Как был взломан Twitter и как нашли преступников – полный отчет

Как был взломан Twitter и как нашли преступников – полный отчет

Опубликованы судебные материалы, описывающие картину взлома и последующего расследования.

Как ранее сообщал SecurityLab, в пятницу, 31 июля, власти США предъявили обвинения трем молодым людям в массовом взломе страниц в Twitter, принадлежащих знаменитостям. В СМИ есть много разрозненной информации об инциденте, в том числе заявления самой администрации соцсети, однако сведений о том, как именно злоумышленникам удалось взломать 130 учетных записей (по заявлению Twitter, мошенники осуществили фишинговую атаку на сотрудников, воспользовавшись «человеческими слабостями») и как они были пойманы, не сообщалось. Теперь благодаря опубликованным Министерством юстиции США обвинительным актам можно составить картину того, как происходил взлом и проводилось расследование.

Согласно судебным документам, атака началась 3 мая 2020 года, когда проживающий в Калифорнии 17-летний подросток из Тампы (штат Флорида, США) Грэм Айвен Кларк (Graham Ivan Clark) получил несанкционированный доступ к части внутренней сети Twitter. Этот доступ сохранялся у него до 16 июля. Проникнув в сеть, Кларк, использующий псевдоним Kirk, быстро завладел внутренними инструментами администрирования, которые позднее использовались для взлома учетных записей.

Тем не менее, согласно статье в New York Times, вышедшей через несколько дней после атаки, Кларк сначала получил доступ к используемым сотрудниками соцсети рабочим пространствам в мессенджере Slack, а не к самой сети Twitter. Как сообщали журналисты издания со ссылкой на представителей хакерского сообщества, в одном из каналов Twitter в Slack злоумышленник обнаружил учетные данные для внутреннего инструмента администрирования. Скриншоты интерфейса данного инструмента были опубликованы в даркнете на следующий день после взлома.

Поскольку учетные записи администраторов Twitter защищены механизмом двухфакторной аутентификации, одних лишь учетных данных было недостаточно, чтобы получить к ним доступ. Согласно сообщению представителей соцсети, злоумышленники использовали против ее сотрудников «целенаправленный фишинг по телефону». Сколько времени ушло у Кларка на «обработку» сотрудников, трудно сказать. Однако согласно сообщению Twitter, это произошло 15 июля – в один день со взломом.

Согласно полученной ФБР переписке в мессенджере Discord, за помощью в монетизации полученного доступа Кларк обратился к двум посторонним лицам. На Discord-канале хакерского форума OGUsers Кларк нашел 22-летнего Ниму Фазели (Nima Fazeli), известного как Rolex, и 19-летнего Мэйсона Шеппарда (Mason Sheppard), использующего псевдоним Chaewon. Он предложил им поучаствовать во взломе Twitter и в качестве доказательства того, что у него действительно есть доступ к инструментам администрирования соцсети, поменял настройки страницы Фазели. Кроме того, Кларк продал Шеппарду доступ к ряду коротких имен пользователей Twitter (@xx, @dark, @vampire, @obinna и @drug).

Троица начала активно рекламировать доступ к учетным записям Twitter на форуме OGUsers. Судя по всему, им удалось продать доступ еще нескольким людям, которые сейчас разыскиваются правоохранительными органами. Именно один из этих людей использовал приобретенный доступ для публикации на страницах знаменитостей мошеннических твитов о бесплатной раздаче биткойнов.

Согласно судебным документам, на указанный мошенником криптовалютный кошелек было переведено 12,83 биткойна (порядка $117 тыс.). В день взлома администрация криптовалютной биржи Coinbase взялась воспрепятствовать мошенническим транзакциям и заблокировала переводы на этот биткойн-адрес, там самым предотвратив перевод еще $280 тыс.

Примечательно, что в расследовании инцидента ФБР воспользовалось базой данных форума OGUsers, утекшей в открытый доступ в апреле нынешнего года. К несчастью для хакеров, она содержала их электронные и IP-адреса, а также личную переписку.

При участии Налогового управления США правоохранители получили от администрации Coinbase данные по участвовавшим в деле криптовалютным кошелькам, в том числе тем, которые троица упоминала ранее в переписке в мессенджере Discord и на форуме OGUsers. Сопоставив сведения, полученные из трех источников (Coinbase, Discord и OGUsers), сотрудники правоохранительных органов смогли выявить электронные и IP-адреса фигурантов дела и установить их личности.

Однако пользователь «Хабр» под псевдонимом ashotog, внимательно ознакомившийся с доступными материалами дела, засомневался в том, как был вычислен Мэйсон Шеппард. Если электронные адреса Кларка и Фазели действительно «засветились» в утечке OGUsers, то с Шеппардом не все так гладко.

Согласно отчету агента Налоговой службы США Тиграна Гамбаряна (Tigran Gambaryan), электронный адрес Мэйсона ( masonhppy@gmail.com ) также был обнаружен в утекшей БД форума OGUsers. Однако, по словам ashotog, такого адреса там нет. Более того, он не встречался ни в одной из утечек, проанализированных им за последние несколько лет (а это более 30 млрд записей).

«Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать (например, доступ к базе «Coinbase» в режиме реального времени для поиска по IP), либо Mason Sheppard был найден по-другому (например, через запрос британскому провайдеру «TalkTalk Communications Limited» из чьей сети «сидел» хакер) и по какой-то причине это также не может быть разглашено», - пишет ashotog.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь