DOJ confirma que soldado do Exército dos EUA preso está ligado a ataques à AT&T e Verizon

Promotores dos Estados Unidos formalmente ligaram a prisão de um soldado ativo do Exército dos EUA em dezembro a um roubo massivo de registros telefônicos das operadoras AT&T e Verizon no ano passado.

Cameron John Wagenius, um especialista em comunicações do Exército dos EUA, foi preso no Texas em 20 de dezembro, após uma breve acusação de duas páginas emitida por um grande júri, acusando-o de dois crimes de transferência ilegal de registros telefônicos confidenciais. Wagenius foi posteriormente extraditado para o estado de Washington.

Em um novo documento judicial apresentado na sexta-feira, os promotores confirmaram que as acusações contra Wagenius estão relacionadas a uma acusação anterior contra dois supostos hackers, Connor Moucka e John Binns. Esses hackers foram acusados pelo governo dos EUA de múltiplas invasões na empresa de computação em nuvem Snowflake, que resultaram no roubo massivo de dados armazenados em contas de clientes da empresa.

Entre os clientes da Snowflake que tiveram dados roubados estão a AT&T, que teve "quase todos" os registros de chamadas de seus clientes exfiltrados até 2024, e a Verizon, que também teve uma grande quantidade de registros de chamadas comprometida.

A procuradora dos EUA, Tessa Gorman, disse ao tribunal de Seattle que "ambos os casos surgem da mesma invasão de computadores e extorsão e incluem algumas das mesmas informações roubadas das vítimas". Ela acrescentou que "esses casos dependem de material probatório e processos legais sobrepostos e, possivelmente, apresentam questões comuns de direito e fato".

Esta é a primeira vez que os promotores confirmam publicamente que as acusações contra Wagenius estão conectadas às invasões do ano passado na Snowflake. O jornalista de segurança Brian Krebs foi o primeiro a relatar a ligação entre Wagenius e os ataques à Snowflake em novembro e, posteriormente, divulgou a notícia da prisão de Wagenius.

Os ataques às contas da Snowflake se tornaram um dos maiores ciberataques de alcance global do ano passado, afetando a AT&T, LendingTree, Santander Bank, Ticketmaster e pelo menos outras 160 empresas. Os hackers roubaram grandes volumes de dados pessoais e corporativos sensíveis armazenados na Snowflake, em parte usando senhas roubadas de computadores de funcionários infectados com malware. A maioria dos clientes da Snowflake afetados não usava autenticação multifator, que na época não era exigida pela empresa.

Segundo relatos de Krebs, após a prisão de Moucka pelas autoridades canadenses, Wagenius afirmou em um fórum de crimes cibernéticos conhecido que tinha acesso aos registros de chamadas da vice-presidente Kamala Harris e do então presidente eleito Donald Trump. Ele teria ameaçado divulgar todos os arquivos roubados caso Moucka não fosse libertado.

Os promotores acusam os hackers da Snowflake de roubar dados que incluem informações pessoais, números de celular e IMEI, datas de nascimento, endereços residenciais e de e-mail, senhas, números de Seguro Social, números de identidade emitidos pelo governo, bem como informações de cartões de pagamento e contas bancárias.

Wagenius foi detido em 8 de janeiro e permanece sob custódia no estado de Washington.