Yaakov's Group | Ciberseguridad

¿Quién está detrás del hackeo épico de Twitter del miércoles?

Comparte este post en tus redes sociales

Twitter cayó en el caos el miércoles después de que algunas de las figuras públicas, ejecutivos y celebridades más reconocidas del mundo comenzaron a tuitear enlaces a estafas de bitcoin. Twitter dice que el ataque ocurrió porque alguien engañó o coaccionó a un empleado para que proporcionara acceso a herramientas administrativas internas de Twitter. Esta publicación es un intento de diseñar parte de la línea de tiempo de este ataque y señalar pistas sobre quién pudo haber estado detrás de él.

Los primeros signos públicos de la intrusión llegaron alrededor de las 3 p.m. EST, cuando la cuenta de Twitter para el intercambio de criptomonedas Binance tuiteó un mensaje que decía que se había asociado con «CryptoForHealth» para devolver 5000 bitcoins a la comunidad, con un enlace donde las personas podían donar o enviar dinero.

Minutos después, salieron tweets similares de las cuentas de otros intercambios de criptomonedas y de las cuentas de Twitter para el candidato presidencial democrático Joe Biden, el CEO de Amazon Jeff Bezos, el presidente Barak Obama, el CEO de Tesla, Elon Musk, el ex alcalde de Nueva York Michael Bloomberg y la inversión magnate Warren Buffet.

Si bien puede sonar ridículo que alguien se deje engañar para enviar bitcoins en respuesta a estos tweets, un análisis de la billetera BTC promovido por muchos de los perfiles pirateados de Twitter muestra que el 15 de julio la cuenta procesó 383 transacciones y recibió casi 13 bitcoins en julio 15 – o aproximadamente USD $ 117,000.

Twitter emitió un comunicado diciendo que detectó «un ataque coordinado de ingeniería social por parte de personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos. Sabemos que utilizaron este acceso para tomar el control de muchas cuentas altamente visibles (incluidas las verificadas) y tuitear en su nombre. Estamos investigando qué otra actividad maliciosa pueden haber realizado o información a la que hayan accedido y compartiremos más aquí como la tenemos «.

Hay fuertes indicios de que este ataque fue perpetrado por personas que tradicionalmente se han especializado en el secuestro de cuentas de redes sociales a través del «intercambio de SIM», una forma cada vez más desenfrenada de delito que consiste en sobornar, piratear o coaccionar a los empleados de empresas de telefonía móvil y redes sociales para que proporcionen acceso a la cuenta de un objetivo.

Las personas dentro de la comunidad de intercambio de SIM están obsesionadas con el secuestro de las llamadas cuentas de redes sociales «OG». Abreviatura de «gángster original», las cuentas de OG generalmente son aquellas con nombres de cuenta cortos (como @B o @joe). La posesión de estas cuentas OG confiere una medida de estado y la influencia percibida y la riqueza en los círculos de intercambio de SIM, ya que tales cuentas a menudo pueden alcanzar miles de dólares cuando se revenden en el subsuelo.

En los días previos al ataque del miércoles en Twitter, hubo indicios de que algunos actores de la comunidad de intercambio de SIM estaban vendiendo la posibilidad de cambiar una dirección de correo electrónico vinculada a cualquier cuenta de Twitter. En una publicación en OGusers, un foro dedicado al secuestro de cuentas, un usuario llamado «Chaewon» anunció que podría cambiar la dirección de correo electrónico vinculada a cualquier cuenta de Twitter por $ 250, y proporcionar acceso directo a cuentas por entre $ 2,000 y $ 3,000 cada uno.

«Este NO es un método, se le dará un reembolso completo si por alguna razón no recibe el correo electrónico / @, sin embargo, si es reverenciado / suspendido, no se me hará responsable», escribió Chaewon en su hilo de ventas, que se tituló «Extracción de correo electrónico para cualquier solicitud de Twitter / Tomar».

Horas antes de que cualquiera de las cuentas de Twitter para plataformas de criptomonedas o figuras públicas comenzaran a lanzar estafas de bitcoin el miércoles, los atacantes parecen haber centrado su atención en secuestrar un puñado de cuentas OG, incluida «@ 6».

Esa cuenta de Twitter era propiedad de Adrian Lamo, el «hacker sin hogar» ahora fallecido, tal vez mejor conocido por irrumpir en la red del New York Times y por denunciar el robo de documentos clasificados por parte de Chelsea Manning. @ 6 ahora está controlado por el viejo amigo de Lamo, un investigador de seguridad y phreaker telefónico que pidió ser identificado en esta historia solo por su apodo en Twitter, «Lucky225».

Lucky225 dijo que justo antes de las 2 p.m. EST el miércoles, recibió un código de confirmación de restablecimiento de contraseña a través de Google Voice para la cuenta de Twitter @ 6. Lucky dijo que previamente había deshabilitado las notificaciones por SMS como un medio para recibir códigos de múltiples factores de Twitter, optando en su lugar por generar códigos únicos generados por una aplicación de autenticación móvil.

Pero debido a que los atacantes pudieron cambiar la dirección de correo electrónico vinculada a la cuenta @ 6 y deshabilitar la autenticación multifactor, el código de autenticación único se envió tanto a su cuenta de Google Voice como a la nueva dirección de correo electrónico agregada por los atacantes.

«La forma en que funcionó el ataque fue que, dentro de las herramientas de administración de Twitter, aparentemente puede actualizar la dirección de correo electrónico de cualquier usuario de Twitter, y lo hace sin enviar ningún tipo de notificación al usuario», dijo Lucky a KrebsOnSecurity. «Entonces [los atacantes] podrían evitar la detección al actualizar primero la dirección de correo electrónico de la cuenta y luego desactivar 2FA».

Lucky dijo que aún no ha podido revisar si se enviaron tweets desde su cuenta durante el tiempo que fue secuestrado porque todavía no tiene acceso a él (ha reunido un desglose de todo el episodio en esta publicación de Medium) )

Pero casi al mismo tiempo que @ 6 fue secuestrado, otra cuenta de OG – @B – fue robada. Luego, alguien comenzó a tuitear imágenes del panel de herramientas internas de Twitter que muestra la cuenta @B.

Twitter respondió eliminando todos los tweets de su plataforma que incluían capturas de pantalla de sus herramientas internas y, en algunos casos, suspendió temporalmente la capacidad de esas cuentas para seguir tuiteando.

Otra cuenta de Twitter, @shinji, también estaba tuiteando capturas de pantalla de las herramientas internas de Twitter. Minutos antes de que Twitter cerrara la cuenta @shinji, se vio la publicación de un tweet que decía «follow @ 6», en referencia a la cuenta secuestrada de Lucky225.

La fuente de seguridad de la industria móvil le dijo a KrebsOnSecurity que PlugWalkJoe en la vida real es un joven de 21 años de Liverpool, Reino Unido, llamado Joseph James Connor. La fuente dijo que PlugWalkJoe está en España, donde asistía a una universidad hasta principios de este año. Agregó que PlugWalkJoe no ha podido regresar a su hogar debido a restricciones de viaje debido a la pandemia de COVID-19.

La fuente de la industria móvil dijo que PlugWalkJoe fue objeto de una investigación en la que se contrató a una investigadora para entablar una conversación con PlugWalkJoe y convencerlo de que aceptara un chat de video. La fuente explicó además que un video que grabaron de ese chat mostraba una piscina distintiva en el fondo.

Según esa misma fuente, el grupo que aparece en la cuenta de Instagram de PlugWalkJoe (instagram.com/j0e) es el mismo que vieron en su video chat con él.

Si PlugWalkJoe fue de hecho fundamental para este compromiso de Twitter, tal vez sea apropiado que fuera identificado en parte a través de la ingeniería social. Tal vez todos deberíamos estar agradecidos de que los autores de este ataque en Twitter no hayan puesto sus ojos en objetivos más ambiciosos, como interrumpir una elección o el mercado de valores, o intentar iniciar una guerra emitiendo tweets falsos e inflamatorios de los líderes mundiales.

Además, parece claro que este truco de Twitter podría haber permitido a los atacantes ver los mensajes directos de cualquier persona en Twitter, información que es difícil de ponerle precio pero que, sin embargo, sería de gran interés para una variedad de partidos, desde estados nacionales hasta espías corporativos y chantajistas.

Esta es una historia de rápido movimiento. Estén atentos para más actualizaciones. KrebsOnSecurity desea agradecer a la Unidad 221B por su ayuda para conectar algunos de los puntos en esta historia.

Fuente: https://krebsonsecurity.com/

Deja un comentario