У ЗМІ є багато розрізненої інформації щодо інциденту, в тому числі заяви самої адміністрації соцмережі, однак відомостей про те, як саме зловмисникам вдалося зламати 130 облікових записів (за заявою Twitter, шахраї здійснили фішингову атаку на співробітників, скориставшись “людськими слабкостями”) і як вони були спіймані, не повідомлялося.
Тепер завдяки опублікованим Міністерством юстиції США обвинувальним актам можна скласти картину того, як відбувався злам і проводилося розслідування.
Згідно з судовими документами, атака розпочалась 3 травня 2020 року, коли 17-річний підліток із Тампи (штат Флорида, США) Грем Айвен Кларк отримав несанкціонований доступ до частини внутрішньої мережі Twitter. Цей доступ зберігався у нього до 16 липня. Проникнувши в мережу, Кларк, який використовує псевдонім Kirk, швидко заволодів внутрішніми інструментами адміністрування, які пізніше використовувалися для зламу облікових записів.
Проте, згідно зі статтею в New York Times, що вийшла через кілька днів після атаки, Кларк спочатку отримав доступ до використовуваних співробітниками соцмережі робочими просторами в месенджері Slack, а не до самої мережі Twitter. Як повідомляли журналісти видання з посиланням на представників хакерського співтовариства, в одному з каналів Twitter у Slack зловмисник виявив облікові дані для внутрішнього інструменту адміністрування. Скріншоти інтерфейсу цього інструменту були опубліковані в даркнеті на наступний день після зламу.
Оскільки облікові записи адміністраторів Twitter захищені механізмом двофакторної аутентифікації, одних лише облікових даних було недостатньо, щоб отримати до них доступ. Згідно з повідомленням представників соцмережі, зловмисники використовували проти її співробітників фішинг. Скільки часу пішло у Кларка на на співробітників, важко сказати. Однак згідно з повідомленням Twitter, це сталося 15 липня – в один день зі зламом.
Згідно з отриманою ФБР інформацією з листування в месенджері Discord, за допомогою в монетизації отриманого доступу Кларк звернувся до двох сторонніх осіб. На Discord-каналі хакерського форуму OGUsers Кларк знайшов 22-річного Німу Фазелі, відомого як Rolex, і 19-річного Мейсона Шепарда, що використовує псевдонім Chaewon. Він запропонував їм взяти участь у зламі Twitter і як доказ того, що у нього насправді є доступ до інструментів адміністрування соцмережі, поміняв налаштування сторінки Фазелі. Крім того, Кларк продав Шепарду доступ до низки коротких імен користувачів Twitter (@xx, @dark, @vampire, @obinna і @drug).
Трійця почала активно рекламувати доступ до облікових записів Twitter на форумі OGUsers. Судячи з усього, їм вдалося продати доступ ще кільком людям, які зараз розшукуються правоохоронними органами. Саме один із цих людей використовував набутий доступ для публікації на сторінках знаменитостей шахрайських твітів про безкоштовну роздачу біткоїнів.
Згідно з судовими документами, на вказаний шахраєм криптовалютний гаманець було переведено 12,83 біткоїнів (близько $ 117 тис.). У день зламу адміністрація криптовалютної біржі Coinbase взялася перешкодити шахрайським транзакціях і заблокувала переказ, тим самим запобігши виведенню ще $ 280 тис.
Примітно, що в розслідуванні інциденту ФБР скористалося базою даних форуму OGUsers, яка витекла у відкритий доступ в квітні нинішнього року. На жаль для хакерів, вона містила їх електронні та IP-адреси, а також особисту переписку.
За участю Податкового управління США правоохоронці отримали від адміністрації Coinbase дані криптовалютні гаманці, в тому числі ті, які трійця згадувала раніше в листуванні в месенджері Discord і на форумі OGUsers. Зіставивши відомості, отримані з трьох джерел (Coinbase, Discord і OGUsers), співробітники правоохоронних органів змогли виявити електронні та IP-адреси фігурантів справи і встановити їх особи.
Однак користувач під псевдонімом ashotog, уважно ознайомився з доступними матеріалами справи, засумнівався в тому, як був виявлений Мейсон Шепард. Якщо електронні адреси Кларка і Фазелі виявили у витоку OGUsers, то з Шепардом не все так однозначно.
Згідно зі звітом агента Податкової служби США Tigran Gambaryan, електронну адресу Мейсона ([email protected] ) також було виявлено на форумі OGUsers. Однак, за словами ashotog, такої адреси там немає.
“Виходить, що спецагент щось не договорює в своєму звіті. Або він має доступ до бази, інформацію про яку не має права розголошувати, або Mason Sheppard був знайдений іншим способом”, – пише ashotog.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як за допомогою задньої панелі iPhone швидко запускати дії чи команди? – Інструкція
Як уникнути схем шахрайства в Інтернеті? Поради для користувачів старшого покоління
Інтернет-шахраї та псевдоволонтери: як розпізнати благодійну аферу? Поради
Яких заходів потрібно вживати компаніям для протидії та відновленню у випадку кібератак? Поради
Нагадаємо, нову уразливість, яка дозволяє зловмисникам отримати майже повний контроль над Wіndows або Linux системами, виявила компанія Eclypsium. За її словами, уразливими є мільярди пристроїв – від ноутбуків, настільних ПК, серверів і робочих станцій до банкоматів, верстатів з програмним управлінням, томографів та іншого обладнання спеціального призначення, яке використовується в промисловій, медичній, фінансовій та інших галузях.
Окрім цього, команда дослідників з Рурського університету в Бохумі (Німеччина) виявила нові методи атак на підписані PDF-файли. Так звана техніка Shadow Attack дозволяє хакеру приховувати і замінювати вміст в підписаному PDF-документі, не зачіпаючи цифровий підпис. Організації, урядові установи, підприємства та приватні особи часто підписують документи в форматі PDF для запобігання несанкціонованих змін. Якщо хтось вносить зміни в підписаний документ, підпис стає недійсним.
До речі, нову фішингову кампанію, націлена на користувачів WhatsApp, виявили фахівці з кібербезпеки. Цього разу зловмисники розсилають фішингові повідомлення, використовуючи бренд Nespresso. Жертву запрошують перейти за посиланням і відповісти на кілька запитань, щоб отримати в подарунок кавоварку.
Також співробітники компаній і організацій, які використовують програмне забезпечення Microsoft Office 365, стали жертвами фішинговою кампанії, в рамках якої зловмисники використовують повідомлення-приманки, замасковані під автоматичні повідомлення SharePoint, для крадіжки облікових даних.
Зауважте, що користувачі Microsoft Office 365 звинуватили компанію Microsoft в тому, що вона нібито ділиться бізнес-даними своїх клієнтів з розробниками додатків Facebook, партнерами та субпідрядниками, порушуючи політику конфіденційності.
