¿Quién está detrás del truco épico de Twitter del miércoles? – Krebs sobre seguridad


Gorjeo fue arrojado al caos el miércoles después de que algunas de las figuras públicas, ejecutivos y celebridades más reconocidas del mundo comenzaron a tuitear enlaces a estafas de bitcoin. Twitter dice que el ataque ocurrió porque alguien engañó o coaccionó a un empleado para que proporcionara acceso a herramientas administrativas internas de Twitter. Esta publicación es un intento de diseñar parte de la línea de tiempo de este ataque y señalar pistas sobre quién pudo haber estado detrás de él.

Los primeros signos públicos de la intrusión llegaron alrededor de las 3 p.m. EST, cuando la cuenta de Twitter para el intercambio de criptomonedas Binance tuiteó un mensaje diciendo que se había asociado con "CryptoForHealth" para devolver 5000 bitcoins a la comunidad, con un enlace donde las personas podían donar o enviar dinero.

Minutos después de eso, se enviaron tuits similares de las cuentas de otros intercambios de criptomonedas y de las cuentas de Twitter para candidatos presidenciales democráticos. Joe Biden, CEO de Amazon Jeff Bezos, Presidente Barak Obama, CEO de Tesla, Elon Musk, ex alcalde de Nueva York Michael Bloomberg y magnate de la inversión Warren Buffet.

Si bien puede sonar ridículo que alguien se deje engañar para enviar bitcoins en respuesta a estos tweets, un análisis de la billetera BTC promovido por muchos de los perfiles pirateados de Twitter muestra que el 15 de julio la cuenta procesó 383 transacciones y recibió casi 13 bitcoins el 15 de julio, o aproximadamente USD $ 117,000.

Twitter emitido una declaración diciendo que detectó "un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internas. Sabemos que utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre. Estamos investigando qué otra actividad maliciosa pueden haber realizado o información a la que hayan accedido y compartiremos más aquí como la tenemos ".

Hay fuertes indicios de que este ataque fue perpetrado por personas que tradicionalmente se han especializado en el secuestro de cuentas de redes sociales a través del "intercambio de SIM", una forma cada vez más desenfrenada de delito que consiste en sobornar, piratear o coaccionar a los empleados de empresas de telefonía móvil y redes sociales para que proporcionen acceso a la cuenta de un objetivo.

Las personas dentro de la comunidad de intercambio de SIM están obsesionadas con el secuestro de las llamadas cuentas de redes sociales "OG". Abreviatura de "gángster original", las cuentas de OG generalmente son aquellas con nombres de cuenta cortos (como @B o @joe). La posesión de estas cuentas OG confiere una medida de estado y la influencia percibida y la riqueza en los círculos de intercambio de SIM, ya que tales cuentas a menudo pueden alcanzar miles de dólares cuando se revenden en el subsuelo.

En los días previos al ataque del miércoles en Twitter, hubo indicios de que algunos actores de la comunidad de intercambio de SIM estaban vendiendo la posibilidad de cambiar una dirección de correo electrónico vinculada a cualquier cuenta de Twitter. En una publicación en OGusers, un foro dedicado al secuestro de cuentas, un usuario llamado "Chaewon"Anunciaron que podían cambiar la dirección de correo electrónico vinculada a alguna Cuenta de Twitter por $ 250 y proporciona acceso directo a cuentas de entre $ 2,000 y $ 3,000 cada uno.

El usuario del foro de OGUsers "Chaewon" acepta solicitudes para modificar la dirección de correo electrónico vinculada a cualquier cuenta de Twitter.

"Este NO es un método, se le dará un reembolso completo si por alguna razón no recibe el correo electrónico / @, sin embargo, si es reverenciado / suspendido, no se me hará responsable", escribió Chaewon en su hilo de ventas, que se tituló "Extracción de correo electrónico para cualquier solicitud de Twitter / Tomar".

Horas antes de que cualquiera de las cuentas de Twitter para plataformas de criptomonedas o figuras públicas comenzaran a estafar estafas de bitcoin el miércoles, los atacantes parecen haber centrado su atención en secuestrar un puñado de cuentas de OG, que incluyen "@ 6."

Esa cuenta de Twitter era anteriormente propiedad de Adrian Lamo, el "hacker sin hogar" ahora fallecido, quizás mejor conocido por irrumpir en la red del New York Times y por informar Chelsea Manning‘S robo de documentos clasificados. @ 6 ahora está controlado por el viejo amigo de Lamo, un investigador de seguridad y teléfono phreaker quien pidió ser identificado en esta historia solo por su apodo de Twitter, "Lucky225. "

Lucky225 dijo que justo antes de las 2 p.m. EST el miércoles, recibió un código de confirmación de restablecimiento de contraseña a través de Google Voice para la cuenta de Twitter @ 6. Lucky dijo que previamente había deshabilitado las notificaciones por SMS a través de su número de Google Voice como medio para recibir códigos de múltiples factores de Twitter, optando en su lugar por generar códigos únicos generados por una aplicación de autenticación móvil.

Pero debido a que los atacantes pudieron cambiar la dirección de correo electrónico vinculada a la cuenta @ 6 y deshabilitar la autenticación multifactor, el código de autenticación único se envió a su cuenta de Google Voice y a la nueva dirección de correo electrónico agregada por los atacantes.

"La forma en que funcionó el ataque fue que, dentro de las herramientas de administración de Twitter, aparentemente puede actualizar la dirección de correo electrónico de cualquier usuario de Twitter, y lo hace sin enviar ningún tipo de notificación al usuario", dijo Lucky a KrebsOnSecurity. "Entonces (los atacantes) podrían evitar la detección actualizando primero la dirección de correo electrónico en la cuenta y luego desactivando 2FA".

Lucky dijo que aún no ha podido revisar si se enviaron tweets desde su cuenta durante el tiempo que fue secuestrado porque todavía no tiene acceso a él (ha preparado un desglose de todo el episodio en esta publicación mediana)

Pero casi al mismo tiempo que @ 6 fue secuestrado, otra cuenta de OG: @SI – fue golpeado. La persona que controlaba esa cuenta comenzó a tuitear fotos del panel de herramientas internas de Twitter.

Una captura de pantalla de la cuenta de Twitter de OG secuestrada "@B" muestra a los secuestradores conectados a la interfaz de herramientas de cuenta interna de Twitter.

Twitter respondió eliminando todos los tweets de su plataforma que incluían capturas de pantalla de sus herramientas internas y, en algunos casos, suspendió temporalmente la capacidad de esas cuentas para seguir tuiteando.

Otra cuenta de Twitter: @shinji – También estaba tuiteando capturas de pantalla de las herramientas internas de Twitters. Minutos antes de que Twitter cerrara la cuenta @shinji, se vio la publicación de un tweet que decía "follow @ 6", en referencia a la cuenta secuestrada de Lucky225.

La cuenta "@shinji" tuiteó una captura de pantalla de la interfaz de herramientas internas de Twitter.

Las copias en caché de los tweets de @ Shinji antes del ataque del miércoles en Twitter están disponibles aquí y aquí desde el Archivo de internet. Esos cachés muestran que Shinji reclama la propiedad de dos cuentas OG en Instagram: "j0e"Y"muerto. "

KrebsOnSecurity escuchó de una fuente que trabaja en seguridad en uno de los mayores operadores de telefonía móvil con sede en los Estados Unidos, quien dijo que las cuentas de Instagram "j0e" y "muertas" están vinculadas a un notorio intercambiador de SIM que se conoce con el sobrenombre "PlugWalkJoe. " Los investigadores han estado rastreando PlugWalkJoe porque se cree que estuvo involucrado en múltiples ataques de intercambio de SIM durante los años que precedieron a los robos de bitcoins de alto dólar.

Las copias archivadas de la cuenta @Shinji en Twitter muestran una de las cuentas de Instagram de OG de Joe, "Dead".

Ahora mire la imagen de perfil en el otro índice Archive.org de la cuenta de Twitter @shinji (en la foto a continuación). Es la misma imagen que la incluida en la captura de pantalla @Shinji del miércoles en la que Joseph / @ Shinji estaba tuiteando fotos de las herramientas internas de Twitter.

Imagen: Archive.org

Este individuo, dijo la fuente, fue un participante clave en un grupo de intercambiadores de SIM que adoptaron el apodo "RisaSquad", Y se pensó que estaba detrás del secuestro de CEO de Twitter Jack DorseyCuenta de Twitter el año pasado. Como Wired.com relató, @jack fue secuestrado después de que los atacantes realizaron un ataque de intercambio de SIM contra AT&T, el proveedor de telefonía móvil para el número de teléfono vinculado a la cuenta de Twitter de Dorsey.

Un tuit enviado desde la cuenta del CEO de Twitter Jack Dorsey mientras fue secuestrado gritó a PlugWalkJoe y otros miembros del Escuadrón Chuckling.

La fuente de seguridad de la industria móvil le dijo a KrebsOnSecurity que PlugWalkJoe en la vida real es un joven de 21 años de Liverpool, Reino Unido llamado Joseph James Connor. La fuente dijo que PlugWalkJoe está en España, donde asistía a una universidad hasta principios de este año. Agregó que PlugWalkJoe no ha podido regresar a su hogar debido a restricciones de viaje debido a la pandemia de COVID-19.

La fuente de la industria móvil dijo que PlugWalkJoe fue objeto de una investigación en la que se contrató a una investigadora para entablar una conversación con PlugWalkJoe y convencerlo de que aceptara un chat de video. La fuente explicó además que un video que grabaron de ese chat mostraba una piscina distintiva en el fondo.

Según esa misma fuente, el grupo que aparece en la cuenta de Instagram de PlugWalkJoe (instagram.com/j0e) es el mismo que vieron en su video chat con él.

Si PlugWalkJoe fue de hecho fundamental para este compromiso de Twitter, tal vez sea apropiado que fuera identificado en parte a través de la ingeniería social. Tal vez todos deberíamos estar agradecidos de que los autores de este ataque en Twitter no hayan puesto sus ojos en objetivos más ambiciosos, como interrumpir una elección o el mercado de valores, o intentar iniciar una guerra emitiendo tweets falsos e inflamatorios de los líderes mundiales.

Además, parece claro que este truco de Twitter podría haber permitido a los atacantes ver los mensajes directos de cualquier persona en Twitter, información a la que es difícil ponerle precio pero que, sin embargo, sería de gran interés para una variedad de partidos, desde estados nacionales hasta espías corporativos y chantajistas.

Esta es una historia de rápido movimiento. Estén atentos para más actualizaciones.


Etiquetas: @ 6, @B, Chaewon, Chuckling Squad, Joseph James Connor, OG, PlugWalkJoe, Shinji

Esta entrada fue publicada el jueves 16 de julio de 2020 a las 5:41 pm y está archivada bajo A Little Sunshine, Ne'er-Do-Well News.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original