Como o FBI localizou os hackers do Twitter
Como o FBI localizou os hackers do Twitter
Uma linha do tempo do hack do Twitter composta por documentos judiciais publicados hoje.
Catalin Cimpanu
Por Catalin Cimpanu para Zero Day | 1 de agosto de 2020 - 01:01 GMT (18:01 PDT) | TĂłpico: Security
twitter-inquiry.jpg
Imagem: Volodymyr Hryshchenko, ZDNet, Twitter
Depois, hoje mais cedo, a polĂcia dos EUA acusou trĂŞs indivĂduos pelo recente hackeamento do Twitter , com a ajuda de documentos judiciais divulgados pelo DOJ, o ZDNet conseguiu reunir uma linha do tempo do hack e como os investigadores dos EUA rastrearam os trĂŞs suspeitos hackers.
O artigo abaixo usa dados de três acusaçþes publicadas hoje pelo DOJ contra:
Mason Sheppard , tambÊm conhecido como " Chaewon " , 19 anos, de Bognor Regis, no Reino Unido [ acusação ].
Nima Fazeli , aka " Rolex " , 22, de Orlando, FlĂłrida [ indiciamento ].
Graham Ivan Clark , que se acredita ser " Kirk " , 17 anos de Tampa, Flórida [ acusação , cortesia da Motherboard].
De acordo com documentos do tribunal, todo o hack parece ter começado em 3 de maio, quando Clark, um adolescente de Tampa, mas morando na Califórnia, obteve acesso a uma parte da rede do Twitter.
Imagem: ZDNet
Aqui, a linha do tempo fica obscura e não estå claro o que aconteceu entre 3 de maio e 15 de julho, o dia do hack, mas parece que Clark não foi capaz de girar imediatamente de seu ponto de entrada inicial para a ferramenta de administração do Twitter que ele mais tarde costumava assumir contas.
No entanto, reportagens do New York Times dias após a invasão do Twitter sugerem que Clarke ganhou acesso a um dos espaços de trabalho Slack internos do Twitter, e não ao próprio Twitter.
Os repĂłrteres do NYT, citando fontes da comunidade de hackers, disseram que o hacker encontrou credenciais para uma das ferramentas de suporte tĂŠcnico do Twitter presa a um dos canais Slack da empresa.
Imagens dessa ferramenta, que permitiam que os funcionĂĄrios do Twitter controlassem todas as facetas de uma conta no Twitter, vazaram mais tarde online no dia do hack.
Imagem: Reddit
ZD Academy - Torne-se um pacote de bĂ´nus de hackers ĂŠticos
Acelere sua carreira na tecnologia com este pacote de hackers Êticos mais vendidos + Marque 5,5 horas extras de instrução
Treinamento fornecido pela ZDNet Academy
No entanto, as credenciais para esta ferramenta não foram suficientes para acessar o back-end do Twitter. Em uma postagem no blog do Twitter detalhando a investigação da empresa sobre o hack, o Twitter disse que as contas desse back-end administrativo estavam protegidas por autenticação de dois fatores (2FA).
Não estå claro quanto tempo levou Clark para fazê-lo, mas a mesma investigação do Twitter diz que o hacker usou "um ataque de phishing por telefone" para enganar alguns de seus funcionårios e obter acesso às suas contas, e "passar por dois [do Twitter] proteçþes contra fatores. "
Segundo o Twitter, isso aconteceu em 15 de julho, no mesmo dia do hack.
Clark, que entrou no Discord por Kirk # 5270, nĂŁo esperou para ser detectado e, de acordo com as conversas do Discord obtidas pelo FBI, o hacker entrou em contato com outras duas pessoas para ajudĂĄ-lo a monetizar esse acesso.
Os registros de bate-papo incluĂdos nos documentos do tribunal mostraram Clark (usuĂĄrio do Discord "Kirk # 5270") se aproximando de outros dois usuĂĄrios do canal Discord da OGUsers, um fĂłrum dedicado a hackers que vendem e compram contas de mĂdia social.
Nos registros de bate-papo, Clark se aproximou de outros dois hackers (Fazeli como usuĂĄrio do Discord "Rolex # 037" e Sheppard como usuĂĄrio do Discord "sempre tĂŁo ansioso # 0001") e afirmou trabalhar no Twitter.
Ele provou suas alegaçþes modificando as configuraçþes de uma conta de propriedade da Fazeli (Rolex # 037) e tambÊm vendeu o acesso da Fazeli à conta do Twitter @foreign.
Imagem: ZDNet
Clarke tambĂŠm vendeu o acesso de Sheppard a vĂĄrias contas curtas do Twitter, como @xx, @dark, @vampire, @obinna e @drug.
Imagem: ZDNet
Como Clark convenceu os outros dois de seu nĂvel de acesso, os trĂŞs fecharam um acordo para publicar anĂşncios no fĂłrum OGUsers para promover a capacidade de Clark de invadir contas do Twitter.
Imagem: ZDNet
Imagem: KrebsOnSecurity
Após a publicação desses anúncios, acredita-se que vårias pessoas tenham comprado acesso às contas do Twitter. Em uma mensagem gravada postada no YouTube pelo Escritório Executivo de Advogados dos Estados Unidos, os investigadores disseram que ainda estão investigando vårios usuårios que participaram do hack.
Acredita-se que uma dessas partes seja responsĂĄvel por comprar o acesso a contas verificadas por celebridades no Twitter em 15 de julho e postar uma mensagem de fraude de criptomoeda.
A mensagem, vista em contas pertencentes a Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg e outros, pediu aos usuårios para enviar Bitcoin para vårios endereços. .
Documentos do tribunal dizem que os hackers que operam carteiras usadas nesse esquema receberam 12,83 bitcoin, ou cerca de US $ 117.000. Uma investigação subsequente tambÊm revelou que a Coinbase, empresa de troca de criptomoedas, tomou as próprias mãos no dia do hack para bloquear transaçþes nos endereços de golpes, impedindo que outros US $ 280.000 fossem enviados aos golpistas .
Ă nesse ponto que o hack se torna visĂvel para todos, incluindo a equipe do Twitter, que interveio para bloquear as contas verificadas do Twitter de twittar enquanto expulsavam Clark da rede.
A investigação subsequente do Twitter descobriu que Clark interagiu com 130 contas enquanto tinha acesso à ferramenta de administração do Twitter, iniciou uma redefinição de senha para 45 e acessou mensagens privadas por 36.
No dia seguinte ao hack, tambÊm foi quando o Twitter apresentou uma queixa criminal formal às autoridades, e o FBI e o Serviço Secreto começaram uma investigação.
De acordo com os documentos do tribunal, o FBI usou dados compartilhados nas mĂdias sociais e por agĂŞncias de notĂcias para obter registros de bate-papo e detalhes do usuĂĄrio do Discord.
Como alguns anúncios de hackers foram publicados nos OGUsers, o FBI tambÊm usou uma cópia do banco de dados do fórum OGUsers, que vazou online em abril deste ano, depois que o fórum foi invadido . Esse banco de dados continha detalhes de usuårios registrados do fórum, como e-mails e endereços IP, mas tambÊm mensagens privadas.
As autoridades, com a ajuda do IRS, tambĂŠm obtiveram dados da Coinbase sobre os endereços Bitcoin envolvidos nos hacks e endereços usados ââe mencionados pelos trĂŞs hackers no passado em bate-papos no Discord e posts no fĂłrum OGUsers.
Correlacionando dados das três fontes, o FBI conseguiu rastrear as identidades dos hackers nos três sites e vinculå-las a endereços de email e IP.
Por exemplo, as autoridades rastrearam Fazili depois que ele vinculou o nome de usuårio do Discord na pågina OGUsers, um erro óbvio de segurança operacional (OpSec).
Imagem: ZDNet
Fazili tambÊm cometeu vårios outros erros ao esconder sua identidade. Para começar, ele usou o endereço damniamevil20@gmail.com para registrar uma conta no fórum OGUsers e o endereço de email chancelittle10@gmail.com para invadir a conta do Twitter @foreign.
Ele tambÊm usou os mesmos dois endereços de e-mail para registrar as contas da Coinbase, que mais tarde verificou com uma foto da carteira de motorista.
AlÊm disso, Fazili tambÊm usou sua conexão domÊstica para acessar contas nos três sites, deixando seu endereço IP residencial nos logs de conexão dos três serviços - Discord, Coinbase e OGUsers.
O mesmo vale para Sheppard (sempre tĂŁo ansioso # 0001), que usou os OGUsers como Chaewon. Os investigadores disseram que foram capazes de conectar o usuĂĄrio Discord de Sheppard Ă sua personalidade OGUsers, graças ao anĂşncio que ele publicou no site no dia do hack, mas tambĂŠm obtiveram confirmação atravĂŠs do banco de dados vazado do OGUsers, onde encontraram Chaewon comprando um videogame. nome de usuĂĄrio com um endereço Bitcoin conectado aos endereços usados ââno dia do hack do Twitter.
Imagem: ZDNet
Assim como no caso de Fazili, Sheppard gerenciava contas na Coinbase, onde tambĂŠm usava sua carteira de motorista do mundo real para verificar vĂĄrias contas.
As autoridades nĂŁo ligaram Clark diretamente ao usuĂĄrio do Discord Kirk # 5270, mas detalhes compartilhados hoje por diferentes fontes do governo dos EUA sugerem que ele ĂŠ o mesmo indivĂduo.
Primeiro, o procurador do estado de Hillsborough, Andrew Warren, afirmou que o adolescente de Tampa (Clark) de 17 anos que eles prenderam hoje era a "mente ideal" de todo o hack - o papel que Kirk # 5270 desempenhou em todo o esquema.
Segundo, em um comunicado de imprensa do Distrito Norte da CalifĂłrnia, as autoridades disseram ter encaminhado o terceiro hacker, o jovem, ao Procurador do Estado para o 13Âş Distrito Judicial (Hillsborough County) em Tampa, FlĂłrida.
O mesmo escritĂłrio da FlĂłrida anunciou hoje a prisĂŁo do hacker e revelou seu nome real como Graham Ivan Clark.
A segurança cibernÊtica lê para a estante de todos os hackersVER GALERIA COMPLETA
ComentĂĄrios
Postar um comentĂĄrio