Как был взломан Twitter и как нашли преступников: полный отчёт
2 августа 2020 года
В пятницу, 31 июля 2020 года, власти США предъявили обвинения трём молодым людям в массовом взломе страниц в Twitter, принадлежащих знаменитостям. В СМИ есть много разрозненной информации об инциденте, в том числе заявления самой администрации соцсети, однако сведений о том, как именно злоумышленникам удалось взломать 130 учетных записей (по заявлению Twitter, мошенники осуществили фишинговую атаку на сотрудников, воспользовавшись «человеческими слабостями») и как они были пойманы, не сообщалось. Теперь благодаря опубликованным Министерством юстиции США обвинительным актам можно составить картину того, как происходил взлом и проводилось расследование.
Согласно судебным документам, атака началась 3 мая 2020 года, когда проживающий в Калифорнии 17-летний подросток из Тампы (штат Флорида, США) Грэм Айвен Кларк (англ. Graham Ivan Clark) получил несанкционированный доступ к части внутренней сети Twitter. Этот доступ сохранялся у него до 16 июля. Проникнув в сеть, Кларк, использующий псевдоним Kirk, быстро завладел внутренними инструментами администрирования, которые позднее использовались для взлома учетных записей.
Тем не менее, согласно статье в New York Times, вышедшей через несколько дней после атаки, Кларк сначала получил доступ к используемым сотрудниками соцсети рабочим пространствам в мессенджере Slack, а не к самой сети Twitter. Как сообщали журналисты издания со ссылкой на представителей хакерского сообщества, в одном из каналов Twitter в Slack злоумышленник обнаружил учетные данные для внутреннего инструмента администрирования. Скриншоты интерфейса данного инструмента были опубликованы в даркнете на следующий день после взлома.
Поскольку учетные записи администраторов Twitter защищены механизмом двухфакторной аутентификации, одних лишь учетных данных было недостаточно, чтобы получить к ним доступ. Согласно сообщению представителей соцсети, злоумышленники использовали против ее сотрудников «целенаправленный фишинг по телефону». Сколько времени ушло у Кларка на «обработку» сотрудников, трудно сказать. Однако согласно сообщению Twitter, это произошло 15 июля — в один день со взломом.
Согласно полученной ФБР переписке в мессенджере Discord, за помощью в монетизации полученного доступа Кларк обратился к двум посторонним лицам. На Discord-канале хакерского форума OGUsers Кларк нашел 22-летнего Ниму Фазели (англ. Nima Fazeli), известного как Rolex, и 19-летнего Мэйсона Шеппарда (англ. Mason Sheppard), использующего псевдоним Chaewon. Он предложил им поучаствовать во взломе Twitter и в качестве доказательства того, что у него действительно есть доступ к инструментам администрирования соцсети, поменял настройки страницы Фазели. Кроме того, Кларк продал Шеппарду доступ к ряду коротких имен пользователей Twitter (@xx, @dark, @vampire, @obinna и @drug).
Троица начала активно рекламировать доступ к учетным записям Twitter на форуме OGUsers. Судя по всему, им удалось продать доступ еще нескольким людям, которые сейчас разыскиваются правоохранительными органами. Именно один из этих людей использовал приобретенный доступ для публикации на страницах знаменитостей мошеннических твитов о бесплатной раздаче биткоинов.
Согласно судебным документам, на указанный мошенником криптовалютный кошелек было переведено 12,83 биткоина (порядка $117 тыс.). В день взлома администрация криптовалютной биржи Coinbase взялась воспрепятствовать мошенническим транзакциям и заблокировала переводы на этот биткоин-адрес, там самым предотвратив перевод еще $280 тыс.
Примечательно, что в расследовании инцидента ФБР воспользовалось базой данных форума OGUsers, утекшей в открытый доступ в апреле нынешнего года. К несчастью для хакеров, она содержала их электронные и IP-адреса, а также личную переписку.
При участии Налогового управления США правоохранители получили от администрации Coinbase данные по участвовавшим в деле криптовалютным кошелькам, в том числе тем, которые троица упоминала ранее в переписке в мессенджере Discord и на форуме OGUsers. Сопоставив сведения, полученные из трех источников (Coinbase, Discord и OGUsers), сотрудники правоохранительных органов смогли выявить электронные и IP-адреса фигурантов дела и установить их личности.
Однако пользователь «Хабр» под псевдонимом ashotog, внимательно ознакомившийся с доступными материалами дела, засомневался в том, как был вычислен Мэйсон Шеппард. Если электронные адреса Кларка и Фазели действительно «засветились» в утечке OGUsers, то с Шеппардом не все так гладко.
Согласно отчету агента Налоговой службы США Тиграна Гамбаряна (англ. Tigran Gambaryan), электронный адрес Мэйсона (masonhppy@gmail.com) также был обнаружен в утекшей БД форума OGUsers. Однако, по словам ashotog, такого адреса там нет. Более того, он не встречался ни в одной из утечек, проанализированных им за последние несколько лет (а это более 30 млрд записей).
«Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать (например, доступ к базе „Coinbase“ в режиме реального времени для поиска по IP), либо Mason Sheppard был найден по-другому (например, через запрос британскому провайдеру „TalkTalk Communications Limited“ из чьей сети „сидел“ хакер) и по какой-то причине это также не может быть разглашено», — пишет ashotog.
Источники
правитьЭта статья содержит материалы из статьи «Как был взломан Twitter и как нашли преступников – полный отчет», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.