual el pirata informàtic diu haver proporcionat a l’AT&T com a prova de l’esborrament de les dades robades de l’ordinador. L’AT&T no va respondre quan WIRED li va demanar que en fes comentaris.

Va ser indirectament a través de Reddington que l’AT&T es va assabentar del robatori de dades fa tres mesos.

Reddington explica a WIRED que, a mitjans d’abril, un pirata informàtic nord-americà resident a Turquia i que es creu que és John Erin Binns (no el pirata informàtic que va rebre el pagament) es va posar en contacte amb ell per dir-li que havia obtingut els registres de trucades d’AT&T del mateix Reddington. Una vegada que Reddington va haver verificat que els registres de trucades eren reals, Binns suposadament li va comunicar que també havia obtingut els registres de trucades i missatges de text de milions d’altres clients d’AT&T a través d’un compte d’emmagatzematge al núvol mal protegit, allotjat a Snowflake. Reddington va notificar la filtració a l’empresa de seguretat Mandiant, que va avisar AT&T. En un informe presentat divendres davant de la Comissió del Mercat de Valors, AT&T va declarar que va tenir coneixement de la filtració a l’abril.

El cas de Ticketmaster

AT&T és una de les més de 150 empreses a les quals es creu que es van robar dades de comptes Snowflake mal protegits durant una onada de pirateria informàtica que es va desenvolupar al llarg d’abril i maig. Anteriorment, s’havia informat que els comptes no estaven protegits amb autenticació multifactor, de manera que després que els pirates informàtics obtinguessin els noms d’usuari i les contrasenyes dels comptes, i en alguns casos els tokens d’autorització, van poder accedir als comptes d’emmagatzematge de les empreses i desviar-ne les dades. Ticketmaster, l’entitat bancària Santander, LendingTree i Advance Auto Parts figuren entre les víctimes identificades públicament fins ara.

Reddington ha facilitat una sèrie de negociacions entre els pirates informàtics i les víctimes de les violacions de comptes de Snowflake. Assenyala que Binns li va demanar que es posés en contacte amb AT&T «per facilitar la recompra de les dades», i que «atesa la importància de les dades» i el dany potencial, «em vaig sentir obligat d’assegurar-me que no venia les dades a ningú més».

Assenyala que la seqüència d’esdeveniments indica que el compte Snowflake de Ticketmaster va ser probablement la primera vulnerada a la campanya, i després els pirates informàtics van apuntar cap a l’AT&T i d’altres.

«L’anàlisi de les mostres de dades proporcionades per altres víctimes indica que Ticketmaster va ser la primera víctima», explica a WIRED, «i a partir d’aquí sembla que els ciberdelinqüents es van adonar que podien atacar els dominis”snowflakecomputing.com‘ buscant credencials robades. No van trigar gaire temps a recopilar una llista i escriure un script per atacar totes les víctimes de Snowflake simultàniament.”

Les dades robades a l’AT&T incloïen metadades de trucades i missatges de text, però no el contingut de les trucades o missatges ni els noms dels propietaris dels telèfons, segons la presentació d’AT&T davant de la SEC. Reddington al·lega que Binns va demostrar la facilitat amb què podia identificar els propietaris dels números utilitzant un programa de cerca inversa que identificava pel seu nom els familiars, col·legues i altres persones vinculades als números de telèfon que s’hi comunicaven.

Les dades robades incloïen els números de telèfon de «gairebé tots» els clients de telefonia mòbil d’AT&T i els números de clients d’altres operadors de telefonia mòbil que van intercanviar trucades o missatges amb aquests clients d’AT&T entre l’1 de maig del 2022 i el 31 d’octubre del 2022, com també el 2 de gener del 2023, segons l’empresa. També incloïa els números de telèfon fix que es van comunicar amb els clients d’AT&T afectats durant aquest període. Les dades incloïen les dates de la comunicació i la durada de les trucades: «Per a un subconjunt dels registres, també s’inclouen un o més números d’identificació de llocs cel·lulars associats amb les interaccions”, ha indicat la companyia a una entrada de bloc. Els números d’identificació de llocs de telefonia mòbil revelen quines torres de telefonia mòbil utilitza un telèfon i es poden utilitzar per identificar la ubicació general i els moviments d’un usuari.

La notícia de la filtració no es va fer pública fins divendres, quan l‘AT&T la va publicar al seu bloc i la va fer pública davant de la SEC. Tot i que les empreses que cotitzen a la borsa estan obligades a informar la SEC quan s’assabenten que s’han produït filtracions, l’AT&T va escriure que el Departament de Justícia (DOJ) li havia concedit exempcions al maig i juny per endarrerir la notificació a causa d’un possible perjudici per a la seguretat nacional o la seguretat pública si es revelava la filtració. L’FBI va dir a la CNN que l’AT&T s’havia posat en contacte amb l’agència poc després de conèixer el pirateig, però que l’agència volia revisar les dades per determinar què s’havia sostret i avaluar qualsevol dany potencial abans que l’AT&T ho revelés públicament a la SEC.

El pirata informàtic que va rebre el pagament de l’AT&T al·lega que Binns va ser el responsable de la filtració i que va compartir mostres de les dades amb ell i altres persones després de descarregar-les. Creu que Binns hauria robat «diversos milers de milions» de registres de l’AT&T, encara que WIRED no ho ha pogut confirmar. Reddington entén que les dades que es van esborrar van ser les úniques completes que es van emportar els pirates informàtics. Reddington esmenta que no creu que els pirates informàtics publiquessin les dades, encara que no està segur de quantes persones van rebre extractes de les dades que suposadament va proporcionar Binns o què van fer amb elles.

Realment es van eliminar les dades?

Tot i el pagament i l’eliminació, alguns clients de l’AT&T i els que es van comunicar amb ells poden seguir en perill, atès que altres poden tenir mostres de les dades que no es van eliminar.

El pirata informàtic que va parlar amb WIRED va obtenir el pagament de l’AT&T en lloc de Binns perquè, segons ell, en un estrany gir del cas, Binns va ser detingut a Turquia al maig per una infracció no relacionada que es remunta al 2021. En aquest cas es tractava d’un robatori massiu de dades de T-Mobile. L’AT&T va dir en la presentació davant de la SEC que creia que «almenys una persona» associada amb la violació ja havia estat detinguda, però no la va identificar. 404 Media va ser la primera a informar divendres que Binns, suposadament, és aquesta persona.

Binns va ser acusat el 2022 de 12 càrrecs relacionats amb el pirateig de T-Mobile el 2021 «i el robatori i venda d’arxius i informació confidencial» que va afectar dades de més de 40 milions de persones. No obstant això, Binns s’havia mudat dels Estats Units a Turquia el 2018 amb la seva mare turca, segons una entrevista que va concedir fa tres anys a El Wall Street Journal. L’acusació es va tornar a obrir enguany. El setembre passat, els Estats Units van saber que possiblement podria ser arrestat a Turquia i extradit als EUA perquè no tenia la ciutadania turca. Al desembre, els fiscals de Seattle, a prop de la seu de T-Mobile, van demanar a un tribunal nord-americà que desclassifiqués part de l’acusació per poder lliurar-la, juntament amb una ordre de detenció, a les autoritats turques, que estaven prenent la decisió final sobre si Binns podia ser extradit legalment d’acord amb la legislació turca. El tribunal va accedir a la petició al gener.

El pirata informàtic que va rebre el pagament de l’AT&T explica a WIRED que creu que Binns va ser detingut a Turquia al voltant del 5 de maig, ja que Binns no ha respost a cap intent seu ni d’altres persones de posar-s’hi en contacte. WIRED es va posar en contacte amb l’advocat d’ofici de Seattle que representa Binns en el cas T-Mobile, però no va obtenir cap resposta.

Pirata paranoide

Binns ha tingut contacte amb les autoritats nord-americanes diverses vegades i ha acusat la CIA i altres agències de conspiracions desgavellades per perjudicar-lo i estendre trampes. En el marc d’una demanda presentada el 2020 en virtut de la Llei per la Llibertat de la Informació (FOIA) contra l’FBI, la CIA i el Comandament d’Operacions Especials dels Estats Units per obtenir registres que, segons ell, tenien sobre ell, Binns va afirmar que contractistes de la CIA l’espiaven, experimentaven amb ell, l’assetjaven i que un el va apuntar al cap amb una “arma psicotrònica” i va utilitzar un forn microones per donar-li descàrregues elèctriques, entre altres acusacions. Més tard va presentar una moció per desestimar el seu cas a FOIA, al·legant que havia presentat alguns documents mentre «experimentava un episodi psicològic provocat per la intoxicació».

L’octubre passat, en el cas T-Mobile, Binns va escriure al Tribunal de Districte dels EUA a Seattle i va afirmar que creia que les seves accions estaven afectades per un xip que l’havien implantat al cervell quan era un nadó. En una carta certificada enviada al tribunal i vista per WIRED, Binns deia al jutge que creia que un «implant o dispositiu sense fil d’estimulació cerebral (ganglis basals) implantat» poc després de néixer era responsable d’«un comportament erràtic que inclou impulsos irresistibles, problemes neurològics artificials i la possible comissió de delictes.»

La cronologia suggereix que si Binns és responsable de la violació de l’AT&T, ho va fer presumptament quan ja era probablement conscient que estava sota acusació pel pirateig de T-Mobile i podria enfrontar-se a un arrest.