Útok na VIP Twitter účty začal s Yoo bro a chamtivosťou

Útok na VIP Twitter účty začal s Yoo bro a chamtivosťou

Na hackerských útokoch na sociálnej sieti Twitter spolupracovali ľudia vo veku 19 a 20 rokov, ktorí sa ku svojej účasti prihlásili. Útoky boli zamerané na politické, podnikové a kultúrne elity. Začali správou medzi dvoma hackermi na online platforme pre zasielanie správ Discord.

„Yoo bro“, napísal používateľ s názvom „Kirk“ podľa snímky z konverzácie. „Pracujem pre Twitter / neukazuj to nikomu / vážne.“ Potom ukázal, že môže prevziať kontrolu nad známymi účtami na Twitteri. Niečo, čo vyžadovalo „zamestnanecký“ prístup k počítačovej sieti spoločnosti.

Hacker, ktorý dostal správu používa prezývku „lol“. V priebehu nasledujúcich 24 hodín zistil, že „Kirk“ v skutočnosti pre Twitter nepracuje. Zdal sa mu príliš ochotný poškodiť vlastnej firme.

Kirk však mal prístup k najcitlivejším nástrojom Twitteru, ktoré mu umožnili prevziať kontrolu nad takmer akýmkoľvek účtom na sieti, vrátane bývalého prezidenta Baracka Obamu, Josepha R. Bidena ml., Elona Muska a mnohých ďalších známych osobností.

Spôsob, ako to spravil, bol doteraz záhadou.

Na začiatku bola chamtivosť

Štyria hackeri nakoniec hovorili s New York Times cez platformu Discord a zdieľali početné logy a záznamy rozhovorov, ktoré dokazujú ich zapojenie.

Rozhovory naznačujú, že útok nebol prácou konkrétnej krajiny alebo sofistikovanej skupiny. Namiesto toho to urobila skupina mladých ľudí, z ktorých jeden hovorí, že žije doma so svojou matkou.

Navzájom sa spoznali kvôli svojej posadnutosti vlastniť žiadané a jednoduché prezývky, najmä s jedným písmenom alebo číslom, napríklad @y alebo @.

NY Times overil, že títo štyria ľudia sa zúčastnili hacku. Porovnali ich účty na sociálnych sieťach a účty s kryptomenami, ktoré dokazovali vzájomné prevody, ako tvrdili.

Na základe analýzy bitcoinových transakcií ústrednú úlohu pri útoku zohral hacker s prezývkou „Kirk“. Avšak jeho identita ani motivácia nie sú jasné. A tiež ani to, ako sa Kirk dostal k účtom ľudí, ako sú Biden a Musk.

Hackeri s prezývkou „lol“ a „ever so anxious“, povedali, že chceli hovoriť o svojej práci s „Kirkom“, aby dokázali, že mu pomáhali len s menej známymi účtami na Twitteri. Povedali, že s „Kirkom“ už ďalej nepracovali, keď neskôr toho dňa začal ďalšie útoky na známejšie účty.

„Chcel som vám len porozprávať náš príbeh, pretože si myslím, že by ste mohli objasniť naše úlohy v tomto prípade,“ povedal „lol“ v rozhovore cez Discord. Svoju skutočnú identitu neprezradil, ale povedal, že žije na západnom pobreží a má 20 rokov. „Ever so anxious“ uviedol, že má 19 rokov a žije na juhu Anglicka so svojou matkou.

Obchod s prezývkami

Kirk nemal pred útokmi veľkú reputáciu v hackerských kruhoch. Jeho profil na Discord bol vytvorený až 7. júla. Avšak „lol“ a „ever so anxious“ boli známi na webovej stránke OGusers.com, kde sa hackeri stretávajú už roky, aby kúpili alebo predali žiadané prezývky/aliasy na sociálnych sieťach.

Pre gamerov, používateľov Twitteru a hackerov sú tzv. O.G. užívateľské mená (zvyčajne krátke slovo alebo číslo) veľmi žiadúce. Tieto aliasy často zachytia prví používatelia novej online platformy, tzv. „original gangsters“ – OG.

Používatelia, ktorí prídu na platformu neskôr, často túžia po O.G. používateľskom mene a sú ochotní zaplatiť tisíce dolárov hackerom, ktorí ich ukradnú svojim pôvodným vlastníkom.

Kirk sa spojil s „lol“ a „ever so anxious“ na Discorde a opýtal sa, či by chceli byť jeho sprostredkovateľmi pri predávaní Twitterových účtov online podsvetiu, kde boli známi. Z každej transakcie mali mať podiel.

V rámci jednej z prvých transakcií sprostredkoval „lol“ obchod pre niekoho, kto bol ochotný zaplatiť 1 500 dolárov v bitcoinoch za užívateľské meno na Twitteri @y. Peniaze išli do tej istej bitcoinovej peňaženky, ktorú použil „Kirk“ neskôr, keď dostal platby za hackovanie účtov celebrít, ako ukazuje verejná kniha bitcoinových transakcií.

Skupina uverejnila inzerát na serveri OGusers.com a ponúkla Twitterové prezývky výmenou za bitcoiny. „ever so anxious“ si vzal prezývku @anxious, po ktorej dlho túžil. (Jeho osobné údaje sú stále umiestnené na pozastavenom účte.)

„Prišiel som nato, že je super mať užívateľské meno, po ktorom iní túžia,“ povedal pri rozhovore „ever so anxious“. Skupina okrem iných odovzdala prezývky @dark, @w, @l, @50 a @vague.

Kirk zvyšoval ceny

S potupom času „Kirk“ za prezývky pýtal stále viac peňazí. Ako dôkaz, čo dokáže, ukázal svoj prístup k Twitter účtom. Dokázal rýchlo zmeniť bezpečnostné nastavenia ľubovoľného účtu a rozoslať fotografie vnútorných dashboardov, ako dôkaz toho, že prevzal kontrolu nad požadovanými účtami.

Jedným zo zákazníkov skupinky mladíkov bol ďalší obchodník s prezývkami známy aj ako  „PlugWalkJoe“. Práve on bol predmetom článku bezpečnostného novinára Briana Krebsa, ktorý identifikoval hackera ako kľúčového hráča pri vniknutí do Twitteru.

Protokoly Discordu ukazujú, že „PlugWalkJoe“ získal účet na Twitteri @6 prostredníctvom „ever so anxious.“ V ďalších konverzáciach sa však už neobjavil. „PlugWalkJoe“, ktorý uviedol, že sa volá Joseph O’Connor, v rozhovore dodal, že keď sa stali tieto veci, tak bol na masáži neďaleko svojho súčasného bydliska v Španielsku.

Bol som na masáži, keď ich hackli

„Je mi to jedno,“ povedal O’Connor, ktorý prezradil, že má 21 a je Brit. „Môžu ma zatknúť. Zasmial by som sa im. Nič som neurobil.“

O’Connor povedal, že iní hackeri ho informovali, že „Kirk“ získal prístup k prihlasovacím údajom Twitteru, keď našiel cestu do Twitterového interného Slacku a videl tam posty. Tak sa dostal ku informáciám, ktoré mu umožnili prístup k serverom spoločnosti. Ľudia, ktorí vyšetrovali prípad uviedli, že je to v súlade s tým, načo doteraz prišli.

Hovorca Twitteru odmietol informácie komentovať s odvolaním sa na aktívne vyšetrovanie.

Darujte bitcoin, budete bohatí

Chlapci založili aj stránku na zbieranie kryptomeny – cryptoforhealth.com. Následne Kirk  vystupňoval svoje ambície a tweetoval z účtov patriacich celebritám ako Kanye West a technologickým titanom ako Jeff Bezos: Pošlite bitcoin na konkrétny účet a vaše peniaze sa zdvojnásobia.

Po pár hodinách sa zdalo, že Twitter dohnal útočníka a správy sa zastavili. Spoločnosť však musela vypnúť prístup pre široké skupiny používateľov a o niekoľko dní neskôr spoločnosť stále zhromažďovala informácie o tom, čo sa stalo.

Twitter v blogu uviedol, že útočníci zacielili na 130 účtov. Z toho 45 použili na posielanie tweetov a z ôsmich skopírovali dáta. „Sme si vedomí našej zodpovednosti voči ľuďom, ktorí využívajú naše služby, a voči spoločnosti všeobecne,“ píše sa v blogu. „Sme v rozpakoch, sme sklamaní a je nám ľúto.“

Kirk sa medzitým vypol a prestal komunikovať aj so sprostredkovateľmi.