Como o FBI localizou os hackers do Twitter
Como o FBI localizou os hackers do Twitter
Uma linha do tempo do hack do Twitter composta por documentos judiciais publicados hoje.
Catalin Cimpanu
Por Catalin Cimpanu para Zero Day | 1 de agosto de 2020 - 01:01 GMT (18:01 PDT) | Tópico: Security
twitter-inquiry.jpg
Imagem: Volodymyr Hryshchenko, ZDNet, Twitter
Depois, hoje mais cedo, a polícia dos EUA acusou três indivíduos pelo recente hackeamento do Twitter , com a ajuda de documentos judiciais divulgados pelo DOJ, o ZDNet conseguiu reunir uma linha do tempo do hack e como os investigadores dos EUA rastrearam os três suspeitos hackers.
O artigo abaixo usa dados de três acusações publicadas hoje pelo DOJ contra:
Mason Sheppard , também conhecido como " Chaewon " , 19 anos, de Bognor Regis, no Reino Unido [ acusação ].
Nima Fazeli , aka " Rolex " , 22, de Orlando, Flórida [ indiciamento ].
Graham Ivan Clark , que se acredita ser " Kirk " , 17 anos de Tampa, Flórida [ acusação , cortesia da Motherboard].
De acordo com documentos do tribunal, todo o hack parece ter começado em 3 de maio, quando Clark, um adolescente de Tampa, mas morando na Califórnia, obteve acesso a uma parte da rede do Twitter.
Imagem: ZDNet
Aqui, a linha do tempo fica obscura e não está claro o que aconteceu entre 3 de maio e 15 de julho, o dia do hack, mas parece que Clark não foi capaz de girar imediatamente de seu ponto de entrada inicial para a ferramenta de administração do Twitter que ele mais tarde costumava assumir contas.
No entanto, reportagens do New York Times dias após a invasão do Twitter sugerem que Clarke ganhou acesso a um dos espaços de trabalho Slack internos do Twitter, e não ao próprio Twitter.
Os repórteres do NYT, citando fontes da comunidade de hackers, disseram que o hacker encontrou credenciais para uma das ferramentas de suporte técnico do Twitter presa a um dos canais Slack da empresa.
Imagens dessa ferramenta, que permitiam que os funcionários do Twitter controlassem todas as facetas de uma conta no Twitter, vazaram mais tarde online no dia do hack.
Imagem: Reddit
ZD Academy - Torne-se um pacote de bônus de hackers éticos
Acelere sua carreira na tecnologia com este pacote de hackers éticos mais vendidos + Marque 5,5 horas extras de instrução
Treinamento fornecido pela ZDNet Academy
No entanto, as credenciais para esta ferramenta não foram suficientes para acessar o back-end do Twitter. Em uma postagem no blog do Twitter detalhando a investigação da empresa sobre o hack, o Twitter disse que as contas desse back-end administrativo estavam protegidas por autenticação de dois fatores (2FA).
Não está claro quanto tempo levou Clark para fazê-lo, mas a mesma investigação do Twitter diz que o hacker usou "um ataque de phishing por telefone" para enganar alguns de seus funcionários e obter acesso às suas contas, e "passar por dois [do Twitter] proteções contra fatores. "
Segundo o Twitter, isso aconteceu em 15 de julho, no mesmo dia do hack.
Clark, que entrou no Discord por Kirk # 5270, não esperou para ser detectado e, de acordo com as conversas do Discord obtidas pelo FBI, o hacker entrou em contato com outras duas pessoas para ajudá-lo a monetizar esse acesso.
Os registros de bate-papo incluídos nos documentos do tribunal mostraram Clark (usuário do Discord "Kirk # 5270") se aproximando de outros dois usuários do canal Discord da OGUsers, um fórum dedicado a hackers que vendem e compram contas de mídia social.
Nos registros de bate-papo, Clark se aproximou de outros dois hackers (Fazeli como usuário do Discord "Rolex # 037" e Sheppard como usuário do Discord "sempre tão ansioso # 0001") e afirmou trabalhar no Twitter.
Ele provou suas alegações modificando as configurações de uma conta de propriedade da Fazeli (Rolex # 037) e também vendeu o acesso da Fazeli à conta do Twitter @foreign.
Imagem: ZDNet
Clarke também vendeu o acesso de Sheppard a várias contas curtas do Twitter, como @xx, @dark, @vampire, @obinna e @drug.
Imagem: ZDNet
Como Clark convenceu os outros dois de seu nível de acesso, os três fecharam um acordo para publicar anúncios no fórum OGUsers para promover a capacidade de Clark de invadir contas do Twitter.
Imagem: ZDNet
Imagem: KrebsOnSecurity
Após a publicação desses anúncios, acredita-se que várias pessoas tenham comprado acesso às contas do Twitter. Em uma mensagem gravada postada no YouTube pelo Escritório Executivo de Advogados dos Estados Unidos, os investigadores disseram que ainda estão investigando vários usuários que participaram do hack.
Acredita-se que uma dessas partes seja responsável por comprar o acesso a contas verificadas por celebridades no Twitter em 15 de julho e postar uma mensagem de fraude de criptomoeda.
A mensagem, vista em contas pertencentes a Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg e outros, pediu aos usuários para enviar Bitcoin para vários endereços. .
Documentos do tribunal dizem que os hackers que operam carteiras usadas nesse esquema receberam 12,83 bitcoin, ou cerca de US $ 117.000. Uma investigação subsequente também revelou que a Coinbase, empresa de troca de criptomoedas, tomou as próprias mãos no dia do hack para bloquear transações nos endereços de golpes, impedindo que outros US $ 280.000 fossem enviados aos golpistas .
É nesse ponto que o hack se torna visível para todos, incluindo a equipe do Twitter, que interveio para bloquear as contas verificadas do Twitter de twittar enquanto expulsavam Clark da rede.
A investigação subsequente do Twitter descobriu que Clark interagiu com 130 contas enquanto tinha acesso à ferramenta de administração do Twitter, iniciou uma redefinição de senha para 45 e acessou mensagens privadas por 36.
No dia seguinte ao hack, também foi quando o Twitter apresentou uma queixa criminal formal às autoridades, e o FBI e o Serviço Secreto começaram uma investigação.
De acordo com os documentos do tribunal, o FBI usou dados compartilhados nas mídias sociais e por agências de notícias para obter registros de bate-papo e detalhes do usuário do Discord.
Como alguns anúncios de hackers foram publicados nos OGUsers, o FBI também usou uma cópia do banco de dados do fórum OGUsers, que vazou online em abril deste ano, depois que o fórum foi invadido . Esse banco de dados continha detalhes de usuários registrados do fórum, como e-mails e endereços IP, mas também mensagens privadas.
As autoridades, com a ajuda do IRS, também obtiveram dados da Coinbase sobre os endereços Bitcoin envolvidos nos hacks e endereços usados e mencionados pelos três hackers no passado em bate-papos no Discord e posts no fórum OGUsers.
Correlacionando dados das três fontes, o FBI conseguiu rastrear as identidades dos hackers nos três sites e vinculá-las a endereços de email e IP.
Por exemplo, as autoridades rastrearam Fazili depois que ele vinculou o nome de usuário do Discord na página OGUsers, um erro óbvio de segurança operacional (OpSec).
Imagem: ZDNet
Fazili também cometeu vários outros erros ao esconder sua identidade. Para começar, ele usou o endereço damniamevil20@gmail.com para registrar uma conta no fórum OGUsers e o endereço de email chancelittle10@gmail.com para invadir a conta do Twitter @foreign.
Ele também usou os mesmos dois endereços de e-mail para registrar as contas da Coinbase, que mais tarde verificou com uma foto da carteira de motorista.
Além disso, Fazili também usou sua conexão doméstica para acessar contas nos três sites, deixando seu endereço IP residencial nos logs de conexão dos três serviços - Discord, Coinbase e OGUsers.
O mesmo vale para Sheppard (sempre tão ansioso # 0001), que usou os OGUsers como Chaewon. Os investigadores disseram que foram capazes de conectar o usuário Discord de Sheppard à sua personalidade OGUsers, graças ao anúncio que ele publicou no site no dia do hack, mas também obtiveram confirmação através do banco de dados vazado do OGUsers, onde encontraram Chaewon comprando um videogame. nome de usuário com um endereço Bitcoin conectado aos endereços usados no dia do hack do Twitter.
Imagem: ZDNet
Assim como no caso de Fazili, Sheppard gerenciava contas na Coinbase, onde também usava sua carteira de motorista do mundo real para verificar várias contas.
As autoridades não ligaram Clark diretamente ao usuário do Discord Kirk # 5270, mas detalhes compartilhados hoje por diferentes fontes do governo dos EUA sugerem que ele é o mesmo indivíduo.
Primeiro, o procurador do estado de Hillsborough, Andrew Warren, afirmou que o adolescente de Tampa (Clark) de 17 anos que eles prenderam hoje era a "mente ideal" de todo o hack - o papel que Kirk # 5270 desempenhou em todo o esquema.
Segundo, em um comunicado de imprensa do Distrito Norte da Califórnia, as autoridades disseram ter encaminhado o terceiro hacker, o jovem, ao Procurador do Estado para o 13º Distrito Judicial (Hillsborough County) em Tampa, Flórida.
O mesmo escritório da Flórida anunciou hoje a prisão do hacker e revelou seu nome real como Graham Ivan Clark.
A segurança cibernética lê para a estante de todos os hackersVER GALERIA COMPLETA
Comentários
Postar um comentário