Χθες το βράδυ οι αρχές επιβολής του νόμου στις ΗΠΑ συνέλαβαν τρία άτομα για την πρόσφατη εισβολή στο Twitter.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ) δημοσίευσε ένα σωρό έγγραφα που δείχνουν ένα χρονοδιάγραμμα του hack, και πώς κατάφεραν οι Αμερικάνοι ερευνητές να εντοπίσουν τρεις ύποπτους hacker.
- Ο Mason Sheppard, γνωστός και ως “Chaewon”, 19 χρονών, από το Ηνωμένο Βασίλειο [κατηγορητήριο].
- Ο Nima Fazeli, γνωστός και ως “Rolex”, 22 χρονών, από το Ορλάντο της Φλόριντα [κατηγορητήριο].
- Ο Graham Ivan Clark, που πιστεύεται ότι είναι ο “Kirk”, 17 χρονών από την Tampa της Φλόριντα [κατηγορητήριο].
Σύμφωνα με έγγραφα του Υπουργείου Δικαιοσύνης, το hack φαίνεται να ξεκίνησε στις 3 Μαΐου, όταν ο Clark, ένας έφηβος από την Tampa,απέκτησε πρόσβαση σε ένα τμήμα του δικτύου του Twitter.
Το τι συνέβη μεταξύ 3 Μαΐου και 15 Ιουλίου, την ημέρα του πραγματικού hack, δεν είναι σαφές αλλά φαίνεται ότι ο Clark δεν μπόρεσε να εκμεταλλευτεί άμεσα το αρχικό σημείο εισόδου του στο εργαλείο διαχείρισης του Twitter.
Ωστόσο, μια αναφορά από τους New York Times ημέρες μετά το hack του Twitter υποδηλώνει ότι η Clark είχε αρχικά αποκτήσει πρόσβαση σε έναν από τα Slack workspaces του Twitter και όχι στο ίδιο το Twitter.
Οι δημοσιογράφοι της NYT, επικαλούμενοι πηγές από την hacking κοινότητα, ανέφεραν ότι ο hacker ανακάλυψε τα διαπιστευτήρια για ένα από τα εργαλεία τεχνικής υποστήριξης του Twitter που είναι καρφιτσωμένα σε ένα από τα κανάλια Slack της εταιρείας.
Εικόνες αυτού του εργαλείου, που επιτρέπει στους υπαλλήλους του Twitter να ελέγχουν όλες τις πτυχές ενός λογαριασμού διέρρευσαν στο διαδίκτυο την ημέρα του hack.
Ωστόσο, τα διαπιστευτήρια για αυτό το εργαλείο δεν ήταν αρκετά για να αποκτήσει κανείς πρόσβαση στο backend του Twitter. Σε μια ανάρτηση στο blog του Twitter που περιγράφει λεπτομερώς την έρευνα της εταιρείας για την παραβίαση, το Twitter αναφέρει ότι οι λογαριασμοί για αυτό το admin backend προστατεύονταν με έλεγχο ταυτότητας δύο παραγόντων (2FA).
Δεν είναι γνωστό πόσος χρόνος χρειάστηκε ο Clark για να το κάνει, αλλά η έρευνα του Twitter αναφέρει ότι ο hacker χρησιμοποίησε ένα “phone spear phishing attack” για να εξαπατήσει μερικούς από τους υπαλλήλους του και να αποκτήσει πρόσβαση στους λογαριασμούς τους, καταφέρνοντας “να περάσει” το two-factor protection
Σύμφωνα με το Twitter, αυτό συνέβη στις 15 Ιουλίου, την ίδια ημέρα του hack.
Ο Clark, ο οποίος εμφανιζόταν στο Discord σαν Kirk#5270, δεν περίμενε να εντοπιστεί και σύμφωνα με τις συνομιλίες στο Discord που απέκτησε το FBI, ο hacker επικοινώνησε με άλλα δύο άτομα για να τον βοηθήσουν να αποκτήσει έσοδα από αυτήν την πρόσβαση.
Τα αρχεία καταγραφής αυτών των συνομιλιών που περιλαμβάνονται στα έγγραφα του δικαστηρίου δείχνουν ότι ο Clark (Kirk#5270) πλησίασε δύο άλλους χρήστες από το κανάλι Discord των OGUsers, ένα hacking forum για πώληση και αγορά λογαριασμών social media.
Στα chat logs φαίνεται ότι ο Clark πλησίασε δύο άλλους hacker (τον Fazeli σαν χρήστης “Rolex#037” στο Discord και τον Sheppard με nick name “ever so anxious#0001”) και ισχυρίστηκε ότι εργάζεται στο Twitter.
Αποδεικνύει τους ισχυρισμούς του τροποποιώντας τις ρυθμίσεις ενός λογαριασμού που ανήκει στον Fazeli (Rolex#037) και πούλησε πρόσβαση στον Fazeli στον λογαριασμό @foreign του Twitter.
Ο Clark πούλησε επίσης πρόσβαση στον Sheppard για πολλούς λογαριασμούς του Twitter όπως @xx, @dark, @vampire, @obinna και @drug.
Όταν ο Clark έπεισε τους άλλους δύο από το επίπεδο της πρόσβασής του, και οι τρεις συμφώνησαν να δημοσιεύσουν διαφημίσεις στο OGUsers forum για να προωθήσουν την ικανότητα του Clark να εισβάλει σε λογαριασμούς Twitter.
Μετά την ανάρτηση αυτών των διαφημίσεων, πιστεύεται ότι πάρα πολλά άτομα αγόρασαν πρόσβαση σε λογαριασμούς Twitter. Σε ένα ηχογραφημένο μήνυμα που δημοσιεύτηκε στο YouTube από το Executive Office for United States Attorneys, οι ερευνητές αναφέρουν ότι εξακολουθούν να εξετάζουν πολλούς χρήστες που συμμετείχαν στο hack.
Πιστεύεται ότι ένας από αυτούς τους hacker που αγόρασαν πρόσβαση σε λογαριασμούς του Twitter είναι υπεύθυνο για το μαζικό hack σε λογαριασμούς επαληθευμένων διασημοτήτων στις 15 Ιουλίου και για την ανάρτηση ενός μηνύματος που προσπαθούσε να ξεγελάσει τον κόσμο.
Το μήνυμα εντοπίστηκε στους λογαριασμούς των Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg και άλλους, και ζήτησε από τους χρήστες να στείλουν Bitcoin σε διάφορες διευθύνσεις.
Σύμφωνα με έγγραφα του δικαστηρίου, οι hackers με τα wallets που χρησιμοποιήθηκαν σε αυτήν την απάτη κατάφεραν να εισπράξουν 12,83 bitcoin ή περίπου 117.000 δολάρια.
Σε αυτό το σημείο οι παραβιάσεις αποκαλύφθηκαν από το προσωπικό του Twitter, που παρενέβη για να αποκλείσει τους επαληθευμένους λογαριασμούς ενώ έδιωξαν τον Clark από το δίκτυό τους.
Η έρευνα του Twitter που ακολούθησε διαπίστωσε ότι ο Clark “πείραξε” με 130 λογαριασμούς με την πρόσβαση που είχε στο διαχειριστικό εργαλείο του Twitter.
Η επόμενη ημέρα της παραβίασης το Twitter υπέβαλε μήνυση στις αρχές και το FBI και η μυστική υπηρεσία ξεκίνησαν την δική τους έρευνα.
Σύμφωνα με έγγραφα του δικαστηρίου, το FBI χρησιμοποίησε δεδομένα που κοινοποιήθηκαν στα μέσα κοινωνικής δικτύωσης, από ειδησεογραφικά sites και από την chat υπηρεσία Discord.
Το FBI χρησιμοποίησε επίσης ένα αντίγραφο της βάσης δεδομένων του OGUsers forum που διέρρευσε διαδικτυακά τον Απρίλιο του τρέχοντος έτους μετά το hack του forum. Αυτή η βάση δεδομένων περιείχε λεπτομέρειες για τους εγγεγραμμένους χρήστες, όπως email, διευθύνσεις IP, αλλά και ιδιωτικά μηνύματα.
Οι αρχές, έλαβαν επίσης δεδομένα από την Coinbase για τις διευθύνσεις Bitcoin που ελιχαν εμπλακεί στην απάτη.
Συσχετίζοντας δεδομένα από τις τρεις πηγές, το FBI μπόρεσε να εντοπίσει τις ταυτότητες των hacker και να τις συνδέσει με διευθύνσεις email και IP.
Οι αρχές εντόπισαν τον Fazili αφού είχε συνδέσει το όνομα χρήστη ρου Discord με τη σελίδα του OGUsers, ένα προφανές λάθος λειτουργικής ασφάλειας.
Ο Fazili έκανε πάρα πολλά λάθη στην απόκρυψη της ταυτότητάς του. Χχρησιμοποιούσε τη διεύθυνση damniamevil20@gmail.com για έναν λογαριασμό στο OGUsers και τη διεύθυνση chancelittle10@gmail.com για να πειράξει τον λογαριασμό @foreign στο Twitter.
Χρησιμοποίησε όμως τις ίδιες δύο διευθύνσεις για την εγγραφή λογαριασμών στην Coinbase, τους οποίους αργότερα επαλήθευσε με μια φωτογραφία της άδειας οδήγησης (!).
Επιπλέον, ο Fazili χρησιμοποίησε επίσης μια σύνδεση από το σπίτι του για πρόσβαση σε λογαριασμούς και στους τρεις ιστότοπους, αφήνοντας τη διεύθυνση IP του σπιτιού του στα log files των Discord, Coinbase και OGUsers.
Το ίδιο έγινε και με τον Sheppard. Οι ερευνητές δήλωσαν ότι μπόρεσαν να συνδέσουν τον χρήστη του Sheppard του Discord με το χρήστη του OGUsers χάρη σε μια διαφήμιση που δημοσίευσε στον ιστότοπο την ημέρα της παραβίασης. Μετά το επιβεβαίωσαν μέσω της διαρροής βάσης δεδομένων του OGUsers, όπου βρήκαν τον χρήση Chaewon (Sheppard) να αγοράζει πρόσβαση σε ένα βιντεοπαιχνίδι με μια διεύθυνση Bitcoin που συνδέθηκε με άλλες διευθύνσεις που χρησιμοποιήθηκαν την ημέρα hack.
Όπως και στην περίπτωση του Fazili, ο Sheppard διέθετε λογαριασμούς στην Coinbase, όπου και αυτός χρησιμοποίησε την πραγματική του άδεια οδήγησης για να τους επαληθεύσει.
Οι αρχές δεν συνέδεσαν απευθείας τον Clark με τον χρήστη Kirk#5270 της Discord, αλλά οι λεπτομέρειες από τα κατηγορητήρια δείχνουν ότι είναι το ίδιο άτομο.
Ο εισαγγελέας του Hillsborough, Andrew Warren αναφέρει ότι ο 17χρονος έφηβος από την Tampa (Clark) ήταν ο “εγκέφαλος” του hack.
Η έρευνα πραγματοποιήθηκε από τον Catalin Cimpanu του ZDNet.
