[ad_1]

Twitter a été plongé dans le chaos mercredi après que des comptes rendus de certaines des personnalités publiques, des dirigeants et des célébrités les plus reconnaissables au monde aient commencé à tweeter des liens vers des escroqueries au bitcoin. Twitter dit que l’attaque s’est produite parce que quelqu’un a trompé ou contraint un employé à donner accès aux outils administratifs internes de Twitter. Ce message est une tentative de présenter une partie de la chronologie de l’attaque et de mettre en évidence des indices sur qui pourrait être derrière.

Les premiers signes publics de l’intrusion sont survenus vers 15 heures HAE, lorsque le compte Twitter de l’échange de crypto-monnaie Binance tweeté un message disant qu’il s’était associé à « CryptoForHealth » pour redonner 5000 bitcoins à la communauté, avec un lien où les gens pouvaient faire un don ou envoyer de l’argent.

Quelques minutes plus tard, des tweets similaires sont sortis des comptes d’autres échanges de crypto-monnaie et des comptes Twitter du candidat démocrate à la présidentielle. Joe Biden, Jeff Bezos, PDG d’Amazon, Le président Barack Obama, Elon Musk, PDG de Teslaancien maire de New York Michel Bloomberg et magnat de l’investissement Warren Buffet.

Bien qu’il puisse sembler ridicule que quelqu’un soit trompé en envoyant des bitcoins en réponse à ces tweets, une analyse de le portefeuille BTC promu par de nombreux profils Twitter piratés montre qu’au cours des dernières 24 heures, le compte a traité 383 transactions et reçu près de 13 bitcoins, soit environ 117 000 USD.

Twitter a publié une déclaration disant qu’il a détecté «une attaque d’ingénierie sociale coordonnée par des personnes qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes. Nous savons qu’ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom. Nous examinons les autres activités malveillantes qu’ils ont pu mener ou les informations auxquelles ils ont pu accéder et nous en partagerons plus ici au fur et à mesure que nous les aurons.

Il y a de fortes indications que cette attaque a été perpétrée par des individus qui se sont traditionnellement spécialisés dans le piratage de comptes de médias sociaux via le « SIM swapping », une forme de crime de plus en plus répandue qui consiste à soudoyer, pirater ou contraindre les employés des entreprises de téléphonie mobile et de médias sociaux à fournir accès au compte d’une cible.

Les membres de la communauté d’échange de cartes SIM sont obsédés par le piratage des comptes de médias sociaux dits « OG ». Abréviation de « gangster original », les comptes OG sont généralement ceux avec des noms de profil courts (tels que @B ou @joe). La possession de ces comptes OG confère une mesure de statut et d’influence et de richesse perçues dans les cercles d’échange de cartes SIM, car ces comptes peuvent souvent rapporter des milliers de dollars lorsqu’ils sont revendus dans le métro.

Dans les jours qui ont précédé l’attaque de mercredi sur Twitter, il y avait des signes que certains acteurs de la communauté d’échange de cartes SIM vendaient la possibilité de changer une adresse e-mail liée à n’importe quel compte Twitter. Dans un post sur OGusers — un forum dédié au piratage de compte — un utilisateur nommé «Chaewon » ont annoncé qu’ils pouvaient changer l’adresse e-mail liée à quelconque Compte Twitter pour 250 $ et offre un accès direct aux comptes entre 2 000 $ et 3 000 $ chacun.

L’utilisateur du forum OGUsers « Chaewon » prend les demandes de modification de l’adresse e-mail liée à n’importe quel compte Twitter.

« Ce n’est PAS une méthode, vous recevrez un remboursement complet si, pour une raison quelconque, vous ne recevez pas l’e-mail/@, mais s’il est révéré/suspendu, je ne serai pas tenu responsable », a écrit Chaewon dans leur fil de vente, qui était intitulé « Pulling email for any Twitter/Taking Requests ».

Quelques heures avant que l’un des comptes Twitter des plates-formes de crypto-monnaie ou des personnalités publiques ne commence à faire exploser les escroqueries au bitcoin mercredi, les attaquants semblent avoir concentré leur attention sur le détournement d’une poignée de comptes OG, y compris « @6.

Ce compte Twitter appartenait auparavant à Adrian Lamo – le « hacker sans-abri » aujourd’hui décédé, peut-être mieux connu pour s’être introduit dans le réseau du New York Times et pour avoir rapporté Chelsea Manning‘s vol de documents classifiés. @6 est maintenant contrôlé par l’ami de longue date de Lamo, chercheur en sécurité et phraker de téléphone qui a demandé à être identifié dans cette histoire uniquement par son pseudo Twitter, «Lucky225.”

Lucky225 a déclaré que juste avant 14 h HAE mercredi, il avait reçu un code de confirmation de réinitialisation de mot de passe via Google Voice pour le compte Twitter @6. Lucky a déclaré qu’il avait précédemment désactivé les notifications par SMS comme moyen de recevoir des codes multi-facteurs de Twitter, optant plutôt pour des codes uniques générés par une application d’authentification mobile.

Mais parce que les attaquants ont pu changer l’adresse e-mail liée au compte @6 et désactiver l’authentification multifacteur, le code d’authentification unique a été envoyé à la fois à son compte Google Voice et à la nouvelle adresse e-mail ajoutée par les attaquants.

« La façon dont l’attaque a fonctionné était que dans les outils d’administration de Twitter, apparemment, vous pouvez mettre à jour l’adresse e-mail de n’importe quel utilisateur de Twitter, et cela sans envoyer aucune sorte de notification à l’utilisateur », a déclaré Lucky à BreachTrace. « Alors [the attackers] pourrait éviter la détection en mettant d’abord à jour l’adresse e-mail du compte, puis en désactivant 2FA.

Lucky a déclaré qu’il n’avait pas été en mesure de vérifier si des tweets avaient été envoyés depuis son compte pendant la période où il a été piraté, car il n’y avait toujours pas accès (il a rassemblé une ventilation de l’épisode entier à ce poste moyen).

Mais à peu près au même moment, @6 a été piraté, un autre compte OG – @B – a été balayé. Quelqu’un a alors commencé à tweeter des photos du panneau d’outils internes de Twitter montrant le compte @B.

Une capture d’écran du compte Twitter OG piraté « @B », montre les pirates de l’air connectés à l’interface des outils de compte interne de Twitter.

Twitter a répondu en supprimant tous les tweets sur sa plate-forme qui incluaient des captures d’écran de ses outils internes et, dans certains cas, a temporairement suspendu la capacité de ces comptes à tweeter davantage.

Un autre compte Twitter — @shinji – tweetait également des captures d’écran des outils internes de Twitter. Quelques minutes avant que Twitter ne ferme le compte @shinji, il a été vu en train de publier un tweet disant « suivez @6 », faisant référence au compte détourné de Lucky225.

Le compte « @shinji » tweetant une capture d’écran de l’interface des outils internes de Twitter.

Des copies en cache des tweets de @Shinji avant l’attaque de mercredi sur Twitter sont disponibles ici et ici. Ces caches montrent que Shinji revendique la propriété de deux comptes OG sur Instagram — « j0e » et « mort.”

BreachTrace a entendu une source qui travaille dans la sécurité de l’un des plus grands opérateurs de téléphonie mobile basés aux États-Unis, qui a déclaré que les comptes Instagram « j0e » et « morts » sont liés à un échangeur de carte SIM notoire qui porte le surnom « PlugWalkJoe.” Les enquêteurs ont suivi PlugWalkJoe car on pense qu’il a été impliqué dans plusieurs attaques d’échange de carte SIM au cours des années qui ont précédé les braquages ​​de bitcoins à forte valeur ajoutée.

Les copies archivées du compte @Shinji sur Twitter montrent l’un des comptes Instagram OG de Joe, « Dead ».

Regardez maintenant l’image de profil dans l’autre index Archive.org du compte Twitter @shinji (photo ci-dessous). C’est la même image que celle incluse dans la capture d’écran @Shinji ci-dessus de mercredi dans laquelle Joseph/@Shinji tweetait des photos des outils internes de Twitter.

Image : Archive.org

Cet individu, a déclaré la source, était un participant clé dans un groupe d’échangeurs de cartes SIM qui a adopté le surnom « L’équipe de rire», et on pensait qu’il était à l’origine du détournement de Jack Dorsey, PDG de Twittercompte Twitter de l’année dernière. Comme Wired.com a raconté@jack a été détourné après que les attaquants aient mené une attaque par échange de carte SIM contre AT&Tle fournisseur de téléphonie mobile pour le numéro de téléphone lié au compte Twitter de Dorsey.

Un tweet envoyé par le compte du PDG de Twitter, Jack Dorsey, alors qu’il était piraté, a été crié à PlugWalkJoe et à d’autres membres de Chuckling Squad.

La source de sécurité de l’industrie mobile a déclaré à BreachTrace que PlugWalkJoe dans la vraie vie est un jeune de 21 ans de Liverpool, au Royaume-Uni, nommé Joseph James O’Connor. La source a déclaré que PlugWalkJoe se trouvait en Espagne où il fréquentait une université jusqu’au début de cette année. Il a ajouté que PlugWalkJoe n’a pas pu rentrer chez lui en raison des restrictions de voyage dues à la pandémie de COVID-19.

La source de l’industrie mobile a déclaré que PlugWalkJoe faisait l’objet d’une enquête dans laquelle une enquêteuse avait été embauchée pour engager une conversation avec PlugWalkJoe et le convaincre d’accepter un chat vidéo. La source a en outre expliqué qu’une vidéo qu’ils ont enregistrée de cette conversation montrait une piscine distinctive en arrière-plan.

Selon cette même source, la piscine photographiée sur le compte Instagram de PlugWalkJoe (instagram.com/j0e) est la même qu’ils ont vue lors de leur chat vidéo avec lui.

Si PlugWalkJoe était en fait au cœur de ce compromis sur Twitter, il est peut-être approprié qu’il ait été identifié en partie via l’ingénierie sociale. Peut-être devrions-nous tous être reconnaissants que les auteurs de cette attaque contre Twitter n’aient pas visé des objectifs plus ambitieux, comme perturber une élection ou la bourse, ou tenter de déclencher une guerre en publiant de faux tweets incendiaires de la part de dirigeants mondiaux.

En outre, il semble clair que ce piratage de Twitter aurait pu permettre aux attaquants de voir les messages directs de n’importe qui sur Twitter, des informations difficiles à évaluer mais qui seraient néanmoins d’un grand intérêt pour une variété de parties, des États-nations aux États-Unis. espions d’entreprise et maîtres chanteurs.

C’est une histoire rapide. Il y avait plusieurs personnes impliquées dans le braquage de Twitter. Veuillez rester à l’écoute pour d’autres mises à jour. BreachTrace tient à remercier Unité 221B pour leur aide à relier certains des points de cette histoire.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *