Continuiamo quindi a parlare di Twitter (qui la prima parte introduttiva). La scorsa settimana la piattaforma ha subito un attacco che si è accertato essere di ingegneria sociale, come avevamo in effetti ipotizzato. Twitter ha ufficialmente reso noto che alcuni suoi operatori sono stati minacciati o pagati per fornire accesso ai dati. Secondo altre fonti anonime, in realtà sarebbe bastato corrompere con il dio denaro una sola persona per concedersi il via libera ed accedere ad alcuni account, ma ci sono altri interessanti sviluppi che sveleremo nel corso di questo articolo.
In ogni caso e qualsiasi sia l’effettiva realtà permane il fatto che il fattore umano sia necessariamente da considerarsi l’elemento meno controllabile e più debole nel campo della sicurezza informatica; ognuno di noi può avere segreti che non vuole divulgare ed ognuno di noi può avere un prezzo, o comunque sarebbe allettato da una buona offerta. Questo è anche il metodo più veloce per estrarre delle informazioni rispetto ad un lavoro più certosino di psicologia interazionale, come avevamo invece accennato nell’articolo precedente.
Logicamente, prima di passare a questo tipo di estorsione l’attaccante deve raggiungere la corretta competenza per muoversi e conoscere chi, effettivamente, all’interno di tale azienda può fornire le informazioni necessarie. Di conseguenza, esistono due reali possibilità: o l’operatore corrotto ha sempre collaborato con il gruppo di hackers oppure questi ultimi hanno precedentemente effettuato una ricerca ed uno smistamento di coloro che potevano essere utili ed avevano la competenza per “aiutare” i malintenzionati a raggiungere il loro scopo finale. Per questa ultima operazione menzionata si utilizzano due tecniche che richiedono il loro tempo, footprinting e scanning, ovvero il recupero di informazioni mirate che permettano di sondare ed ingaggiare il target prescelto.
C’è da dire che stando ai numeri che Twitter ha rivelato questo attacco ha colpito solamente un numero esiguo di account ed in specifico 130, di cui 45 sono stati utilizzati per inviare cinguettii, di 36 è stato ottenuto l’accesso al DM box e, per finire, sono stati scaricati i dati completi di Twitter da 8 account non verificati.
Secondo Motherboard, una delle sue fonti anonime riporta di aver utilizzato una repository (ovvero, un archivio in cui sono localizzati i pacchetti di un software) che ha, praticamente, permesso facilmente di portare a termine tutto il lavoro accedendo ad una strumentazione interna a Twitter. Su internet è possibile risalire ad alcune immagini della stessa (v. qui sotto), sebbene la piattaforma abbia tentato di limitarne la pubblicazione.

Inoltre, come accennato sia da Motherboard che da Krebsonsecurity, il suddetto pannello sembra sia stato utilizzato per modificare la proprietà di alcuni account OG (acronimo per Original Gangster), ovvero account che utilizzano solamente da uno a tre caratteri come nickname (per esempio @A, @Tom, @OA). Questo suggerisce anche che gli hackers siano stati spacializzati in una tecnica che viene denominata SIM swapping e che consiste nell’utilizzare alcune debolezze insite nella doppia autenticazione e verifica superando le sicurezze e modificando il numero di SIM connesso all’account. Questo tipo di tecnica risulta particolarmente lucrativa nel caso i dati collezionati venissero ceduti/venduti nel mercato underground del deep web. Nel caso di Twitter, questo sim swapping è avvenuto modificando la casella e-mail di riferimento degli account, disabilitando così il doppio fattore di autenticazione; il tutto è stato reso più semplice dal fatto che non era previsto l’invio di alcuna notifica per l’utente relativa alle azioni intraprese.
Tra questi OG account c’era anche @6, appartenente all’hacker Adrian Lamo, deceduto nel 2018 e di cui si occupa ora l’amico Lucky225. Questi, dopo aver controllato il numero di Google Voice, che gli hackers nella fretta non avevano pensato di cambiare, ed a cui era connesso il Twitter di Lamo è riuscito a risalire alla notifica di modifica password ed a resettarla autonomamente così da recuperare l’account.
Quindi, riassumendo gli hackers hanno modificato il file contenente l’indirizzo e-mail, revocato il doppio fattore di autenticazione utilizzando gli strumenti da amministratore degli operatori di Twitter ed, infine, resettato la password che veniva inviata sia all’indirizzo e-mail che al numero di telefono ad esso associato.
Secondo il New York Times e come riporta nel suo blog anche Krebs, due hackers attorno ai 20 anni ed i cui nickname sono rispettivamente “lol” e “ever so anxious”, hanno voluto dimostrare alla testata di aver collaborato all’attacco di Twitter ed in specifico alla parte dedicata agli account OG. Sembra che “Kirk”, l’operatore di Twitter che teoricamente ha permesso l’attacco alla piattaforma, abbia scelto di contattare i due ragazzi tramite Discord per usarli come tramite per rivendere gli account rubati promettendo loro una percentuale sui guadagni.

L’utilizzo di Discord risulta interessante poiché, non solo esistono molti software simili che permettono le videochiamate e le chat (e che magari, in alcuni casi, offrono servizi criptati), ma perché ci suggerisce anche un’altra strada: gli attori coinvolti sono tutti dei giovani videogiocatori di origine occidentale che parlano perfettamente l’inglese ed utilizzano il tipico slang scritto delle chat.
Qui sotto si può vedere la foto mal scattata di parte della conversazione avvenuta su Discord, fatta da “PlugWalkJoe” il quale assieme a “lol” ed “ever so anxious” (che utilizza anche il nick “alive”) partecipava alla chat con “Kirk”, e riportata da Krebsonsecurity dove è presente anche il numero di conto su cui i bitcoin dovevano essere inviati (l’ammontare degli stessi si aggira attorno ai 180,000 dollari).

Abbiamo quindi un ingegnere sociale che ha avuto accesso agli strumenti di Twitter e che decide di contattare e collaborare con alcuni ragazzi, noti nell’undergound del deep web per attività di SIM swapping offrendogli una percentuale per agire come “rivenditori” di dati.
A prima vista, il problema include solamente quattro o cinque persone ma le attività di SIM swapping sono costanti e molte informazioni, purtroppo, vengono giornalmente vendute nel deep web.
Così, escludendo l’ingegnere sociale il quale molto probabilmente aveva altri piani, ci troviamo davanti a dei ragazzi che vogliono divertirsi, guadagnarsi una certa notorietà nell’undergound e fare qualche soldino autoconvincendosi che ciò che fanno è solo una bravata che non fa del male a nessuno: in altre parole, sono dei pesci piccoli che vengono manovrati oppure, se preferiamo, attratti da dei potenziali compratori. Questo, ovviamente, non esime né vuole minimizzare il problema ma piuttosto evidenziare come la reale questione potrebbe porre sotto i riflettori tutti coloro che comprano questo tipo di informazioni per scopi malevoli o di marketing.
Resta la curiosità di sapere quali siano quegli 8 account di cui sono stati scaricati tutti i log, mentre l’interesse si focalizzava sui profili dei personaggi famosi coinvolti e sulla richiesta di bitcoin.
Comincia la discussione