Bitcoiny, giełdy i wycieki, czyli jak znaleziono sprawców ataku na Twittera

dodał 3 sierpnia 2020 o 12:02 w kategorii Info, Włamania  z tagami:
Bitcoiny, giełdy i wycieki, czyli jak znaleziono sprawców ataku na Twittera

(źródło: btckeychain)

Najpierw spektakularny atak, potem spektakularna wpadka. Z jednej strony pewne zaskoczenie, z drugiej strony – czego się spodziewać po kimś, kto kontroli nad dowolnym kontem Twittera używa, by wyłudzić łącznie zaledwie 12 bitcoinów.

Najpierw na żywo relacjonowaliśmy jeden z najbardziej spektakularnych ataków ostatnich lat, w którym tajemniczy sprawcy przez grubo ponad godzinę buszowali po kontach najsłynniejszych użytkowników Twittera. Potem opisaliśmy pierwsze ustalenia dziennikarzy odnośnie sprawców i przebiegu ataku – jak się właśnie okazuje, były to ustalenia całkiem trafne. Skąd wiemy, że trafne? Z aktów oskarżenia trójki sprawców. Spójrzmy zatem do dokumentów i sprawdźmy, w jaki sposób służby wpadły na trop „hakerów”. W cudzysłowie, bo wiele hakowania tam nie było.

Kirk, lol i ever so anxious

Pseudonimy trzech głównych organizatorów ataku (Kirk był prowodyrem, dwaj pozostali odsprzedawali jego usługi innym) były już znane od dnia incydentu. Teraz wiemy, że dwaj z nich to Graham (Kirk) i Mason (ever so anxious / chaewon). W akcie oskarżenia nie ma użytkownika o pseudonimie lol, jest za to inny, o pseudonimie Rolex (czyli Nima). Jak organy ścigania ustaliły ich tożsamość?

Większość zamieszanych w sprawę i ich klientów, którym sprzedawali dostęp do pożądanych kont Twittera o krótkich lub charakterystycznych loginach, to użytkownicy forum OGUsers. To forum skupiające miłośników atrakcyjnych loginów w popularnych mediach społecznościowych (głównie Twitter i Instagram), którzy nie cofną się przed niczym, by wybrane konto przejąć. A przy okazji czasem także okraść właściciela z bitcoinów, jeśli takie znajdą. To był błąd – ponieważ baza użytkowników OGUsers i ich prywatnych czatów wyciekła kilka miesięcy wcześniej i znalazła się także w posiadaniu organów ścigania. Organy ścigania otrzymały ponadto od Discorda pełny zapis rozmów sprawców, którzy kontaktowali się ze sobą właśnie w ramach tej usługi.

Mason

Graham nie sprzedawał kont bezpośrednio – korzystał z usług pośredników, m.in. Masona. Mason ogłaszał usługę i przyjmował płatności od klientów, które następnie przekazywał Grahamowi. W czatach znaleziono adres portfela BTC, podawany wielokrotnie przez Grahama Masonowi. Analiza transferów na rachunku bc1qdme7m3zy450m5gl0w9n2mrh8t8h6448xfzdlvv pozwala dopasować je do historii czatu i poszczególnych transakcji. Pasują także kwoty – ujawnienie adresu e-mail powiązanego z kontem Twittera kosztowało 250 dolarów. To z kolei pozwala na ustalenie portfeli Masona, które obsługiwane były przez giełdę Binance. Giełda przekazała dane obu kont używanych przez Masona – oba zarejestrował na swoje imię i nazwisko, a na jednym dodatkowo wgrał zdjęcie, na którym trzyma swoje prawdziwe prawo jazdy (wymagane przez procedury Know Your Customer).

„Analiza” transferów

Dodatkowe powiązanie przez wyciek

Na podstawie danych z ujawnionej bazy OGUsers znaleziono czaty użytkownika chaewon (Masona), w których był ślad innej transakcji BTC, wychodzącej z konta powiązanego z kontami używanymi w trakcie ataku na Twittera. Do tego w bazie znaleziono adres IP firmy telekomunikacyjnej z Wielkiej Brytanii, z którego logowano się na konto chaewona. Z tego samego adresu IP logowano się także na konto użytkownika Mas. Znaleziono również wpisy chaewona, w których komunikował, że Mas to jego poprzednie konto. Konto Mas było zarejestrowane na adres e-mail masonhppy@gmail.com. Ten e-mail został także użyty podczas zakładania konta w serwisie Coinbase, gdzie Mason podał swoje prawdziwe dane osobowe i przesłał skan swojego prawa jazdy (zapewne by przejść procedury KYC). Więcej dowodów na połączenie kont chaewon / ever so anxious / mas z Masonem chyba nie trzeba.

Rolex

Inny użytkownik OGUsers, również oskarżony o udział w tej sprawie, także był pośrednikiem w sprzedaży kont.

Rolex szybko dogadał się z Kirkiem odnośnie cen i procedury sprzedaży.

W ujawnionej bazie danych OGUsers znaleziono adres e-mail przypisany do konta Rolex – damniamevil20@gmail.com. Z kolei publicznie dostępny profil konta Rolex na OGUsers wskazywał na powiązanie z kontem Discorda.

W bazie serwisu znaleziono także adres IP używany do logowania na konto Rolex. Rolex informował także w czatach, że jego konto Paypal posługuje się adresem e-mail chancelittle10@gmail.com. Ten sam adres e-mail znaleziono w czatach Roleksa z Kirkiem. W historii konta znaleziono także transakcje w BTC.

Pozostało już tylko zapytać giełdę Coinbase o dane posiadacza portfela używanego przez Roleksa. Nie będzie niespodzianką, jeśli napiszemy, że Nima Fazeli konto w Coinbase założył na swoje prawdziwe dane, posługując się skanem swojego prawdziwego, amerykańskiego prawa jazdy. Także drugie konto w Coinbase założył na te same dane i to samo prawo jazdy. Oczywiście założył jeszcze trzecie konto na Coinbase, którego używał do przyjmowania opłat za konta Twittera sprzedawane w imieniu Kirka. Także to trzecie konto założył na swoje prawdziwe dane i to samo prawo jazdy.

Poinformowanie, że ten geniusz zbrodni logował się w tym samym momencie z tych samych adresów IP na forum OGUsers, na Discorda i do swoich kont na Coinbase będzie już tylko formalnością.

Wielkiej filozofii w tym nie było

Okazuje się zatem, że dwóch współsprawców jednego z najgłośniejszych ataków w ostatnich latach popełniało przestępstwa, korzystając bezpośrednio ze swoich kont na giełdach kryptowalutowych, zarejestrowanych na ich prawdziwe dane osobowe. Równie dobrze mogli przyjmować przelewy w dolarach – trudno powiedzieć, po co to całe zamieszanie z bitcoinami (chyba że ich klienci stosowali lepsze procedury bezpieczeństwa – ale to pokaże czas). To chyba dobrze, że nadal trafiają się tacy głupi przestępcy.

Kirk, czyli Graham

Akt oskarżenia Kirka, złożony w innym stanie i zapewne według innych zasad / przepisów nie zawiera informacji o tym, jak go namierzono. Co ciekawe, dokument wskazuje, że jego atak na Twittera zaczął się już półtora miesiąca wcześniej, 3 maja, brak jednak w dokumencie informacji, co działo się między 3 maja a 15 lipca. Wiemy jedynie, że gdy Graham uzyskał dostęp do konta jednego z pracowników Twittera i użył go, by przekonać innego pracownika, by ten dał mu dostęp do panelu umożliwiającego zarządzanie kontami.

The New York Times prezentuje obszerny profil głównego sprawcy ataku. Podobno już w wieku 10 lat, gdy poznał świat Minecrafta, zajmował się wyłudzaniem pieniędzy od innych graczy, obiecując im różne dobra w grze oraz ciekawe nazwy kont, pobierając płatność i nie realizując obietnic. W wieku 16 lat miał stać za kradzieżą 164 bitcoinów wartych wówczas prawie milion dolarów. Secret Service go namierzył i odzyskał ok. 100 bitcoinów, jednak sam sprawca nie został zatrzymany – rzekomo z powodu tego, że był nieletni. Na jego Instagramie (konto @error, obecnie nieaktywne) widać było za to roleksa wysadzanego drogocennymi kamieniami. Taki zegarek, wraz z samochodem marki BMW, którym rzekomo jeździł Graham, nie są typowymi przedmiotami znajdującymi się w posiadaniu 17-latka. Najwyraźniej jednak niedługo przyszło mu się nimi cieszyć.