22/10/2020
Управление финансовых услуг штата Нью‑Йорк (New York Department of Financial Services) представило отчет по результатам расследования взлома Twitter , имевшего место в июле нынешнего года. Согласно отчету, на осуществление взлома у киберпреступников ушло 24 часа.
Как установило следствие, атака началась 14 июля и закончилась на следующий день, когда стало очевидно, что учетные записи целого ряда публичных личностей, в том числе политиков и основателей крупных компаний, были взломаны хакерами в мошеннических целях.
Злоумышленники, идентифицированные вскоре после инцидента, воспользовались доступом к внутренней сети Twitter для изменения электронных адресов и учетных данных интересующих их пользователей и захвата контроля над их аккаунтами. В общей сложности хакеры пытались атаковать 130 учетных записей, и у 45 из них были изменены пароли.
Спустя несколько недель после инцидента администрация Twitter сообщила, что в ходе атаки злоумышленники связались с сотрудниками компании по телефону и обманом получили доступ к нужным внутренним инструментам поддержки. По данным Управления финансовых услуг штата Нью‑Йорк, с момента телефонного звонка до взлома прошли почти сутки.
Атаку предположительно осуществили 17-летний житель Флориды Грэм Айвен Кларк (Graham Ivan Clark), он же Kirk #5270, 19-летний британец Мэйсон Джон Шепперд (Mason John Sheppard), известный как Chaewon, и 22-летний житель Флориды Нима Фазели (Nima Fazeli), также известный как Rolex.
14 июля после обеда злоумышленники позвонили нескольким сотрудникам Twitter и, представившись сотрудниками IT-отдела, сообщили о проблемах с VPN (весьма распространенная проблема, учитывая количество сотрудников, работающих удаленно). Затем они попросили сотрудников ввести свои учетные данные в форму на фишинговой странице.
Каких-либо свидетельств того, что сотрудники намеренно помогли хакерам, следствие не обнаружило. С помощью персональной информации сотрудников злоумышленникам удалось убедить их, что они действительно те, за кого себя выдают. Хотя некоторые сотрудники все-таки сообщили о подозрительном звонке во внутренний отдел Twitter по борьбе с мошенничеством, по крайней мере одна жертва попалась на удочку.
Хотя у первой жертвы не было доступа к интересующим хакеров внутренним системам, они воспользовались ее учетными данными для перемещения по сети и поиска сотрудников, у которых такой доступ был. 15 июля злоумышленники атаковали этих сотрудников, в том числе ответственных за рассмотрение деликатных глобальных юридических запросов.
Вскоре после того, как атакующие получили контроль над учетными записями Twitter (в том числе учетными записями OG – «original gangster»), они начали обсуждать продажу имен пользователей OG и демонстрировать наличие у себя доступа ко внутренним системам Twitter.
Затем киберпреступники переключились на подтвержденные учетные записи с целью придать убедительность своей мошеннической схеме с криптовалютой. В течение нескольких часов они атаковали учетные записи криптовалютного трейдера AngeloBTC, криптовалютной биржи Binance и еще десяти связанных с криптовалютой аккаунтов, в том числе Coinbase, Gemini Trust Company и Square.
Еще через несколько часов хакеры стали публиковать твиты со взломанных учетных записей, в том числе Apple, Uber, Билла Гейтса, Илона Маска, Канье Уэста, Флойда Мэйвезера, Ким Кардашьян и пр. В результате им удалось похитить $118 тыс. в биткойнах.
Как установило Управление финансовых услуг штата Нью‑Йорк, в результате инцидента были скомпрометированы непубличные данные некоторых пользователей, и Twitter своевременно не обновляла информацию об инциденте.
Подробнее:
Финансовый регулятор представил подробный отчет по расследованию взлома Twitter.
