Come sono stati catturati i presunti hacker di Twitter

come-sono-stati-catturati-i-presunti-hacker-di-twitter

A luglio 15, un utente Discord con la maniglia Kirk # 5270 fece una proposta allettante. “Lavoro per Twitter”, hanno detto, secondo i documenti del tribunale rilasciati venerdì. “Posso rivendicare qualsiasi nome, fammi sapere se stai cercando di lavorare”. Era l'inizio di quello che, poche ore dopo, si sarebbe trasformato nel più grande hack Twitter noto di tutti i tempi. Poco più di due settimane dopo, tre persone sono state accusate in relazione ai furti di conti appartenenti a Bill Gates, Elon Musk, ex presidente degli Stati Uniti Barack Obama, Apple e altri – insieme a quasi $ 120, 000 in bitcoin.

Venerdì pomeriggio, dopo un'indagine che includeva l'FBI, l'IRS e il servizio segreto, il Dipartimento di Giustizia accusò il residente nel Regno Unito Mason Sheppard e Nima Fazeli di Orlando, in Florida, in relazione all'hack di Twitter. A 20 – Graham Ivan Clark, di anni, è stato accusato separatamente di 30 delitti nella contea di Hillsborough, in Florida, tra cui 17 conta delle frodi nelle comunicazioni. Insieme, le denunce penali presentate nei casi offrono un ritratto dettagliato del giorno in cui tutto è andato in tilt – e quanto male i presunti aggressori hanno coperto le loro tracce. Tutti e tre sono attualmente in custodia.

Nonostante le sue affermazioni la mattina di luglio 15, Kirk # 5270 non era un dipendente di Twitter. Tuttavia, aveva accesso agli strumenti amministrativi interni di Twitter, che ha messo in mostra condividendo schermate di account come “@bumblebee”, “@sc”, “@vague” e “@ R9”. (Le maniglie corte sono un bersaglio popolare tra alcune comunità di hacker.) Un altro utente Discord che è andato da “sempre così ansioso #

“iniziò presto a mettere in fila gli acquirenti; Kirk # 5270 ha condiviso l'indirizzo di un portafoglio Bitcoin in cui i proventi potrebbero essere diretto. Offerte incluse $ 5, (********************************************************************) per “@xx”, che sarebbe successivamente compromesso.

Quella stessa mattina , qualcuno che passa su “Chaewon” sul forum OGUsers ha iniziato a pubblicizzare l'accesso a qualsiasi account Twitter. In un post intitolato “Tirare e-mail per qualsiasi Twitter / Accettare richieste”, Chaewon ha elencato i prezzi come $ 250 per modificare l'indirizzo e-mail associato a qualsiasi account e fino a $ 3, 000 per conto accesso. Il post indirizza gli utenti a “sempre così ansioso # (*******************************************************************) “su Discord; nel corso di sette ore, a partire da circa 7: 16 am ET, il “sempre così ansioso # 0001 ”un resoconto discusso almeno sull'acquisizione 50 nomi utente con Kirk # 5270, secondo i documenti del tribunale. Nella stessa chat di Discord, “sempre così ansioso # 0001 “, ha detto che la sua impugnatura degli OGU era Chaewon, suggerendo che i due erano i sam e individual.

Kirk # 5270 presumibilmente ha ricevuto un aiuto simile da un utente Discord che andava da Rolex # 0373, sebbene all'inizio quella persona fosse scettica. “Sembra troppo bello per essere vero”, ha scritto, secondo le trascrizioni delle chat che gli investigatori hanno ottenuto tramite mandato. Più tardi, per sostenere il suo reclamo, appare Kirk # 5270 aver modificato l'indirizzo e-mail associato all'account Twitter @foreign a un indirizzo e-mail appartenente a Rolex # 0373. Come Chaewon, Rolex # 221 quindi ha accettato di aiutare gli affari dei broker su OGUsers – dove il suo nome utente era Rolex – con prezzi a partire da $ 2, 500 per nomi di account particolarmente ricercati. In cambio, Rolex deve mantenere @foreign per se stesso.

Verso le 14:00 ET di luglio 15, almeno 10 Gli account Twitter erano stati rubati, secondo le denunce penali, ma gli hacker sembravano ancora concentrati su manici brevi o desiderabili come @drug e @xx e @vampire, piuttosto che celebrità e magnati della tecnologia. E le acquisizioni sono state una fine a se stesse, piuttosto che al servizio di una truffa di criptovaluta. Le offerte negoziate da Chaewon compensavano Kirk # 5270 intorno a $ 33, 000 in bitcoin, secondo la denuncia penale; Chaewon ha ricevuto altri $ 7, 000 per il suo ruolo di intermediario.

L'FBI ritiene che Rolex sia Fazeli e lo accusò di aver contato e favorito l'accesso intenzionale di un computer protetto. Credono che Sheppard sia Chaewon, che è accusato di cospirazione per commettere frodi via cavo, cospirazione per commettere riciclaggio di denaro e accesso intenzionale a un computer protetto.

Le denunce penali contro Sheppard e Fazeli partono qui. Nessuna lamentela identifica l'individuo dietro Kirk # 5270 o collega esplicitamente quell'account a una persona nominata. Ma i documenti giudiziari nel caso di Clark affermano che era il 15 – di anni che aveva ottenuto l'accesso ai sistemi di Twitter, e che ha continuato a subentrare negli account di alto profilo al servizio di una truffa bitcoin . Il Dipartimento di Giustizia ha rinviato il caso all'Ufficio del procuratore di Hillsborough, che sta processando Clark, secondo il sito web dell'ufficio , “perché la legge della Florida consente minori da addebitare come adulti in casi di frode finanziaria come questa, se del caso. “

” Ha ottenuto l'accesso agli account Twitter e ai controlli interni di Twitter compromettendo un dipendente Twitter, “Andrew Warren, procuratore di Hillsborough, ha dichiarato venerdì in una videoconferenza. “Ha venduto l'accesso a quegli account. Ha quindi usato le identità di persone di spicco per sollecitare denaro sotto forma di bitcoin, promettendo in cambio che avrebbe rispedito il doppio di bitcoin. ”

I documenti del tribunale mostrano approssimativamente 415 pagamenti al portafoglio bitcoin associato alla truffa , per un totale di circa $ 120, 000.

Come Twitter ha confermato la scorsa settimana, 130 gli account sono stati presi di mira in tutti. Gli aggressori hanno twittato con successo da 33 dei conti, accedeva ai messaggi diretti di 36 e scaricato i dati di Twitter di sette. Giovedì sera, Twitter ha rivelato che gli aggressori sono entrati attraverso il social engineering, in particolare attraverso un attacco di spear-phishing telefonico, che ha preso di mira i dipendenti dell'azienda. I documenti del tribunale non forniscono molti più dettagli di questo, e sostengono solo che le azioni di Clark risalgono al 3 maggio o intorno al 3 maggio.

Inoltre non è del tutto chiaro come gli investigatori abbiano identificato Clark, ma la pista che ha portato l'FBI a Sheppard e Fazeli ha briciole di pane molto più grandi. Il 2 aprile, l'amministratore di OGUsers ha annunciato che il forum era stato violato; pochi giorni dopo, dicono i documenti del tribunale, una banda di hacker rivale ha messo un link per il download in un database di informazioni sugli utenti.

Si è rivelato essere piuttosto un vero e proprio solo nomi utente e pubblicazioni pubbliche ma messaggi privati ​​tra utenti, indirizzi IP e indirizzi e-mail. L'FBI afferma di aver acquisito una copia del database il 9 aprile.

Il lavoro sembra essere stato rapido da lì. Nei messaggi privati ​​di Chaewon sugli OGU, gli investigatori affermano di aver trovato uno scambio a febbraio in cui Chaewon è stato incaricato di pagare per un videogioco inviando bitcoin a un indirizzo specifico. L'attività su quel portafoglio il giorno successivo è stata rintracciata in un gruppo di indirizzi bitcoin che, mesi dopo, sarebbero stati utilizzati da “# sempre così ansioso 0001 “nelle sue interazioni con Kirk # 5270. Gli investigatori hanno anche usato il database per collegare l'account di Chaewon a un altro gestore di OGU, Mas. Entrambi gli account hanno eseguito l'accesso ai forum dallo stesso indirizzo IP lo stesso giorno, in base alla perdita del database; gli agenti hanno anche scoperto che più volte tra febbraio 08 e 15 di quest'anno, Chaewon ha pubblicato ““ IS IS MAS I AM MAS NOT BRY I AM MAS MAS MAS! @ “, Che insieme suggeriscono che Chaewon e Mas sono di proprietà dello stesso individuo.

L'account Mas era associato all'account e-mail masonhppy@gmail.com, dicono gli investigatori, che era collegato a un conto Coinbase legato a Mason Sheppard. Gli indirizzi bitcoin associati a Chaewon avevano anche elaborato numerosi scambi sullo scambio di criptovaluta Binance, i cui record collegavano anche quei conti con Sheppard. Infine, i documenti del tribunale affermano che un minorenne senza nome che avrebbe presumibilmente assistito al piano ha detto agli investigatori di conoscere Chaewon con il nome di Mason.

Gli investigatori si affidano a bitcoin e indirizzi IP per collegare il Rolex # 0373 a Fazeli, come bene, in particolare un ottobre 21, 2018 scambio a cui si fa riferimento nei forum OGUsers. Il conto Coinbase coinvolto in quella transazione apparentemente apparteneva a “Nim F”, sotto l'indirizzo email “damniamevil 20 @ gmail.com “, lo stesso usato per registrare l'account Rolex su OGUsers. Il conto Coinbase sarebbe stato verificato con una patente di guida della Florida a nome di Nima Fazeli, completa del numero di patente di guida. Nel tempo, dicono i documenti del tribunale, Fazeli avrebbe usato la sua vera patente di guida per registrare tre conti Coinbase separati, il terzo dei quali era spesso visitato dallo stesso indirizzo IP del Rolex # 0373 Account Discord e account Rolex su OGUser.

“Apprezziamo le rapide azioni delle forze dell'ordine in questa indagine e continueremo a collaborare a seconda dei casi progredisce “, ha affermato Twitter in un Tweet . L'ufficio di San Francisco dell'FBI ha rilasciato una dichiarazione venerdì che indica che l'inchiesta era ancora in corso.

Mentre l'hacking di Twitter ha raccolto importanti titoli, l'attacco di ingegneria sociale al centro non è una novità. “In termini di M.O. di irrompere nelle aziende e quindi utilizzare gli strumenti dei dipendenti per perpetuare la frode, questo è solo un altro giorno per questi ragazzi “, afferma Allison Nixon, capo ricercatore presso la società di sicurezza informatica 221 B, che ha aiutato l'FBI nelle indagini. “Questo stesso identico M.O. è stato usato contro i teleco per anni prima di questo. “

In genere, il tipo di ingegneria sociale utilizzata nell'hack di Twitter evita il controllo legale, dice Nixon, perché è considerato un livello basso di attacco. Questo ovviamente non è più il caso in cui la tua hit list include un ex presidente e i due uomini più ricchi del mondo. Non è anche chiaro quanto sia efficace un deterrente che questi arresti si dimostreranno a lungo termine, dato quanto è diventata radicata questa particolare comunità di hacker. Semmai, i dettagli nelle denunce penali possono istruire attacchi futuri.

“Ogni singolo ciclo di questo insegna loro a essere migliori”, dice Nixon, “perché riescono a vedere il prove contro di loro e come vengono catturati. ”


Altre fantastiche storie CABLATE