Wszystko wskazuje na to, że osoby odpowiedzialne za niedawne „włamania” na konta znanych osób na Twitterze właśnie zostały złapane.

Przypomnijmy pokrótce: wiadomość, zauważona na kontach należących do Barracka Obamy, Joe Bidena, Billa Gatesa, Elona Muska, Jeffa Bezosa, Apple, Uber, Kanye West, Kim Kardashian, Floyda Mayweathera, Michaela Bloomberga i kilku innych znanych osób, prosiła użytkowników o wysłanie Bitcoina na wskazany w wiadomości portfel.

Zaczęło się 3 maja

W Stanach Zjednoczonych opublikowano właśnie 3 akty oskarżenia przeciwko Masonowi Sheppardowi z Wielkiej Brytanii, Nima Fazeli oraz Grahamowi Ivanowi Clarkowi (oboje z Florydy). Z ustaleń śledczych wynika, że sprawcy rozpoczęli swoje działania 3 maja gdy Clark uzyskał dostęp do części sieci Twittera.

Nie jest do końca jasne, co wydarzyło się dokładnie między 3 maja a 15 lipca, w dniu faktycznego włamania, ale wydaje się, że Clark nie był w stanie od razu eskalować swoich początkowych uprawień jakie uzyskał w związku z dostępem do narzędzia administratora Twittera. Nie zmienia to faktu, że właśnie tego narzędzia używał on potem gdy przejmował poszczególne konta.

Pierwsze doniesienia New York Times (kilka dni po włamaniu do Twittera) sugerowały, że Clarke początkowo uzyskał dostęp do jednego z wewnętrznych obszarów roboczych Twittera w Slacku, a nie do samego Twittera. Haker miał znaleźć dane uwierzytelniające jednego z narzędzi wsparcia technicznego Twittera przypięte do jednego z kanałów firmy Slack. Obrazy tego narzędzia, które umożliwiło pracownikom Twittera kontrolowanie wszystkich aspektów konta na Twitterze, wyciekły później online w dniu włamania.

Zobacz też: Włamanie na konto Canonicala na GitHubie – co z bezpieczeństwem Ubuntu?

Same jednak dane dostępowe do tego narzędzia nie były jeszcze wystarczające, aby uzyskać dostęp do samego Twittera. We wpisie na blogu na Twitterze, szczegółowo opisującym dochodzenie firmy w sprawie włamania, Twitter powiedział, że konta tego zaplecza administracyjnego są chronione przez uwierzytelnianie dwuskładnikowe (2FA). Nie jest jasne jak Clark uzyskał potrzebne mu poświadczenia ale przypuszczalnie wykorzystał atak phishingowy z użyciem telefonu. Oszukał niektórych pracowników Twittera i uzyskał dostęp do ich kont, co pozwoliło mu przejść pomyślnie przez 2FA. Miało to się stać dopiero 15 lipca a więc w dniu samego włamania.

Konta na sprzedaż

Clark nie czekał aż zostanie wykryty tylko wszedł na Discord jako „Kirk#5270” i od razu skontaktował się z dwoma innymi osobami, aby pomogły mu one zarabiać dopiero co uzyskanym dostępie do Twittera. Clark porozumiał się z dwoma innymi użytkownikami kanału Discord OGUsers, który jest forum poświęconego hakerom sprzedającym i kupującym konta w mediach społecznościowych. Byli to właśnie Fazeli („Rolex#037”) oraz Sheppard („ever so anxious#0001”).

Clark udowodnił swoje nowe supermoce modyfikując ustawienia konta należącego do Fazeli a potem sprzedał mu dostęp do konta @foreign na Twitterze. Clark sprzedał również Sheppardowi dostęp do wielu krótkich kont na Twitterze, takich jak @xx, @dark, @vampire, @obinna i @drug. W efekcie cała trójka uzgodniła, że będą zamieszczać reklamy na forum OGUsers promując zdolności Clarka do przejmowania kont na Twitterze.

Śledczy do tej pory badają kto korzystał z usług Clarka i jego nowo poznanych kolegów.

W każdym razie już na tym etapie uważa się, że jeden z ich klientów jest odpowiedzialny za wykupienie dostępu do zweryfikowanych przez celebrytów kont na Twitterze i wysłanie słynnych wiadomości mających na celu wyłudzić przelew kryptowalut.

Zarobek był raczej niewielki

Hakerzy obsługujący portfele użyte w tym oszustwie otrzymali 12,83 bitcoinów, czyli około 117 000 dolarów. Giełda kryptowalut Coinbase wzięła sprawy w swoje ręce jeszcze w dniu włamania, aby zablokować transakcje na oszukańcze adresy, ostatecznie uniemożliwiając wysłanie kolejnych 280 000 USD do oszustów.