Влада США висунула звинувачення трьом молодим людям в масовому зломі сторінок в Twitter, що належать знаменитостям. У ЗМІ є багато розрізненої інформації про інцидент, в тому числі заяви самої адміністрації соцмережі, однак відомостей про те, як саме зловмисникам вдалося зламати 130 облікових записів (за заявою Twitter, шахраї здійснили фішингову атаку на співробітників, скориставшись «людськими слабкостями») і як вони були спіймані, не повідомлялося. Тепер завдяки опублікованим Міністерством юстиції США обвинувальним актам можна скласти картину того, як відбувався злам і проводилося розслідування.
Згідно з судовими документами, атака розпочалась 3 травня 2020 року, коли 17-річний підліток з Тампи (штат Флорида, США) Грем Айвен Кларк (Graham Ivan Clark), який проживає в Каліфорнії, отримав несанкціонований доступ до частини внутрішньої мережі Twitter. Цей доступ зберігався у нього до 16 липня. Проникнувши в мережу, Кларк, який використовує псевдонім Kirk, швидко заволодів внутрішніми інструментами адміністрування, які пізніше використовувалися для злому облікових записів.
Проте, згідно зі статтею в New York Times, що вийшла через кілька днів після атаки, Кларк спочатку отримав доступ до робочих просторів, які використовували співробітники соцмережі в месенджері Slack, а не до самої мережі Twitter. Як повідомляли журналісти видання з посиланням на представників хакерського співтовариства, в одному з каналів Twitter в Slack зловмисник виявив облікові дані для внутрішнього інструменту адміністрування. Скріншоти інтерфейсу даного інструменту були опубліковані в даркнеті на наступний день після злому.
Оскільки облікові записи адміністраторів Twitter захищені механізмом двофакторної аутентифікації, одних лише облікових даних було недостатньо, щоб отримати до них доступ. Згідно з повідомленням представників соцмережі, зловмисники використовували проти її співробітників «цілеспрямований фішинг по телефону». Скільки часу пішло у Кларка на «обробку» співробітників, важко сказати. Однак згідно з повідомленням Twitter, це сталося 15 липня — в один день зі зломом.
Згідно з отриманим ФБР листуванням в месенджері Discord, за допомогою в монетизації отриманого доступу Кларк звернувся до двох стороннім особам. На Discord-каналі хакерського форуму OGUsers Кларк знайшов 22-річного Німу Фазелі (Nima Fazeli), відомого як Rolex, і 19-річного Мейсона Шеппарда (Mason Sheppard), що використовує псевдонім Chaewon. Він запропонував їм взяти участь у зломі Twitter і як доказ того, що у нього дійсно є доступ до інструментів адміністрування соцмережі, поміняв настройки сторінки Фазелі. Крім того, Кларк продав Шеппард доступ до ряду коротких імен користувачів Twitter (@xx, @dark, @vampire, @obinna і @drug).
Трійця почала активно рекламувати доступ до облікових записів Twitter на форумі OGUsers. Судячи з усього, їм вдалося продати доступ ще кільком людям, які зараз розшукуються правоохоронними органами. Саме один з цих людей використовував набутий доступ для публікації на сторінках знаменитостей шахрайських твітів про безкоштовну роздачу біткойнов.
Згідно з судовими документами, на вказаний шахраєм кріптовалютний гаманець було переведено 12,83 біткойнов (близько $ 117 тис.). У день злому адміністрація кріптовалютної біржі Coinbase взялася перешкодити шахрайським транзакціям і заблокувала таку біткойн-адресу, в такий спосіб запобігши переказу ще $ 280 тис.
Примітно, що в розслідуванні інциденту ФБР скористалося базою даних форуму OGUsers, яка витекла у відкритий доступ в квітні нинішнього року. На жаль для хакерів, вона містила їх електронні та IP-адреси, а також особисту переписку.
За участю Податкового управління США правоохоронці отримали від адміністрації Coinbase дані кріптовалютних гаманців які брали участь у справі, в тому числі тим, які трійця згадувала раніше в листуванні в месенджері Discord і на форумі OGUsers. Зіставивши відомості, отримані з трьох джерел (Coinbase, Discord і OGUsers), співробітники правоохоронних органів змогли виявити електронні та IP-адреси фігурантів справи і встановити їх особи.
Однак користувач «Хабр» під псевдонімом ashotog, уважно ознайомився з доступними матеріалами справи, засумнівався в тому, як був обчислений Мейсон Шеппард. Якщо електронні адреси Кларка і Фазелі дійсно «засвітилися» у витоку OGUsers, то з Шеппардом не все так гладко.
Згідно зі звітом агента Податкової служби США Тиграна Гамбаряна (Tigran Gambaryan), електронну адресу Мейсона (masonhppy@gmail.com) також було виявлено з витоку БД форуму OGUsers. Однак, за словами ashotog, такої адреси там немає. Більш того, він не зустрічався ні в одному з витоків, проаналізованих їм за останні кілька років (а це понад 30 млрд записів).
«Виходить, що спецагент щось не договорює в своєму звіті. Або він має доступ до бази, або інформації про яку не має права розголошувати (наприклад, доступ до бази «Coinbase» в режимі реального часу для пошуку по IP), або Mason Sheppard був знайдений по-іншому (наприклад, через запит британському провайдеру «TalkTalk Communications Limited »з чиєї мережі «сидів » хакер) і з якоїсь причини це також не може бути розголошено», — пише ashotog.