fbpx

Zatrzymano sprawców mega włamania na Twittera. Co dalej?

Marek Lesiuk
Clark - Twitter hack Cyberprzestępczość

Hakerzy, stojący za sławnym włamaniem na Twittera, w wyniku którego przejęto wiele kont sławnych osób oraz firm, zostali zatrzymani. Tajemnicą jednak pozostają szczegóły tak ich działalności, jak i operacji służb policyjnych. Jest o tyle istotne, że podany oficjalnie przebieg wypadków budzi więcej niż kilka wątpliwości.

Ostatniego dnia lipca, w wyniku kombinowanej operacji licznych agencji federalnych i stanowych USA, doszło do aresztowania, wytropionego w tzw. międzyczasie, głównego sprawcy ataku na Twittera sprzed dwóch tygodni. Okazało się, iż ma nim być 17-letni uczeń z Tampa na Florydzie, niejaki Graham Ivan Clark, znany pod pseudonimem „Kirk”.

Gdzie kucharek sześć

Śledztwo, w wyniku którego Clark został zlokalizowany i zatrzymany w wyniku śledztwa, na które złożył się zbiorowy wysiłek prokuratorów z Florydy oraz Kalifornii, Federalnego Biura Śledczego (FBI), Służby Przychodów Wewnętrznych (IRS), Sekretnej Służby Stanów Zjednoczonych (USSS), a także rozmaitych stanowych organów policyjnych, w tym lokalnych szeryfów oraz Departamentu Egzekwowania Prawa Florydy (FDLE). Dodatkowo w sprawę zaangażowano jeszcze brytyjską Narodową Agencję Kryminalną (NCA) oraz firmy Excygen i Chainalysis.

W międzyczasie, podobne grono instytucji uczestniczyło w obławie na dwie inne osoby zamieszane jakoby w atak i współpracujące z Clarkiem. 22-letni Nima Fazeli, ps. „Rolex”, pochodzić ma z Orlando, także na Florydzie, podczas gdy Mason John Sheppard aka „Chaewon”, 19 wiosen, jest mieszkańcem południowej Anglii. Obydwaj mieli w tym samym czasie zostać zatrzymani przez smutnych panów ze stosownych, trzy- lub czteroliterowych służb.

Tak liczne grono urzędów zainteresowanych w postępowanie może być częściowo tłumaczone charakterem sprawy – zahaczającej zarówno o zagadnienia dotyczące bezpieczeństwa informacyjnego i cybernetycznego, jak i spraw finansowo-podatkowych (które w USA są ścigane nierzadko z większym zaangażowaniem, niż pospolite przestępstwa), choć, zdaniem złośliwych, kombinowana operacja tylu służb w celu zatrzymania mieszkających z rodzicami uczniów lub studentów stanowiłaby zapewne tzw. overkill.

Akt oskarżenia, przedstawiony Clarkowi przez prokuratora stanowego 13 okręgu sądowniczego na Florydzie w Hillsborough, wymienia 30 zarzutów – siedemnastokrotnego „Oszustwa komunikacyjnego„, jedenastokrotnego „Nieuczciwego wykorzystania informacji personalnych„, a także pojedynczego „Zorganizowanego oszustwa” oraz „Nieuprawnionego dostępu do urządzenia (…)„. Sheppard oskarżony jest – ale przez prokuraturę federalną dla północnego okręgu Kalifornii, nie zaś stanową z Florydy – o „Spisek w celu popełnienia zdalnego oszustwa, włamania komputerowego lub prania pieniędzy„, podczas gdy Fazeli’ego ta sama prokuratura wyróżniła pojedynczym zarzutem „Włamania komputerowego„.

To nie jest zwykły 17-latek

W toku przesłuchania sądowego w sobotę, 1 sierpnia, sędzia wyznaczył Clarkowi kaucję w wysokości 725 tys. dol. Zgodnie z prawem Florydy, aby wyjść z celi na czas trwania procesu, musi on wpłacić dziesiątą część tej sumy. Nawet jednak po tym będzie ograniczony reżimem aresztu domowego oraz przymusem noszenia urządzenia namierzającego.

Prokuratura wnioskowała o kaucję w wysokości miliona dolarów za każdy zarzut, łącznie – drobne 30 mln. Na pierwszy rzut oka wygląda to na złośliwość, mającą uniemożliwić Clarkowi odpowiedzialność z wolnej stopy, jednak sprawa ma drugie dno. Otóż w wygłoszonym na sali sądowej twierdzeniu, iż nie jest on zwyczajnym 17-latkiem i nie powinien być traktowany jak takowy, może być naturalnie trochę oratorskiej przesady, jednak, w istocie, istnieje czynnik wyróżniający go na tle rówieśników.

Mało który bowiem uczeń dysponuje kwotą 3 mln dol. w Bitcoinach; tymczasem główny oskarżony – i owszem. Co więcej, fakt ten został sądownie potwierdzony. Rok wcześniej bowiem, środki te były przedmiotem dochodzenia prawnego, i nawet zostały na tę okoliczność zajęte – jednak gdy postępowanie zakończyło się umorzeniem, aktywa te zostały zwrócone Clarkowi.

Fakt posiadania takiej sumy prokuratura próbowała potraktować jako okoliczność obciążającą – twierdząc, iż jest fizycznie niemożliwe, aby 17-latek zgromadził takie środki uczciwie i wnosząc o ich zablokowanie – jednak adwokat Clarka kontrargumentował stwierdzeniem, iż fakt zwrócenia zasobów krytpowaluty po dochodzeniu dowodzi ponad racjonalną wątpliwość, iż majątek ten jest legalny. W związku z tym, niewykluczone jest, że domniemany „Kirk” wpłaci swoją kaucję w BTC.

Nie wiadomo natomiast, póki co, na temat ustaleń co do kaucji w odniesieniu do dwóch pozostałych oskarżonych – a także starań o ewentualną ekstradycję poddanego brytyjskiego do USA. W odróżnieniu od Clarka, mają oni być oskarżeni przed sądem federalnym w Kalifornii, nie stanowym na Florydzie. Jest to cokolwiek dziwne, biorąc pod uwagę fakt, że Fazeli także pochodzi z Florydy. Znaczenie może tutaj mieć ten fakt, że Clark jest formalnie niepełnoletni – z drugiej jednak strony ma on, zgodnie z oświadczeniem prokuratora, być sądzony jak dorosły. Skąd zatem ta rozbieżność?

Pytania, pytania

Seria dziarsko brzmiących oświadczeń prokuratorów i policjantów, upewniających opinię publiczną, że wszyscy winni będą ukarani, a każde kolejne włamanie tego typu – nieuchronnie wyśledzone i ścigane, rodzą więcej pytań niż odpowiedzi. Tempo rozwiązania sprawy jest zaiste imponujące – i zupełnie nie korespondujące z typową praktyką w sprawach włamań hakerskich, oszustw elektronicznych i kradzieży danych, w których śledztwa ciągną się miesiącami i często dalekie są od dostarczenia pożądnych efektów.

Wedle oficjalnej wersji, Clark miał „wynająć” Shepperda i Fazeli’ego, by służyli jako jego pośrednicy w procesie „manipulowania” pracowników Twittera, tak, aby ci podzielili się swoimi danymi do logowania. Hakerzy mieli przy tym rzekomo udawać pracowników wewnętrznego wsparcia IT firmy. W jaki konkretnie sposób kilku uczniom i studentom udało się oszukać ich tak zręcznie i przekonująco, aby poradzić sobie ze wszystkimi firmowymi procedurami bezpieczeństwa oraz z odruchami wykształconymi w toku szkoleń z zakresu bezpieczeństwa – a byłoby dziwne, gdyby w Twitterze takowych nie przeprowadzano – pozostaje zastanawiającą tajemnicą.

Kolejną rzeczą wartą przemyślenia jest śledztwo i jego postępy. Policyjne ogary łowcze miały ponoć namierzyć Shepperda i Fazeli’ego, śledząc dokonywane przezeń transfery kwot w BTC, a uzyskanych przezeń w wyniku scamu. A ich pozytywną identyfikacja pochodzić miała… z danych podanych przez nich samych w toku procedur KYC na giełdach Binance i Coindesk, których użyli do przelewu zysków. Obydwaj mieli użyć swojego prawa jazdy, przysłowiowo całując pierścień giełdy (tj. „weryfikując się”).

Po zastanowieniu się, ciężko nie dojść do dość oczywistego wniosku – „co, proszę?!„. Hakerzy, którzy mieli być tak sprytni, aby oszukać pracowników Twittera, mieli popełnić tak nieprawdopodobnie głupi, kardynalny i oczywisty nawet dla dzieci błąd, jak transferowanie nielegalnych zysków na konta opiewające na ich prawdziwe nazwiska…? Przecież równie dobrze mogliby oni w ogóle się nie maskować i występować pod nazwiskami, nie pseudonimami – efekt byłby ten sam. Analizując kwestię logicznie – ta wersja wydarzeń jest po prostu absurdalna.

Najciemniej pod latarnią

Kwestii, które budzą co najmniej znaczące uniesienie brwi (względnie sarkastyczny uśmiech) jest więcej – i choć większość z nich budzić może właśnie lektura oficjalnych oświadczeń, to równie istotne jest to, czego nie powiedziano. Dla przykładu – o ile poinformowano, w jaki sposób miano (rzekomo) wyśledzić „Rolexa” i „Chaewona”, o tyle zaniechano podania, jak śledczy dotrzeć mieli do „Kirka”. Oczywiście, możliwe, że oczywiste wskazówki znaleziono po prostu w skonfiskowanym sprzęcie dwóch powyższych, jednak czemu pozostaje to owiane tajemnicą?

Podobnie zastanawiająca jest zupełny brak jakichkolwiek odniesień w materiałach ze śledztwa, które tyczyłyby się persony o pseudonimie „lol”. O ile „Chaewona” utożsamia się także z pseudonimem „ever so anxious”, o tyle brak jakiejkolwiek indykacji, aby „Rolex” był tą samą osobą, co „lol”. Ten ostatni, a także „ever so anxious”, byli wspólnikami „Kirka” w planowaniu ataku na Twittera, którzy jednak (przynajmniej w odniesieniu do „lol-a”) mieli nie planować tego, co on – skutkiem czego ich drogi się rozeszły. Tak przynajmniej twierdził ten ostatni, do którego dotarł New York Times. Biorąc pod uwagę, że informacje te zostały opublikowane przez gazetę, wydaje się skrajnie nieprawdopodobne, by nie natrafił na tę relację nikt z licznych agencji prowadzących postępowanie. Tymczasem wzmianek brak.

Skąd miałby wynikać ten brak? Czyżby (co ponownie wydaje się skrajnie nieprawdopodobne) informacje te zostały przeoczone, czy też świadomie pominięte? A jeśli to drugie, to dlaczego miałoby się tak stać? Czy postać ta była w istocie współpracownikiem „organów”, nie udało się ustalić jej tożsamości i/lub roli, czy też jest ku temu inny powód? Co więcej – prokuratorzy powinni spodziewać się tych pytań, skoro publika została przez gazetę poinformowana o istnieniu tegoż zainteresowanego. A mimo to, kwestię pominięto – dlaczego?

Co się komu pomyliło?

Wydaje się, że nie będzie także od rzeczy poruszyć kilka kwestii, które wydają się oczywiste, jednak niekoniecznie takimi są. Na przykład – czemu Clark, nawet w sytuacji, w której uzyskałby dostęp do narzędzi administracyjnych Twittera, miałby w ogóle angażować się w toporne i niemożliwe do ukrycia oszustwo? Skoro posiada 300 BTC, wartych obecnie znacznie ponad 3 mln dol., to po co mu zyski ze scamu opiewające na marne 120 tys. dolarów, za cenę zwrócenia na siebie uwagi wszelkich możliwych cybernetycznych komórek i agencji policyjnych?

Jak wielokrotnie również wspominano, pieniądze z oszustwa to tzw. pikuś w porównaniu do tego, jakiej wartości dane (obojętnie czy mowa o wartości finansowej, czy politycznej lub technicznej) można było ukraść, dysponując prywatnym dostępem do takich kont, jakie padły ofiarą włamania. Stąd, w dyskusjach internetowych natknąć się można na pytania, po co komu było samo to oszustwo – skoro o wiele cenniejsze dane można było skopiować dużo dyskretniej, potencjalnie nie zwracając niczyjej uwagi przez znacznie dłuższy czas (i tym samym zdobywając czas na uzyskanie dostępu do znacznie większej ilości kont)?

Nie będą w tym kontekście zaskakujące hipotezy (oczywiście – w żaden sposób nie udowodnione, stąd pozostające wyłącznie spekulacjami), iż prymitywny scam stanowić miał w istocie zasłonę dymną dla kradzieży danych, i na kryptowalutowym oszustwie skupić się miała uwaga organów ścigania oraz publiki. Co więcej – założenie to wydaje się częściowo zasadne; bowiem mimo zwrócenia uwagi na potencjalny wyciek informacyjny, dużo więcej uwagi poświęca się właśnie oszustwu.

Wspomniana hipoteza prowadzi z kolei do kolejnego, spekulatywnego (choć bynajmniej nie wykluczonego przez rozwój wydarzeń) wniosku – wedle którego trójka aresztowanych, na czele z Grahamem Clarkiem, występowała w istocie w roli tzw. słupów, którym dostały się ledwie ochłapy (w postaci wspominanych 120 tys. dol), zaś prawdziwym beneficjentem włamania miałby być kto inny. Prócz braku dowodów na potwierdzenie takiej tezy, brakuje tu jednak także choćby pomysłu, im miałby być ów beneficjent.

Pomija ona także to, że 17-latek, który wszedł w posiadanie 3 milionów w Bitcoinach, niespecjalnie nadaje się do roli nie wyróżniającego się słupa. Dysponując takim majątkiem, powinien zresztą być on z założenia na tyle inteligentny, by nie przyjąć tak łatwo roli wiążącej się z tak dużym ryzykiem za relatywnie niewielki profit.

Interesujące także pozostają zapewnienia samej firmy Twitter, Inc., która twierdzi, iż do pobrania przez hakerów danych personalnych za pomocą narzędzia Your Twitter Data doszło zaledwie w przypadku kilku kont, i żadne z nich nie było tym, na którym firmie naprawdę by zależało (tj. tym dysponującym „blue checkiem„). Jak głosiło oświadczenie firmy

For up to eight of the Twitter accounts involved, the attackers took the additional step of downloading the account’s information through our “Your Twitter Data” tool. This is a tool that is meant to provide an account owner with a summary of their Twitter account details and activity. We are reaching out directly to any account owner where we know this to be true. None of the eight were verified accounts.

Oświadczenie to pozostaje o tyle interesujące, że jego wymowa – „żadne ważne dane nie wyciekły” – zaskakująco nie koresponduje z oświadczeniem prokuratora 13 okręgu Florydy, który wprost przeciwnie, zdawał się wyrażać zaniepokojenie o to, jakie informacje mogły zostać skompromitowane. Jak stwierdził prokurator Andrew Warren:

This could have had a massive, massive amount of money stolen from people, it could have destabilized financial markets within America and across the globe; because he had access to powerful politicians’ Twitter accounts, he could have undermined politics as well as international diplomacy.

Któremu ze stanowisk w tej sytuacji wierzyć? I czy w ogóle któremukolwiek?

Equal protection under law

Na koniec, poświęcić można chwilę uwagi charakterystyce śledztwa. Było ono, jak już to było wspomniane, bardzo szybkie i sprawne – co jest naturalnie godne pochwały. Satysfakcję z działań służb mąci jedynie świadomość, iż sprawność ta jaskrawo kontrastuje z tym, czego mogą się spodziewać ofiary typowych włamań do prywatnych komputerów, szkół czy szpitali.

Co więcej, stanowiło efekt wspólnego wysiłku bardzo licznych agencji, które jednak rzadko podejmują tak zbiorowe działania – chyba, że jest ku temu jakiś powód. Dlaczego w tym przypadku miałoby dojść do tak dużego zaangażowania agencji federalnych i stanowych?

Jak należy się spodziewać, pierwszorzędnym celem dla cybernetycznej machiny służb policyjnych i bezpieczeństwa powinni być np. handlarze narkotykowi czy hakerzy operujący ransomware’m – przez których wyrządzane szkody są mniej medialne, lecz obiektywnie znacznie bardziej szkodliwe od mało inteligentnego w formie twitterowego scamu. Jeśli bowiem nie chodzi tutaj o faktyczną istotność wykradzionych danych, to alternatywny wniosek przedstawia się mało zachęcająco.

Ciężko bowiem powstrzymać być może pochopną, lecz natrętną refleksje, że nie bez znaczenia dla takiej skuteczności działań policyjnych jest nie tylko to, jaki charakter miało włamanie, ale też kto padł jego ofiarą. To zaś prowadzi do oczywistego wniosku, że jest coś bardzo niewłaściwego w podejściu państwa i jego służb (w tym przypadku Ameryki, ale przecież nie tylko tam) do przestępczości internetowej, w ramach którego jedni obywatele chronieni są z większym zaangażowaniem niż inni.

Trudno bowiem zaakceptować, że ochrona mienia czy danych losowych podatników traktowana jest z pewną dozą obojętności (by sparafrazować: „przykro nam, ale niestety mamy ograniczone możliwości i zasoby…”), podczas gdy gorączkowa dbałość o wizerunek i prywatność „osób publicznych” cieszy się priorytetem i najwyższą uwagą, i bynajmniej na ograniczony budżet nie cierpi.