Panašu, kad išaiškėjo, kas yra didžiausios „Twitter“ saugumo krizės kaltininkas ()

2020-07-18

Trečiadienio vakarą kai kuriose valstybėse itin populiariame socialiniame tinkle „Twitter“ kilo chaosas: bene žinomiausios, populiariausios tviterio personos ir įmonės pradėjo skleisti žinutes, nukreipiančias į apgavystes, susijusias su kriptovaliutos – bitkoinų – pervedimu į tam tikrą sąskaitą. O žinias apie šio įsilaužimo kaltininką platina kibernetinio saugumo srityje gerbiamas tiriamosios žurnalistikos ekspertas Brianas Krebsas, kuriam priklauso svetainė Krebsonsecurity.com.

Jo svetainėje nurodoma, jog „Twitter“ aiškina, kad šio chaoso priežastis – prieigos prie „Twitter“ kompanijos darbuotojų valdomų administracinių įrankių perėmimas. Galimai tai nutiko kažkam apgavus arba papirkus įmonės darbuotoją, kad šis perleistų prieigą prie savo darbo įrankių.

B.Krebsas nupasakojo šios atakos vykdymo procesą ir pateikė žinias apie asmenį, kuris, kaip manoma, ir yra visos šios košės virėjas.

Pirmieji šio išpuolio žiedeliai pražydo trečiadienį, apie 22 val. Lietuvos laiku. Tuo metu „Twitter“ paskyra, priklausanti kriptovaliutų keityklai „Binance“ išplatino žinutę, kurioje buvo nurodoma, kad buvo užmegzta partnerystė su „CryptoForHealth“ siekiant visuomenei išdalinti 5000 bitkoinų (maždaug 40 mln. eurų dabartiniu kursu) ir pateikta nuoroda, kuria pasinaudojus žmonės galėjo aukoti arba siųsti pinigus.

Po kelių minučių panašias žinutes išplatino ir kitos kriptovaliutų keityklos bei itin žinomi asmenys: kandidatas į JAV prezidentus Joe Bidenas, buvęs JAV prezidentas Barackas Obama, buvęs Niujorko meras Michaelas Bloombergas, „Amazon“ vadovas, milijardierius Jeffas Bezosas, „SpaceX“ ir „Tesla“ vadovas, taip pat milijardierius Elonas Muskas ir dar vienas milijardierius – investuotojas Warrenas Buffetas.

Ir nors žmogus turi pasižymėti išskirtiniu naivumu bei patiklumu, kad patikėtų tokia apgaule, analizuojant nurodytos bitkoinų piniginės aktyvumą išaiškėjo, kad per parą ją pasiekė net 383 transakcijos, kurių bendra suma yra beveik 13 bitkoinų arba kiek daugiau nei 100 tūkst. eurų.

„Twitter“ sureagavo pranešimu, kad „aptiko koordinuotą socialinės inžinerijos ataką, kurią vykdo asmenys, sėkmingai nusitaikę į mūsų darbuotojus, turėjusius prieigą prie vidinių sistemos įrankių. Žinome, kad pasinaudojus šia prieiga jie perėmė daugelio gerai žinomų (taip pat verifikuotų) paskyrų valdymą ir siuntinėja žinutes jų vardu. Vyksta tyrimas, kokią dar piktybinę veiklą galėjo atlikti šie asmenys, prie kokios informacijos gavo prieigą – tyrimo rezultatais bus pasidalinta viešai“.

Anot B.Krebso, esama stiprių priežasčių manyti, kad šio išpuolio vykdytojai buvo asmenys, tradiciškai užsiimantys socialinių tinklų paskyrų vagystėmis naudojant vadinamąjį „SIM swapping“ metodą – populiarėjantį kibernetinio sukčiavimo būdą, kurio viena privaloma grandis yra mobiliojo ryšio paslaugų teikėjo ar socialinių tinklų įmonių darbuotojų darbinių paskyrų „nulaužimas“, suteikiantis vėlesnę prieigą prie tikrųjų aukų paskyrų.

Šios konkrečios kibernetinių nusikaltėlių bendruomenės „fetišas“ yra specifinių „Twitter“ paskyrų su trumpais pavadinimais vagystė. Tokios paskyros, kaip @b, @joe ar @6, yra vadinamos OG (nuo Original Gangster), verčiant netiesiogiai – „rimtų kentų“ paskyros. OG paskyros turėjimas jau savaime yra specifinio statuso, įtakos, turto matas „SIM swapperių“ bendruomenėje. Kartais tokiomis paskyromis prekiaujama pogrindinėse prekyvietėse – jų kaina gali siekti tūkstančius eurų arba dolerių.

Kelias dienas iki trečiadienio išpuolio prieš „Twitter“ būta tam tikrų požymių, kad šioje kibernetinių sukčių bendruomenėje bandoma parduoti „galimybę pakeisti elektroninio pašto adresą, susietą su bet kokia „Twitter“ paskyra“. Įvairių paskyrų vagišius sutraukusio forumo „OGusers“ įraše vartotojas, pasivadinęs „Chaewon“, tvirtino, kad gali už 200 dolerių pakeisti bet kurios „Twitter“ paskyros susietąjį elektroninio pašto adresą, o tiesioginę prieigą prie pasirinktos paskyros suteiktų už 2000-3000 dolerių.

„Tai NĖRA metodas, jei dėl kokios nors priežasties negausite pašto adreso ar paskyros prieigos, visus pinigus grąžinsiu, bet jei paskyra bus užblokuota ar suspenduota, nebūsiu dėl to atsakingas“, – savo komercinio pasiūlymo įraše nurodė „Chaewon“.

Likus kelioms valandoms iki bitkoinus siūlančių sukčių žinučių išplatinimo, šis veikėjas, panašu, visą savo dėmesį sutelkė į tam tikras OG paskyras, tarp kurių buvo ir paskyra @6.

Anksčiau ta paskyra priklausė paslaptingomis aplinkybėmis mirusiam „benamiui programišiui“ Adrianui Lamo, kuris išgarsėjo savo įsilaužimu į leidinio „The New York Times“ vidinius tinklus ir pranešimu apie Chelsea Manning pavogtus įslaptintus JAV kariuomenės dokumentus. Dabar šią paskyrą valdo senas A.Lamo draugas, kibernetinio saugumo ekspertas ir vadinamasis „telefonų frykeris“ (programišius, ieškantis saugumo spragų telekomunikacijų tinkluose), kuris prisistatė tik savo „Twitter“ paskyros vardu – „Lucky225“.

Jis nurodė, kad trečiadienį, prieš pat 21 val. Lietuvos laiku, jis per „Google Voice“ gavo žinutę su @6 paskyros slaptažodžio pakeitimo kodu. Lucky225 nurodė, kad jau anksčiau buvo išjungęs trumpąsias žinutes kaip kelią gauti „dviejų faktorių autentifikavimo kodus“ iš „Twitter“ ir tam naudojo mobiliojo autentifikavimo programėles.

Tačiau, kadangi atakos vykdytojai jau buvo sugebėję pakeisti elektroninio pašto adresą, susietą su @6 paskyra ir išjungti dviejų faktorių autorizavimo procesą, į Lucky225 „Google Voice“ paskyrą ir elektroninio pašto adresą, priklausiusį užpuolikams, buvo nusiųstas vienkartinis autentifikavimo kodas.

„Ataka veikia taip, kad „Twitter“ administravimo įrankiuose, panašu, yra elektroninio pašto adreso pakeitimo bet kuriam vartotojui galimybė, ir tas adresas gali būti pakeistas be jokio įspėjimo išsiuntimo pačiam vartotojui. Taigi, užpuolikai gali iš pradžių nepastebėti pakeisti pašto adresą, o po to išjungti dviejų faktorių autorizavimą“, – pasakojo Lucky225.

Šis programišius teigė, kad dar neperžiūrėjo, ar iš paskyros, kurios kontrolę buvo praradęs, buvo išsiųsta kokių nors žinučių, nes prieigos prie tos paskyros jis dar neatgavo.

Bet tuo pačiu metu, kai kibernetiniai nusikaltėliai užgrobė paskyrą @6, buvo pavogta ir kita OG paskyra – @B. Ir tviteriu buvo paskleisti paveikslėliai, kuriuose matoma, kad kažkoks asmuo, besinaudojantis @B paskyra, kartu naudojasi ir „Twitter“ administravimo įrankiais.

Tikrieji socialinio tinklo šeimininkai į tokių nuotraukų platinimą sureagavo labai greitai ir aršiai: visos žinutės su tokiomis ar panašiomis nuotraukomis iš socialinio tinklo buvo ištrintos, o kai kuriais atvejais suspenduotos ir paskyros, iš kurių išplatintos tos žinutės.

Viena paskyra – @shinji – platinusi „Twitter“ administravimo įrankių vaizdus, buvo apskritai panaikinta. Bet prieš panaikinimą jos šeimininkas spėjo parašyti: „sekite @6“, tokiu būdu nurodydamas paskyrą, kuri buvo ką tik pavogta iš Lucky225.

Interneto istorijos archyve vis dar galima rasti vieną-kitą @Shinji paskyros paskleistą tvytą. Juose galima rasti pasigyrimus, kad jam priklauso dvi OG paskyros „Instagram“ tinkle – „j0e“ ir „dead“.

Tuo tarpu iš šaltinio, dirbančio vieno iš didžiųjų JAV mobiliojo ryšio operatorių kibernetinio saugumo skyriuje, B.Krebsas sužinojo, kad „j0e“ ir „dead“ paskyros siejamos su pagarsėjusiu „SIM swapperiu“, kuris yra žinomas pagal slapyvardį „PlugWalkJoe“. Tyrėjai šį veikėją stebi jau kurį laiką – jis jau ne vienerius metus yra identifikuotas kaip asmuo, dalyvavęs ne viename „SIM swappingo“ išpuolyje – dar iki tų laikų, kai bitkoinų vagystės nebuvo madingas nusikalstamo uždarbio būdas.

Tas pats asmuo yra identifikuojamas ir kaip vienas iš pagrindinių „SIM swapperių“ grupuotės, vadinamos „ChucklingSquad“ narių. O šioji grupuotė, kaip manoma, praėjusiais metais pasižymėjo tuo, kad sugebėjo perimti net ir „Twitter“ įkūrėjo bei generalinio direktoriaus Jacko Dorsey paskyrą @jack, po to, kai kibernetiniai nusikaltėliai, įvykdę ataką prieš ryšio paslaugų teikėją AT&T gavo prieigą prie J.Dorsey telefono numerio ir per ją – prie „Twitter“ paskyros.

Šaltiniai iš mobiliojo ryšio paslaugų teikėjų kibernetinio saugumo skyrių nurodo, kad „PlugWalkJoe“ iš tiesų yra 21 metų vyras, gyvenantis Liverpulyje (JK), jo tikrasis vadas – Josephas Jamesas Connoras. Manoma, kad šiuo metu jis gyvena Ispanijoje – anksčiau šiais metais jis toje šalyje mokėsi universitete. Dėl kelionių apribojimų, kurių imtasi po COVID-19 pandemijos paskelbimo, jis negalėjo grįžti namo.

B.Krebsas sužinojo, kad „PlugWalkJoe“ neseniai tapo vieno tyrimo subjektu – viena iš tyrimo vykdytoju, moteris, kuri buvo pasamdyta užmegzti pokalbį su „PlugWalkJoe“ – sugebėjo į įtikinti prisijungti prie vaizdo skambučio. O šio skambučio įraše pastebėtas išskirtinis baseinas, kuris matomas ir „PlugWalkJoe“ instagramo paskyroje.

Ir jei iš tiesų saugumo ekspertų įtarimai pasitvirtins, kuomet ironiškai atrodys faktas, kad nusikalstamai veiklai socialinės inžinerijos metodus naudojantį kibernetinį nusikaltėlį tyrėjai identifikavo naudodami socialinės inžinerijos metodus.

O kartu reikėtų pasidžiaugti, kad šiam nusikaltėliui pristigo ambicingumo ar piktybiškumo ir jis nesugalvojo kištis į politinių rinkimų procesus, į akcijų rinkų veiklą, nebandė skleisti provokuojančių žinučių iš valstybių vadovų tviterio paskyrų, taip siekiant pakurstyti tarptautinę nesantaiką ir galbūt net karą.

Taip pat atrodo akivaizdu, kad šio išpuolio vykdytojai turėjo galimybę peržiūrėti bet kurio „Twitter“ vartotojo asmeninio susirašinėjimo žinutes – tokią informaciją sunku įvertinti piniginiu matu, tačiau ji tikrai sudomintų įvairiausius veikėjus – valstybes, įmones, pavienius šantažuotojus.

Aut. teisės: 15min.lt

(14)
(2)
(12)

Komentarai ()