fbpx

Włamanie na Twittera – co się kryje w cieniu scamu?

9 min
Marek Lesiuk
Bezpieczeństwo

Prócz nie milknących ech włamania dokonanego w ubiegłym tygodniu na liczne konta na Twitterze, pojawiają się nowe informacje, czemu w istocie mogło ono służyć. Oczywiście, scam sam w sobie przyniósł hakerom stosowny zysk, wyzyskując fałszywie rozumianą „chytrość” niektórych użytkowników portalu. Prócz tego jednakże, niewykluczone (a nawet wprost przeciwnie) że atak miał też drugie dno.

Zeszłotygodniowe włamanie na Twittera i przejęcie wielu kont, wykorzystanych następnie do kryptowalutowego scamu, może mieć – i zapewne będzie miało – dalej idące konsekwencje niż tylko konieczność żmudnej likwidacji skutków włamania przez administrację portalu oraz fala niekoniecznie pozytywnych komentarzy.

The walls are breached!

Jak wspominaliśmy szczegółowo, w toku włamania doszło do uzyskania przez hakerów kontroli nad kontami tak osób prywatnych, jak i prawnych, w tym tymi należącymi do sławnych osobistości i takichże firm. Konta te następnie zostały wykorzystane do popularyzacji „niepowtarzalnej okazji”, która to okazja polegała oczywiście na tym, aby (pod, w istocie, dowolnym pretekstem) przelać hakerom pieniądze w postaci kryptowaluty.

Scam był dość toporny, mało wyszukany i wprost instynktownie budzący podejrzenia przez sytuacją zbyt dobrą, aby mogła być prawdziwa. Niezależnie od tego, oszuści wyłudzić mieli ok. 120 tys. dolarów w bitcoinach. Okazuje się jednak, że wcale nie bezpośrednie oszustwo mogło być głównym celem włamania, zaś wspomniane zyski mogą zblednąć wobec znacznie donioślejszych łupów, jakie ci mogli zagrabić w toku ataku. Pojawiły się bowiem nowe informacje dotyczące ataku: zarówno sposobu, w jaki go przeprowadzono, jak i końcowego celu.

Administracja Twittera opublikowała na swoim oficjalnym blogu podsumowanie sprawy, będące jednocześnie formą wyjaśnienia, przeprosin oraz autoapologii. Jak wyjaśniono, atak nastąpił od wewnątrz – stąd jego zasięg i tempo. Hakerzy mieli zastosować zabiegi „socjotechniczne” (dosł. „społecznej inżynierii”) wobec kilku pracowników portali – czyli, po ludzku, oszukać i zmanipulować tychże – by wykraść dane autoryzacyjne i zalogować się na ich konta, dysponujące uprawnieniami administracyjnymi.

At this time, we believe attackers targeted certain Twitter employees through a social engineering scheme. What does this mean? In this context, social engineering is the intentional manipulation of people into performing certain actions and divulging confidential information.

The attackers successfully manipulated a small number of employees and used their credentials to access Twitter’s internal systems, including getting through our two-factor protections.

Nie od rzeczy będzie tu dygresja na temat tego, w jaki to sposób pracownicy portalu mogli dać się oszukać. Nie kwestionując wersji przedstawionej oficjalnie, przypuścić należy, iż gdyby któryś pracownik Twittera nie tyle został zmanipulowany, co świadomie wziął udział we włamaniu jako tzw. wtyczka – firmie zależałoby, żeby informacja taka nie uzyskała statusu publicznej.

Można by w takiej sytuacji spodziewać się opublikowanie dokładnie takiego samego oświadczenia, zrzucającego winę na manipulację personalną, bez przyznawania prawdziwego powodu. To samo podejrzewać należałoby, gdyby okazało się, iż formą „społecznej inżynierii”, wspominanej w oświadczeniu, była po prostu łapówka, lub też gdyby dane pracowników do logowania zostały wykradzione w wyniku słabości zabezpieczeń lub dziurawych procedur.

Łapać złodzieja

Korzystając z tych danych, hakerzy zainicjować mieli proces resetowania hasła wobec kont wziętych na cel użytkowników, odcinając tych ostatnich od kontroli nad ich profilami. W ogólności, liczba przejętych kont wydaje się, przynajmniej zgodnie z wersją oficjalną, mniejsza, niż to pierwotnie szacowano – ofiarą przeprowadzonego z powodzeniem włamania paść ich miało 45, wobec 130 zaatakowanych. Na scam nabrać się miało 373 użytkowników. Udziałem (zaledwie?) 8 kont (zastanawiające, że póki co, nie pojawiły się przecieki, których konkretnie) stała się dodatkowa procedura – wykorzystując narzędzie „Your Twitter Data„, hakerzy pozyskali kopię kompletu danych.

Administracja Twittera rozwodziła się szeroko (choć całkowicie bez wdawania się w szczegóły techniczne – co zresztą otwarcie przyznano, uzasadniając to względami bezpieczeństwa) o swoim zaangażowaniu w walkę z włamaniem i trosce o poszkodowanych użytkowników.

We became aware of the attackers’ action on Wednesday, and moved quickly to lock down and regain control of the compromised accounts. Our incident response team secured and revoked access to internal systems to prevent the attackers from further accessing our systems or the individual accounts. As mentioned above, we are deliberately limiting the detail we share on our remediation steps at this time to protect their effectiveness and will provide more technical details, where possible, in the future.

Opisując swoje bojowe przewagi na wojnie z hakerami, portal przyznał się do niektórych, uznanych za kontrowersyjne działań – jak wprowadzona tymczasowo blokada dodawania treści przez wszystkie zweryfikowane konta, czy przeciągające się zawieszenia niektórych uznanych za przejęte. Prócz tego, ponownie przeprosił też za całą sytuację:

We’re acutely aware of our responsibilities to the people who use our service and to society more generally. We’re embarrassed, we’re disappointed, and more than anything, we’re sorry. We know that we must work to regain your trust, and we will support all efforts to bring the perpetrators to justice.

Słowa te, faktycznie taktowne, zabrzmieć mogłyby nawet szczerze – gdyby nie zakłócała ich myśl, że chodzić tu może tyleż o komfort użytkowników (wobec których firma nigdy nie zdawała się przejawiać szczególnych sentymentów), co o podrażniony prestiż korporacyjny.

Złoto głupców i róg (cyber)obfitości

Twitter deklaruje, że podejmuje wzmożone wysiłki, aby włamanie, uznane za najgorsze w jego historii, się nie powtórzyło – choć jeśli zgodnie z oświadczeniem firmy zawinił czynnik ludzki, to nie sposób wątpić, aby tę możliwość dało się wykluczyć zupełnie. Firma była przy tym szeroko krytykowana za mało precyzyjną i nieszczególnie szybką reakcję na zachodzące wydarzenia. Choć bowiem scam na przejętych kontach zagościł raptem przez kilka godzin, to atakujący uzyskać mieli swój, jak się wydaje, główny cel, znacznie szybciej.

Krążą bowiem opinie – pochodzące m.in. od cytowanego przez portal ForkLog.com członka grupy hakerskiej globalHell, – iż cały scam był raczej zasłoną dymną, zaś cele cyber-napastników – ambitniejsze. Prawdziwą wartość przedstawiać mają adresy mailowe, numery telefonów, prywatne dane personalne, jak i zwłaszcza archiwa prywatnych konwersacji.

twitter hack - screen
Źródło: ForkLog.com

Informacje o ich wykradzeniu, jak również rozważania nt. potencjalnych konsekwencji tego (z których sprzedaż na czarnym rynku wydaje się niemal niewinna w porównaniu do możliwych prób wykorzystania tych informacji do wywierania wpływu lub manipulacji na olbrzymią skalę) pojawiły się zwłaszcza w niektórych wątkach w Darknecie.

W interesie Narodu

Czynniki te, jak się należy domyślać, będą brane pod uwagę w toku śledztwa, które w sprawie otworzyło FBI. Niezależnie od Biura (które w takich wypadkach ma pierwszeństwo jurysdykcyjne), w tej sprawie własne śledztwa wszczeły także organy finansowe oraz prokuratura stanu Nowy Jork. Zaś senator Roger Wicker, przewodniczący senackiej komisji handlu, zażądał, aby do 23-go lipca bieżącego roku, Twitter przedstawił komisji szczegóły techniczne ataku (komisje kongresowe w USA w określonych aspektach mają prawo wydawać wezwania o mocy prawnej analogicznej do wezwań sądowych). Wicker, republikanin z Missouri (notabene – podobnie jak Josh Hawley, który w zeszłym tygodniu jako pierwszy senator zareagował na włamanie) powołał się na zagrożenie dla bezpieczeństwa narodowego USA.

Prócz wątku czysto kryminalnego (tj. nielegalnych zysków cyberprzestępców), atak może mieć też istotne konsekwencje w dziedzinie ekonomii i bezpieczeństwa. Archiwa prywatnych wiadomości właścicieli czy prezesów niektórych z największych firm na świecie mogą mieć olbrzymie znaczenie biznesowe. Wedle niektórych opinii, informacja jest we współczesnej gospodarce najcenniejszym towarem; na kwoty jakiego rzędu można by w tych warunkach wycenić informację finansową czy technologiczną pochodzącą bezpośrednio od Jeffa Bezosa, Warrena Buffeta czy Elona Muska? I jak takie informacje mogłyby wpłynąć na całe branże, których by dotyczyły?

Za równie znaczącą uznać należy kwestię bezpieczeństwa – archiwa prywatnych rozmów byłych i obecnych polityków mogą zawierać potencjalnie ogromne ilości wrażliwych informacji, w tym tych kompromitujących konkretne sprawy lub osoby, czy też zawierających dane wrażliwe bądź utajnione. Dane te mogłyby posłużyć do wywarcia przemożnego wpływu na czynniki polityczne, bądź też mieć olbrzymie znacznie z punktu widzenia polityki państwowej (zwłaszcza w zagadnieniach finansowych, militarnych, wywiadowczych, kryminalnych, etc.).

„Wolność to uświadomiona konieczność”

Sprawa, mimo braku dostrzegalnej afiliacji ideowej czy politycznej sprawców, zdążyła już częściowo nabrać charakteru politycznego. W toku włamania mogło bowiem dojść do wycieku nie tylko prywatnych danych użytkowników, ale także „wewnętrznych” informacji Twittera, w tym tych sugerujących użycie specjalnych narzędzi, sztucznie zawyżających lub zaniżających zasięgi zgodnie z preferencjami administracji, a także służących do tzw. shadow banning’u, czyli praktyki blokowania jakiejkolwiek widoczności użytkownikom, którzy nie złamali regulaminu, ale których poglądom administracja jest niechętna.

Zagadnienie może być o tyle istotne, że w USA toczy się obecnie debata polityczna nt. odpowiedzialności prawnej wielkich firm technologicznych. Dotąd, zgodnie z ustawą Communications Decency Act, firmy te uważane były za dostarczycieli usług komunikacyjnych, i jako takie nie odpowiadają za publikowane za ich pośrednictwem treści. Wedle jednak tej samej ustawy, wydawcy i publikatorzy, którzy świadomie nadają konkretną wymowę swoim treściom, ponoszą już za nie prawną odpowiedzialność.

Wiele emocji budzi przy tym kwestia stosowania cenzury treści w mediach społecznościowych. Prócz społecznych resentymentów wobec takich działań, z rosnącym natężeniem podnoszą się głosy, iż cenzurowanie czy agresywne „moderowanie” treści sprawia, iż podmiot zmienia charakter prawny, stając się wydawcą – a co za tym idzie, traci prawną ochronę. I w istocie, niecałe dwa miesiące temu prezydent Donald Trump wydał rozporządzenie wykonawcze w tej kwestii, nakazując traktowanie firm stosujących praktykę cenzurowania treści czy też politycznie motywowanego manipulowania wynikami za nie podlegających ochronie przepisów Communications Decency Act.

Szefostwo i pracownicy Twittera są uważani za zdecydowanie sympatyzujących z poglądami lewicowymi (w amerykańskiej terminologii – „liberalnymi”) i popierających takież stanowiska polityczne. Oficjalnie jednakże, portal deklaruje polityczną i światopoglądową bezstronność w ocenie i moderacji treści. Ujawnione informacje mogą potwierdzić podnoszone pod adresem firmy i nasilające się ostatnimi czasy oskarżenia, że jej oficjalne stanowisko stoi w rażącej sprzeczności z praktyką – i w istotny sposób zaważyć na jej pozycji prawnej (a co za tym idzie, i biznesowej).

Królik z kapelusza

Dość niespodziewanie okazało się, że – być może – natknięto się na ślad napastników. Wedle informacji przekazanych przez New York Times’a, jeden z uczestników ataku odbył rozmowę (z zachowaniem anonimowości, rzecz jasna) z przedstawicielem gazety. Wedle relacji rzeczonego hakera, używającego pseudonimu „lol”, atak przeprowadzić miało zaledwie kilka osób, nie znających się osobiście. Prócz niego, centralnymi postaciami przedsięwzięcia mieli być użytkownicy „Kirk” oraz „ever so anxious”.

Komunikowali się oni za pośrednictwem kont na Discordzie oraz OGusers.com. i tam też mieli się „poznać”, nawiązując następnie motywowane wspólnym – przynajmniej do pewnego stopnia – celem. Dyskutowali oni o nickach na Twitterze, zwłaszcza tymi krótkimi (jednowyrazowymi, kilku- bądź nawet jednoznakowymi), które, nieoficjalnie, dla pragnących ich użytkowników potrafią być bardzo cenne, w wymiarze jak najbardziej finansowym.

Hackers conversation - discord - screen
Żródło: The New York Times

Jak wynika z relacji, „lol” dysponować miał kontaktami do chętnych nabywców, „Kirk” zaś odpowiadać za aspekt logistyczno-finanowy. Z opisu nie wynika, kiedy grupa miała wejść w posiadanie danych do logowania na konta administracyjne na Twitterze – wspomina jedynie, że dane te „Kirk” miał znaleźć na firmowym kanale Twittera na Slacku, przypięte do głównych konwersacji. Oczywiście nieodgadnionym pozostaje pytanie, w jaki sposób udało mu się uzyskać dostęp do wewnętrznego kanału komunikacyjnego firmy (bardzo fragmentarycznej odpowiedzi udzieliło na nie omawiane wcześniej oświadczenie firmy).

Czy ktoś widział hakera?

Zdobywszy dostęp administracyjny, grupa poczęła handlować nickami, inkasując wpłaty na zarządzany przez „Kirka” adres. „lol” w rozmowie z dziennikarzem zaznaczył, iż on sam planował ograniczyć się do tego, a także, ewentualnie, okazjonalnego przejęcia kontroli nad niektórymi zwykłymi kontami o odpowiadających jego zainteresowaniom nazwach (zupełnie jak gdyby ograniczenie ataku do prywatnych kont, nie należących do sławnych postaci czy dużych firm, miało być w jakikolwiek sposób bardziej nobliwe niż włamanie skierowane przeciw celebrytom).

Przedsięwzięcie, jak się okazało, zaczęło jednak żyć własnym życiem. Pod nieobecność wspólników, w nocy ze środy na czwartek, 15/16 lipca, „Kirk” przejął wymieniane już uprzednio konta szeregu sławnych nazwisk i marek, rozpoczynając swój scam bitcoinowy. To prawdopodobnie także on wykonał kopie kompletów danych wybranych kont – tak wynikałoby z chronologii ataku.

Jak wynika z informacji płynącej od czołowych nemezis kryptowalutowej prywatności, firm Elliptic i Chainalysis, „Kirk” miał natychmiast po otrzymywaniu wpłat na opublikowany przez siebie adres transferować środki dalej. Przypuszczać należy, iż zastępy ekspertów – tak państwowych, jak i firmowych oraz indywidualnych, głowią się obecnie nad analizą dalszej drogi tych środków.

Gdy „lol” oraz „ever so anxious” zalogowali się w sieci we czwartek rano, spotkała ich niespodzianka równie zaskakująca, co rodząca jeszcze więcej pytań niż odpowiedzi – „Kirk”… zniknął. Biorąc pod uwagę złożoność i kaliber sprawy, można być stosunkowo pewnym, że ciąg dalszy, jakikolwiek by był, prędzej czy później nastąpi.

Dodaj komentarz