谁是周三史诗推特黑客事件的幕后黑手?

2020-07-17 06:36:24

推特(Twitter)周三陷入混乱,此前一些全球最知名的公众人物、高管和名人的账户开始发布与比特币骗局有关的链接。推特表示,攻击发生是因为有人欺骗或胁迫一名员工提供访问Twitter内部管理工具的权限。这篇帖子试图列出这次袭击的一些时间线,并指出谁可能是幕后黑手的线索。

入侵的第一个公开迹象出现在美国东部时间下午3点左右,当时加密货币交易所Binance的Twitter账户在推特上发了一条消息,说它已经与“CryptoForHealth”合作,向社区返还了5000枚比特币,并提供了一个链接,人们可以在那里捐款或汇款。

几分钟后,其他加密货币交易所的账户也发出了类似的推文,民主党总统候选人乔·拜登、亚马逊首席执行官杰夫·贝佐斯、巴拉克·奥巴马总统、特斯拉首席执行官埃隆·马斯克、前纽约市长迈克尔·布隆伯格和投资大亨沃伦·巴菲特的Twitter账户也发出了类似的推文。

虽然有人会被骗发送比特币来回应这些推文,这听起来可能很荒谬,但对许多被黑客攻击的Twitter个人资料推广的比特币钱包的分析显示,7月15日,该账户处理了383笔交易,并在7月15日收到了近13笔比特币-约合11.7万美元。

Twitter发布了一份声明,称它检测到“一些人进行了协同的社会工程攻击,他们成功地将我们的一些员工作为目标,可以访问内部系统和工具。”我们知道他们使用这个访问权限来代表他们控制许多高度可见(包括经过验证)的帐户和推文。我们正在调查他们可能进行了哪些其他恶意活动,或者他们可能获取了哪些信息,我们将在这里分享更多信息。“。

有强有力的迹象表明,这次攻击是由传统上专门通过“SIM交换”劫持社交媒体账户的个人实施的,“SIM交换”是一种日益猖獗的犯罪形式,包括贿赂、黑客攻击或胁迫手机和社交媒体公司的员工提供进入目标账户的权限。“SIM卡交换”是一种日益猖獗的犯罪形式,涉及贿赂、黑客攻击或胁迫手机和社交媒体公司的员工提供访问目标账户的权限。

SIM卡交换社区内的人痴迷于劫持所谓的“OG”社交媒体账户。OG帐户是“原始黑帮”的缩写,通常是帐户名较短的帐户(如@B或@Joe)。拥有这些OG账户可以衡量SIM交换圈中的地位、感知的影响力和财富,因为这样的账户在地下转售时往往可以卖到数千美元。

在周三Twitter遭受攻击之前的几天里,有迹象表明,SIM交换社区的一些行为者正在兜售更改与任何Twitter账户绑定的电子邮件地址的能力。一位名叫“Chaewon”的用户在OGuser(一个专门研究账户劫持的论坛)上发帖称,他们可以更改任何Twitter账户绑定的电子邮件地址,只需250美元,每个账户的直接访问费用在2000美元到3000美元之间。

Chaewon在他们的销售帖子中写道:“这不是一种方法,如果你出于任何原因没有收到电子邮件/@,你将获得全额退款,然而,如果它是受人尊敬/暂停的,我将不会被追究责任。”这篇帖子的标题是“为任何推特/接受请求拉出电子邮件。”

周三,在加密货币平台的任何Twitter账户或公众人物开始抨击比特币诈骗的几个小时前,攻击者似乎将注意力集中在劫持了少数几个OG账户,其中包括“@6”。

该Twitter账号以前的所有者是阿德里安·拉莫(Adrian Lamo),这位现已去世的“无家可归的黑客”可能最出名的是侵入了“纽约时报”的网络,并报道了切尔西·曼宁(Chelsea Manning)窃取机密文件的事件。@6现在由拉莫的老朋友控制,他是一名安全研究员和电话窃听器,在这篇报道中只要求用他在Twitter上的昵称“幸运225”来透露身份。

Lucky225说,就在下午2点之前。美国东部时间周三,他通过谷歌语音收到了@6 Twitter账户的密码重置确认码。幸运说,他之前禁用了通过他的谷歌语音号码发送短信通知,作为从Twitter接收多因素代码的一种方式,而是选择了由移动身份验证应用程序生成一次性代码。

但由于攻击者能够更改与@6账户绑定的电子邮件地址,并禁用多因素身份验证,一次性验证码被发送到他的谷歌语音账户和攻击者添加的新电子邮件地址。

“攻击的方式是,在Twitter的管理工具中,显然你可以更新任何Twitter用户的电子邮件地址,而且它不会向用户发送任何形式的通知,”Lucky告诉KrebsOnSecurity。“因此,[攻击者]可以通过先更新帐户上的电子邮件地址,然后关闭2FA来避免被发现。”

幸运说,他仍然无法审查他的账户在被劫持期间是否发送了任何推文,因为他仍然无法访问(他在这篇中等水平的帖子中整理了整个事件的细目)。

但大约在同一时间,@6被劫持,另一个OG账户[email protected]被刷走。然后,控制该账户的人开始在推特上发布Twitter内部工具面板的图片。

Twitter的回应是删除了其平台上包括其内部工具截图的任何推文,在某些情况下还暂时暂停了这些账户进一步推文的能力。

另一个推特账号@shinsi也在推特上发布了推特内部工具的截图。在Twitter终止@Shinsi账号的前几分钟,有人看到Twitter发布了一条推文,称“关注@6”,指的是从Lucky225劫持的账号。

这里和这里可以从互联网档案馆(Internet Archive)获得@Shinsi在周三Twitter受到攻击之前的推文的缓存副本。这些缓存显示,Shji声称拥有Instagram上的两个OG账户-“j0e”和“Dead”。

KrebsOnSecurity从一位在美国最大的移动运营商从事安全工作的消息人士那里听说,“j0e”和“死亡”的Instagram账户与一个绰号为“PlugWalkJoe”的臭名昭著的SIM交换者有关。调查人员一直在追踪PlugWalkJoe,因为他被认为在多年来参与了多起SIM掉期攻击,这些攻击发生在高美元比特币抢劫案之前。

现在看看@Shinsi Twitter账户的另一个Archive.org索引中的个人资料图片(如下图所示)。这张图片与上面的@Shji截图中包含的一张图片相同,在截图中Joseph/@Shinsi正在推特上发布Twitter内部工具的图片。

消息人士称,此人是昵称为“ChucklingSquad”的SIM交换者组织的关键参与者,并被认为是去年Twitter首席执行官杰克·多尔西Twitter账户被劫持事件的幕后黑手。正如Wired.com所述,@jack是在攻击者对美国电话电报公司(AT&;T)进行SIM卡交换攻击后被劫持的。AT&;T是与多尔西的Twitter账户绑定的手机号码的移动提供商。

这位移动行业安全消息人士告诉KrebsOnSecurity,现实生活中的PlugWalkJoe是一个来自英国利物浦的21岁男孩,名叫约瑟夫·詹姆斯·康纳(Joseph James Connor)。消息人士称,PlugWalkJoe目前在西班牙,今年早些时候之前他一直在那里上大学。他补充说,由于新冠肺炎大流行的旅行限制,PlugWalkJoe一直无法回家。

这位移动行业消息人士表示,PlugWalkJoe是一项调查的对象,在调查中,一名女性调查员受雇与PlugWalkJoe展开对话,并说服他同意进行视频聊天。消息人士进一步解释说,他们录制的那次聊天的一段视频显示,背景中有一个与众不同的游泳池。

根据同一消息来源,PlugWalkJoe的Instagram账户(instagram.com/j0e)上的照片中的游泳池与他们在视频聊天中看到的游泳池是同一个。

如果PlugWalkJoe确实是Twitter妥协的关键人物,那么在一定程度上通过社会工程来确定他的身份或许是合适的。也许我们都应该庆幸这次对Twitter的攻击的肇事者没有把目光投向更雄心勃勃的目标,比如扰乱选举或股市,或者试图通过发布来自世界各国领导人的虚假、煽动性的推文来挑起战争。

此外,似乎很明显,这次Twitter黑客攻击可能会让攻击者查看任何人在Twitter上的直接消息,这些信息很难定价,但却会引起从民族国家到企业间谍和勒索者等各方的极大兴趣。