Twitter Big Hack, che cosa è successo veramente?

Twitter Big Hack, che cosa è successo veramente?

Twitter Big Hack, che cosa è successo veramente?

Lo scorso 15 luglio il social network Twitter è stato colpito da un clamoroso attacco hacker: a essere presi di mira sono stati gli account di 130 celebrità, tra cui personaggi con milioni di follower, come Barack Obama, Elon Musk, Kanye West, Warren Buffett e Bill Gates.

Gli account sono stati utilizzati dagli hacker per una “frode Bitcoin”, ossia per l’invio di un messaggio (sempre lo stesso) in cui si affermava che i Bitcoin inviati a un determinato indirizzo sarebbero stati raddoppiati. Quindi il personaggio preso di mira (come ad esempio Jeff Bezos, nell’immagine sotto) prometteva di resituire, ad esempio, duemila dollari in Bitcoin a chi ne inviava mille all’indirizzo pubblicato. In questo modo gli hacker sono riusciti a truffare molte persone, ricevendo in poche ore centinaia di trasferimenti (si stima per un totale di circa 120mila dollari).

twitter hack

 

In realtà le “Bitcoin scam”, truffe volte a sottrarre criptovalute ad utenti poco accorti, sono state in gran voga negli ultimi anni, e spesso sono state basate su “impersonificazioni” di personaggi famosi. Ad esempio, Elon Musk è stato preso di mira più volte: già lo scorso giugno, su YouTube, finti Elon Musk promettevano di raddoppiare i bitcoin inviati. Altre volte, nel 2018, erano sempre account rubati e poi utilizzati con la foto di Musk a distribuire Bitcoin.

Quindi, a una prima vista l’evento del 15 luglio sarebbe sembrato una classica frode Bitcoin, se non fosse che questa volta gli hacker avevano il pieno controllo di “veri” account Twitter, e di personaggi di primo piano del mondo politico e sociale USA: da Jeff Bezos a Barack Obama, Joe Biden, Mike Bloomberg, o grandi corporation.

Twitter naturalmente ha cancellato i tweet e si è messa subito al lavoro con le proprie forze investigative (oltre che con l’intervento dell’FBI) per capire se gli hacker avessero anche trafugato dati privati appartenenti ai possessori degli account, tra cui messaggi diretti a propri contatti (direct messages, DM). A quanto pare, come riportato successivamente dallo stesso social network, questo è avvenuto almeno per 8 account.

 

 

Cos’è successo durante l’attacco?

A quanto è dato sapere oggi, la frode è partita da una serie di account collegati a Bitcoin: inizialmente sembrava una classica “Bitcoin scam”, la promessa di restituire il doppio della cifra in Bitcoin una volta ricevuta una prima donazione a uno specifico indirizzo.

A un certo punto però è apparso evidente che anche un buon numero di account Twitter di celebrità, tra cui Kim Kardashian e l’ex vice presidente Joe Biden, o le aziende Apple e Uber, avevano cominciato anche loro a twittare il Bitcoin scam. Twitter, accortasi dei fatti, ha tentato di contenere l’attacco bloccando le attività per tutta una serie di utenti, ma gli attaccanti sono stati in grado di bypassare queste misure di sicurezza sugli account, in quanto erano riusciti in via preliminare (almeno un giorno prima) ad accedere ai sistemi amministrativi interni del social network.

twitter hack

È stato osservato però che a differenza degli altri account, quello del Presidente Trump è scampato all’attacco: segnale questo che il Presidente gode di misure extra di sicurezza. Già da tempo si pensava che fossero state predisposte misure speciali, dopo che un dipendente di Twitter aveva disattivato l’account di Trump nel 2017.

Il fatto che gli hacker siano riusciti ad entrare in possesso di credenziali dei dipendenti Twitter (andando oltre l’autenticazione a 2 fattori), e quindi ad avere il controllo degli ambienti amministrativi interni, è stato considerato fin da subito un elemento molto grave che ha caratterizzato questo attacco (definito anche “il più grave attacco hacker della storia a Twitter”).

Che cosa sappiamo ad oggi sugli attaccanti?

Come al solito, le tracce lasciate dagli hacker non hanno reso semplice l’attribuzione: i Bitcoin difficilmente riescono ad essere tracciati, e i 3 wallet separati di criptovalute utilizzati dagli attaccanti sono stati svuotati velocemente. Inizialmente le strade seguite per individuare gli hacker sono state quelle di ricercare di nuovo eventuali “vanterie” sui social network.

Si sospettava comunque che l’hack fosse un tipo di campagna di account take-over piuttosto frequente per i social network: una volta ottenute tutte le informazioni su un account, comprese quelle più personali come i messaggi privati (DM) gli hacker le rivendono sul darkweb. A questa è stata poi aggiunta la raccolta di Bitcoin, che però non ha portato a un risultato eclatante (120mila dollari non è poi questa gran somma).

Venerdì 17 luglio però – colpo di scena –  il New York Times ha pubblicato un articolo in cui affermava di aver parlato con un gruppo di giovani che avrebbero partecipato all’attacco. Si sarebbe quindi trattato quasi di un gioco che ha coinvolto, tra l’altro, un ragazzo che vive ancora con la madre. Il giornale ha dichiarato di essere stato contattato da alcune persone legate all’attacco, che avrebbero presentato delle prove (log, screenshot, chat e registrazioni di chiamate su Discord) che provano il loro coinvolgimento.

Alcuni membri di questo gruppo di persone, riunitesi online inizialmente per hackerare profili poco conosciuti, hanno iniziato ad “attaccare” anche account molto più popolari, come appunto quelli dei personaggi di spicco coinvolti.

Qual è stata quindi la dinamica dell’attacco?

Come è stato poi ricostruito (su Motherboard e sul sito di Brian Krebs), l’attacco avrebbe inizialmente preso di mira alcuni dipendenti di Twitter, per prendere il controllo di sistemi interni e avere accesso ad alcuni account  di alto profilo. Sul sito di Krebs on security è riportato uno screenshot che mostra uno strumento interno della consolle Twitter: è apparso dall’account @shinji, che, pochi minuti prima di essere forzatamente chiuso da Twitter, ha lanciato un altro tweet dicendo “follow @6” riferendosi ad un altro account appena hijacked.

twitter hack

La sofisticazione con cui si sono mossi gli attaccanti fa supporre che si tratti di una gang specializzata nell’hijacking di account social media tramite la tecnica del “SIM swapping” (tramite lo scambio o il cambio di SIM, permette di intestare su una propria SIM il numero di un altro. In questo modo si ha l’accesso ai suoi account, accedere ai messaggi SMS di OTP, ecc: ne abbiamo parlato qui).

Inizialmente la gang aveva preso di mira alcuni account “OG” (sta per “original gangster”, sono account corti come @B o @joe, il cui possesso conferisce uno status particolare, oltre la possibilità di rivenderli per migliaia di dollari nei mercati underground). Poi qualcosa ha preso una direzione diversa, perché i ragazzi intervistati dal NYT hanno affermato di essersi fermati quando alcuni della banda, tra cui un hacker di nome “Kirk”, hanno iniziato ad attaccare account di personaggi celebri.

Quali conclusioni possiamo trarne?

Insomma, se tutto o quasi sembra spiegato, non sono mancate le rimostranze da parte di vari politici americani, le richieste di chiarimento al Ceo di Twitter Jack Dorsey, e più in generale, le preoccupazioni sulle conseguenze che un attacco di questo tipo potrebbe avere, ad esempio, durante una campagna elettorale. Prendere il controllo veloce, automatico, irreversibile di numerosi profili social può essere oggi equiparato a un rischio altissimo per la stessa sicurezza nazionale, vista la possibilità di creare confusione, disinformazione e nel peggiore dei casi anche panico in grandi numeri di persone. L’attacco ha anche messo in evidenza un altro tema: la facilità con cui è possibile, prendendo di mira chi lavora in un’organizzazione, con social engineering e altre tecniche sofisticate, ottenere il controllo di sistemi critici come possono essere le consolle di amministrazione. E’ evidente che il livello di sicurezza interna in organizzazioni che si possono oramai definire a tutti gli effetti “infrastrutture critiche” deve essere profondamente rivisto.

A cura di:

Elena Vaciago

@evaciago

Associate Research Manager, The Innovation Group