ไค โลแกน เวสต์
รูปโปรไฟล์ที่ IntelBroker ใช้กันทั่วไป
เกิด	ปี 1999 หรือ 2000 ในอังกฤษ
ชื่ออื่น	อินเทลโบรเกอร์
เป็นที่รู้จักในด้าน	การแฮ็กองค์กรธุรกิจและหน่วยงานรัฐบาล เจ้าของเว็บไซต์BreachForums (สิงหาคม 2024 – มกราคม 2025)

Kai Logan West (เกิดปี 1999 หรือ 2000) ซึ่งรู้จักกันในชื่อเล่นออนไลน์ ว่า IntelBrokerเป็นอดีตแฮกเกอร์หมวกดำชาวอังกฤษ^{[ 1 ]} ที่ได้ก่อเหตุ โจมตีทางไซเบอร์ที่มีชื่อเสียงหลายครั้งต่อบริษัทขนาดใหญ่และหน่วยงานรัฐบาล โดยมีการขายและการรั่วไหลของข้อมูลที่ถูกบุกรุกมากกว่า 80 รายการที่สามารถสืบย้อนไปถึงพวกเขาได้

IntelBroker เริ่มดำเนินกิจกรรมครั้งแรกในเดือนตุลาคม 2021 โดยแฮ็กองค์กรขนาดเล็ก แต่ได้รับชื่อเสียงในปี 2023 หลังจากการโจมตีบริการจัดส่งอาหาร "Weee!" ^{[ 2 ] [ 3 ]}พวกเขาได้เคลื่อนไหวในBreachForums ซึ่งเป็นฟ อรัมอาชญากรรมไซเบอร์ ออนไลน์โดยดำรงตำแหน่งเป็นเจ้าของระหว่างเดือนสิงหาคม 2024 ถึงมกราคม 2025

ตัวตนของ IntelBroker ถูกเปิดเผยเมื่อวันที่ 25 มิถุนายน พ.ศ. 2568 อันเป็นผลมาจากการฟ้องร้องและการจับกุมเขา^{[ 4 ]}

หลังจากการโจมตีครั้งแรก IntelBroker ถูกคาดเดาว่าเป็นทีมที่มีทักษะสูง อาจเป็นกลุ่มคุกคามถาวรของอิหร่านอย่างไรก็ตาม การสัมภาษณ์กับ The Cyber ​​Express เปิดเผยว่าพวกเขาเป็นบุคคลเพียงคนเดียว^{[ 3 ]}ในการสัมภาษณ์อีกครั้งกับพอดแคสต์ Inside Darknet ของเยอรมัน^{[ 5 ]} IntelBroker อ้างว่าเขาเป็นชาวเซอร์เบียและอาศัยอยู่ในรัสเซียด้วยเหตุผลด้านความปลอดภัย^{[ 6 ]}

IntelBroker ได้แสดงความคิดเห็นว่าหน่วยงานบังคับใช้กฎหมายมักจะกำหนดความเกี่ยวข้องกับประเทศให้กับผู้กระทำการอิสระเร็วเกินไป และสื่อมักจะรายงานหรือมองข้ามการโจมตีทางไซเบอร์อย่างเลือกปฏิบัติ^{[ 3 ]}ในการสัมภาษณ์กับ Inside Darknet IntelBroker ได้แสดงความปรารถนาที่จะจัดการฟอรัมอาชญากรรมไซเบอร์ในสักวันหนึ่ง^{[ 5 ]}พวกเขาบอกกับ The Cyber ​​Express ว่างานอดิเรกอย่างหนึ่งของพวกเขาคือการดื่มและการ "แสวงหาประโยชน์จากช่องโหว่ทางดิจิทัล" สามารถสร้างผลกำไรได้ "ในขณะที่ดำเนินการอยู่ภายในขอบเขตทางจริยธรรมและกฎหมาย" ^{[ 3 ]}

ในปี 2023 IntelBroker เข้าร่วมกลุ่มแฮ็กเกอร์เหยียดเชื้อชาติ CyberNiggers บนBreachForumsและวางแผนการโจมตีทางไซเบอร์ครั้งสำคัญที่สุดของกลุ่มในระหว่างที่พวกเขาอยู่ที่นั่น^{[ 3 ]}การโจมตีที่คล้ายกันยังคงดำเนินต่อไปโดยสมาชิกคนอื่นๆ ของกลุ่มก่อนที่กลุ่มจะยุติกิจกรรม^{[ 6 ]}ในเดือนสิงหาคม 2024 IntelBroker กลายเป็นเจ้าของ BreachForums ^{[ 7 ]}ต่อมาพวกเขาลาออกในเดือนมกราคม 2025 แม้ว่าฟอรัมจะยังคงใช้งานอยู่^{[ 8 ] [ 9 ]}

IntelBroker ใช้กลยุทธ์หลากหลายรูปแบบในการเข้าถึงระบบรักษาความปลอดภัย หลังจากเจาะระบบเป้าหมายได้แล้ว IntelBroker จะพยายามสร้างการเข้าถึงอย่างต่อเนื่องโดยการเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตและจัดการบัญชีระบบ พวกเขาอาจปกปิดไฟล์ที่เป็นอันตรายหรือยกระดับสิทธิ์การเข้าถึงเพื่อทำให้ซอฟต์แวร์รักษาความปลอดภัยป้องกันเครือข่ายที่ถูกบุกรุกได้อย่างมีประสิทธิภาพได้ยาก โดยทั่วไป IntelBroker จะพยายามขายสิทธิ์การเข้าถึงนี้ก่อน ซึ่งสามารถนำไปใช้เพื่ออำนวยความสะดวกในการทำกิจกรรมที่เป็นอันตรายอื่นๆ ในที่สุดพวกเขายังอาจพยายามขยายการเข้าถึงโดยใช้ข้อมูลประจำตัวที่ถูกบุกรุก ค้นหาและดึงข้อมูลเพิ่มเติมของเหยื่อเพื่อขายในตลาดมืด เช่น BreachForums ^{[ 10 ] [ 6 ]}

IntelBroker สร้างมัลแวร์เรียกค่าไถ่สายพันธุ์พิเศษที่เขียนด้วยภาษาC#ซึ่งรู้จักกันในชื่อ Endurance และเผยแพร่ซอร์สโค้ดสู่สาธารณะบน หน้า GitHub ของเขา แม้ว่าจะถูกจัดว่าเป็นมัลแวร์เรียกค่าไถ่ แต่ซอฟต์แวร์นี้จะเขียนทับและลบไฟล์เป้าหมายทั้งหมด^{[ 10 ]}ศูนย์อาชญากรรมไซเบอร์ของกระทรวงกลาโหม (DC3) ยืนยันว่าIntelBroker ใช้ Endurance ในการแฮ็กหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง^{[ 11 ]}พวกเขาคาดการณ์ว่า Endurance เกี่ยวข้องกับ ซอฟต์แวร์ลบข้อมูล Shamoonที่แฮ็กเกอร์ชาวอิหร่านใช้ ซึ่ง IntelBroker ปฏิเสธ^{[ 6 ]} หลังจากปี 2023 IntelBroker ดูเหมือนจะไม่ได้มีส่วนร่วมในกิจกรรมมัลแวร์เรียกค่าไถ่อีกต่อไป^{[ 6 ]}

ณ เดือนมิถุนายน พ.ศ. 2567 IntelBroker ได้โพสต์การรั่วไหลและการขายข้อมูลที่ถูกบุกรุกแยกกันมากกว่า 80 รายการบน BreachForums และอ้างว่าได้ขายข้อมูลขององค์กรมากกว่า 400 แห่ง โดยเป้าหมายส่วนใหญ่อยู่ในสหรัฐอเมริกา^{[ 6 ]}

IntelBroker แทรกซึมเข้าไปในฐานข้อมูลที่มีบันทึก 2.5 ล้านรายการและอีเมล 1.9 ล้านรายการผ่านระบบการจัดการลูกค้าสัมพันธ์ของสนามบินนานาชาติลอสแอนเจลิส พวกเขายังเข้าถึงข้อมูลจาก สำนักงานตรวจคนเข้าเมืองและศุลกากรของสหรัฐฯและสำนักงานตรวจคนเข้าเมืองและสัญชาติสหรัฐฯซึ่งรวมถึงข้อมูลของพลเมืองสหรัฐฯ มากกว่า 100,000 คน เป้าหมายอื่นๆ ของ IntelBroker ได้แก่Hewlett Packard Enterprise , Verizon , HSBC , Accor , Home Depot , Facebook , Tech in Asiaและหน่วยงานรัฐบาลสหรัฐฯ ต่างๆ^{[ 6 ]}

ในช่วงต้นปี 2023 IntelBroker ได้แทรกซึมเข้าไปในเครือข่ายร้านขายของชำ Weee! ในสหรัฐอเมริกา และเปิดเผยข้อมูลส่วนบุคคลของ ลูกค้าที่ สั่งซื้อสินค้าแบบจัดส่ง มากกว่าหนึ่งล้านราย ซึ่งรวมถึงชื่อ หมายเลขโทรศัพท์ ที่อยู่อีเมล และรหัสเข้าอาคาร แต่ไม่ได้เปิดเผยข้อมูลทางการเงินและข้อมูลการชำระเงินตามที่บริษัทระบุ^{[ 12 ]}ในเดือนมีนาคมของปีเดียวกัน พวกเขาได้เจาะเข้าไปในDC Health Link ซึ่งเป็น ตลาดประกันสุขภาพของอเมริกาและเปิดเผยข้อมูลการติดต่อและหมายเลขประกันสังคมของสมาชิกบางคนของรัฐสภาสหรัฐอเมริกา^{[ 13 ]} ในเดือนธันวาคม 2023 IntelBroker อ้างว่าได้รับข้อมูลที่ละเอียดอ่อนเกี่ยวกับการสื่อสารระหว่างเพนตากอนและหัวหน้าเจ้าหน้าที่สารสนเทศ (CIO) และรองเสนาธิการ (DCS/G-6 ในขณะนั้น) ของกองทัพบกสหรัฐอเมริกา^{[ 14 ]}

ในเดือนพฤษภาคม 2024 IntelBroker อ้างว่าพวกเขาได้ละเมิดข้อมูลพนักงาน รหัสต้นฉบับ FOUOและแนวทางการปฏิบัติงานของEuropolและได้เจาะเข้าไปในเครือข่ายคอมพิวเตอร์ของZscaler [ ^{6 ] ใน}เดือนมิถุนายน พวกเขาอ้างว่าได้ดึงข้อมูล เช่น ชื่อลูกค้าและหมายเลขกรมธรรม์จากบริษัทไอทีCognizant ^{[ 15 ]} ในเดือนพฤศจิกายน 2023 มีรายงานว่า IntelBroker และ EnergyWeaponUser ได้เจาะเข้าไปในผู้รับเหมาภายนอกของNokiaแต่บริษัทปฏิเสธว่าระบบหรือข้อมูลของตนถูกละเมิด^{[ 16 ] [ 17 ]}

ในเดือนพฤศจิกายน พ.ศ. 2566 IntelBroker อ้างว่าได้เจาะเข้าไปในGeneral Electricและขโมยข้อมูลที่เป็นของDARPAพวกเขาแชร์ภาพที่ดูเหมือนจะเป็นโครงการทางทหารของ GE แต่ไม่ได้แชร์ไฟล์ตัวอย่างใดๆ พวกเขาเรียกเงิน 500 ดอลลาร์บน BreachForums ซึ่งเป็นเว็บไซต์สนทนาทางอินเทอร์เน็ตสำหรับข้อมูลที่ถูกขโมยไป รวมถึงการเข้าถึงกระบวนการพัฒนาและซอฟต์แวร์ของ GE แต่ไม่มีใครสนใจในขณะนั้น มีข้อสงสัยเกี่ยวกับข้ออ้างของ IntelBroker แต่ก็เป็นไปได้เช่นกันว่า GE อาจเผลอปล่อยให้บางส่วนของเครือข่ายมีการกำหนดค่าผิดพลาดหรือเปิดช่องให้ถูกบุกรุก^{[ 13 ]}

ในเดือนเมษายน พ.ศ. 2567 IntelBroker ประกาศว่าพวกเขาและแฮกเกอร์หมวกดำ Sanggiero ได้แฮก Acuity ซึ่งเป็นผู้รับเหมาด้านเทคโนโลยีของรัฐบาลสหรัฐฯ และต่อมาได้รับข้อมูลลับของ องค์กรข่าวกรอง Five Eyesและกองทัพสหรัฐฯ ข้อมูลส่วนใหญ่ถูกจัดเก็บไว้ใน ที่เก็บข้อมูล GitHubของ Acuity ซึ่ง IntelBroker สามารถเข้าถึงได้^{[ 18 ] [ 19 ]}ข้อมูลดังกล่าวรวมถึงการสื่อสารและเอกสารลับระหว่างสมาชิก Five Eyes และข้อมูลติดต่อของเจ้าหน้าที่รัฐบาลและทหารสหรัฐฯ หลายคน^{[ 20 ]} Sanggiero อ้างว่าการละเมิดเกิดขึ้นเมื่อวันที่ 7 มีนาคม หนึ่งเดือนก่อนที่ข้อมูลจะรั่วไหล^{[ 21 ]}หลังจากการตรวจสอบ Acuity พบว่าข้อมูลที่รั่วไหลนั้นเก่าและไม่เป็นความลับ^{[ 22 ]}

เมื่อวันที่ 31 มีนาคม 2024 IntelBroker ได้ช่วยเหลือ Sangierro ในการแฮ็กเว็บไซต์อีคอมเมิร์ซของจีนPandabuyโดยข้อมูลผู้ใช้ถูกขายบน BreachForums ในราคาบิตคอยน์ "เชิงสัญลักษณ์" จำนวนเล็กน้อย ^{[ 23 ] [ 24 ]}ข้อมูลดังกล่าวถูกเรียกค่าไถ่จาก Pandabuy ในจำนวนเงินที่ไม่ทราบแน่ชัด แต่หลังจากจ่ายเงินแล้ว ข้อมูลก็ยังรั่วไหลออกมา^{[ 25 ] [ 26 ]} IntelBroker และ Sangierro อ้างว่าข้อมูลที่รั่วไหลประกอบด้วยชื่อ รายละเอียดการติดต่อ คำสั่งซื้อ และที่อยู่ของลูกค้า Pandabuy มากกว่า 3 ล้านราย ในขณะที่การวิเคราะห์โดยTroy Hunt ผู้สร้าง " Have I Been Pwned? " พบว่ามีเพียงประมาณ 1.3 ล้านรายการของผู้ใช้ที่เป็นของจริง ส่วนที่เหลือเป็นที่อยู่อีเมลปลอม^{[ 24 ] [ 27 ]} Pandabuy พยายามเซ็นเซอร์โพสต์บน หน้า DiscordและRedditเพื่อปกปิดการรั่วไหล ก่อนที่จะเสนอ "ส่วนลดค่าขนส่ง 10%" ให้กับผู้ใช้เพื่อเป็นการชดเชย การกระทำทั้งสองอย่างได้รับการตอบรับในเชิงลบจากลูกค้าของ Pandabuy ^{[ 28 ] [ 29 ]}

เมื่อวันที่ 3 มิถุนายน 2024 Sanggiero ได้โพสต์ใน BreachForums ว่าพวกเขาจะขายข้อมูลทั้งหมดจากการรั่วไหลของข้อมูล ซึ่งประกอบด้วยรายการผู้ใช้มากกว่า 17 ล้านรายการ ในราคา 40,000 ดอลลาร์ พวกเขาได้เรียกค่าไถ่ข้อมูลอีกครั้งจาก Pandabuy ซึ่งปฏิเสธที่จะจ่าย เนื่องจากทั้งสองละเมิดข้อตกลงเรียกค่าไถ่เดิมและขายข้อมูลไปแล้ว^{[ 25 ] [ 26 ]}

เมื่อวันที่ 10 พฤษภาคม 2024 IntelBroker ประกาศบน BreachForums ว่าพวกเขาสามารถเข้าถึงบันทึกข้อมูลลับ 9,128 รายการจากEuropol หน่วยงานบังคับใช้กฎหมายของสหภาพยุโรป ซึ่งรวมถึงข้อมูลพนักงาน รหัสต้นฉบับ และเอกสารแนวทางปฏิบัติ บันทึกส่วนใหญ่มาจาก Europol Platform for Experts ซึ่งเป็นแพลตฟอร์มการสนทนาสำหรับหน่วยงานบังคับใช้กฎหมาย และโปรแกรมหลักฐานอิเล็กทรอนิกส์ SIRIUS Europol ยืนยันว่าการรั่วไหลเป็นเรื่องจริง แต่กล่าวอ้างว่ามีเพียงข้อมูลจาก Europol Platform for Experts และ SIRIUS เท่านั้น และไม่มีข้อมูลการปฏิบัติงานใดๆ^{[ 30 ] [ 31 ]} IntelBroker ประกาศว่าจะรับข้อเสนอสำหรับข้อมูลในMonero [ ^{32 ] ซึ่งขาย ได้}ในวันที่ 11 พฤษภาคม^{[ 33 ]}

ในเดือนมิถุนายน พ.ศ. 2567 IntelBroker อ้างบนXว่าพวกเขาได้รับซอร์สโค้ดสำหรับเครื่องมือภายในของ Apple หลายรายการ รวมถึง AppleConnect-SSO, Apple-HWE-Confluence-Advanced, AppleMacroPlugin ก่อนที่จะเผยแพร่โค้ดดังกล่าวบน BreachForums เครื่องมือเหล่านี้เกี่ยวข้องกับกระบวนการภายในของ Apple เช่น การตรวจสอบสิทธิ์ผู้ใช้และการแบ่งปันข้อมูลภายในเครือข่ายของ Apple ^{[ 34 ] [ 6 ]}การวิเคราะห์ในภายหลังเปิดเผยว่าโค้ดที่รั่วไหลไม่ใช่ซอร์สโค้ด แต่เป็นปลั๊กอินสำหรับเครื่องมือภายใน อย่างไรก็ตาม โค้ดดังกล่าวยังคงเป็นความเสี่ยงด้านความปลอดภัย และอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีได้^{[ 35 ] [ 36 ]}

เมื่อวันที่ 17 มิถุนายน 2024 IntelBroker อ้างใน BreachForums ว่าพวกเขาได้เจาะระบบของบริษัทผู้ผลิตเซมิคอนดักเตอร์รายใหญ่AMDและกำลังขายข้อมูลที่ถูกบุกรุก ตัวอย่างที่พวกเขานำเสนอประกอบด้วยข้อมูลเกี่ยวกับผลิตภัณฑ์ในอนาคต ข้อมูลพนักงาน ข้อมูลลูกค้า ซอร์สโค้ด และบันทึกทางการเงิน^{[ 37 ]} AMD ติดต่อหน่วยงานบังคับใช้กฎหมายอย่างรวดเร็วเพื่อสอบสวนการละเมิด^{[ 38 ]}หลังจากนั้นไม่นาน AMD อ้างว่าการละเมิดมีขอบเขตจำกัด จะไม่ส่งผลกระทบต่อธุรกิจ และบอกเป็นนัยว่าไม่ได้รวมถึงข้อมูลพนักงานหรือลูกค้า ซึ่งขัดแย้งกับรายงานเบื้องต้นของ The Cyber ​​Express ^{[ 39 ]} Bloombergเชื่อมโยงการโจมตีกับการลดลงของราคาหุ้น AMD 2.4% หลังจากที่มีการประกาศการละเมิดไม่นาน^{[ 40 ]}

เมื่อวันที่ 14 ตุลาคม 2024 มีรายงานว่า IntelBroker และแฮ็กเกอร์อีกรายชื่อ EnergyWeaponUser ได้ขโมยข้อมูลจากCisco ^{[ 41} ] ข้อมูลที่ถูกขโมยไปนั้นรวมถึงซอร์สโค้ดของ Cisco จากGitHub , GitLabและSonarQube , ข้อมูลประจำตัวที่เขียนไว้ในโค้ด , ไฟล์ที่ ^เป็น ความลับ, ใบรับรอง SSL, คีย์ส่วนตัวและคีย์สาธารณะ, โทเค็น API และที่เก็บข้อมูล, ตั๋ว Jiraและ การสร้าง Dockerรวมถึงซอร์สโค้ดการผลิตจากMicrosoft , AT&T , Bank of America , Barclays , Dignity Healthและบริษัทอื่นๆ ในการตอบสนอง Cisco ได้ลบการเข้าถึงสาธารณะไปยังทรัพยากร DevHub ของตน แต่กล่าวว่าระบบภายในของตนไม่ได้ถูกเจาะ^{[ 42 ]} IntelBroker บอกกับHackread.comว่าพวกเขาสามารถเข้าถึงได้จนถึงวันที่ 18 ตุลาคม โดยใช้ประโยชน์จากโทเค็น JFrog เพื่อพิสูจน์ความถูกต้องของการอ้างสิทธิ์ของพวกเขา IntelBroker ได้ปล่อยข้อมูล 2.9 จาก 4.5 TBในเดือนธันวาคม^{[ 43 ]}

สำนักงานสอบสวนกลาง (FBI)ค้นพบตัวตนที่แท้จริงของ IntelBroker หลังจากพบที่อยู่กระเป๋าเงิน Bitcoin ของเขา ซึ่งเชื่อมโยงกับบัญชี Ramp Network ที่ลงทะเบียนด้วยใบขับขี่และอีเมลส่วนตัวของ IntelBroker IntelBroker ถูกจับกุมในฝรั่งเศสในเดือนกุมภาพันธ์ พ.ศ. 2568 พร้อมกับผู้ดูแลระบบ BreachForums อีกสี่คน ต่อมา ศาลแขวงสหรัฐฯ เขตทางใต้ของนิวยอร์กได้ตั้งข้อหาเขาสี่กระทงที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ที่ก่อให้เกิดความเสียหายมูลค่า 25 ล้านดอลลาร์สหรัฐ โดยสองข้อหามีโทษจำคุกสูงสุด 20 ปี สหรัฐอเมริกาได้ร้องขอการส่งตัวเขาเป็นผู้ร้ายข้ามแดน^{[ 4 ] [ 44 ]}