El viernes, las autoridades acusaron a tres personas de orquestar el hackeo épico de Twitter de este mes y usarlo para generar más de $100,000 en una estafa de bitcoins promovida por cuentas secuestradas de políticos, ejecutivos y celebridades.
Los fiscales federales en San Francisco acusaron a Mason Sheppard, de 19 años, Nima Fazeli, de 22, y a un menor no identificado por la violación del 15 de julio. Los fiscales en Florida, donde vive el acusado juvenil, lo identificaron como Graham Ivan Clark, de 17 años, y lo acusaron de 30 cargos por delitos graves. Los fiscales federales dijeron que Sheppard usó los nombres de piratería «Chaewon» y «ever so
ansioso#001” y reside en la ciudad británica de Bognor Regis. Fazeli, quien supuestamente se hacía llamar “Rolex”, “Rolex#0373”, “Rolex#373” y “Nim F”, es de Orlando, Florida.
Los tres sospechosos están acusados de usar ingeniería social y otras técnicas para obtener acceso a los sistemas internos de Twitter. Luego supuestamente usaron su control para hacerse cargo de lo que Twitter ha dicho que eran 130 cuentas. Una pequeña muestra de los titulares de cuentas incluía al exvicepresidente Joe Biden, el fundador de Tesla Elon Musk, la estrella del pop Kanye West y el filántropo y fundador de Microsoft, exdirector ejecutivo y presidente Bill Gates.
Los acusados, alegaron los fiscales, luego hicieron que las cuentas de alto perfil, muchas de ellas con millones de seguidores, promovieran estafas que prometían duplicar las ganancias si las personas depositaban bitcoins en billeteras controladas por atacantes. El esquema generó más de $117,000. Los piratas informáticos también se apoderaron de cuentas con nombres de usuario cortos, que son muy codiciados en un círculo de foros de piratería criminal que se hace llamar OGusers.
“Estos crímenes fueron perpetrados usando los nombres de personas famosas y celebridades, pero no son las principales víctimas aquí”, dijo el fiscal estatal de Hillsborough, Andrew Warren. «Este ‘Bit-Con’ fue diseñado para robar dinero de los estadounidenses comunes de todo el país, incluso aquí en Florida. Este fraude masivo se orquestó aquí mismo en nuestro patio trasero, y no lo permitiremos».
Reconocimiento minucioso, ingeniería social y phishing cuidadosamente sincronizado
Un investigador de seguridad que ha estado trabajando activamente con el FBI en la investigación de la violación de este mes le dijo a Ars que el ataque fue el resultado de una investigación minuciosa sobre los empleados de Twitter, la ingeniería social de ellos por teléfono y el phishing cuidadosamente programado.
Allison Nixon, directora de investigación de la firma de seguridad Unit 221B, dijo que la evidencia recopilada hasta la fecha muestra que Clark y los piratas informáticos con los que trabajó comenzaron rastreando LinkedIn en busca de empleados de Twitter que probablemente tuvieran acceso a las herramientas de la cuenta. Usando funciones que LinkedIn pone a disposición de los reclutadores de empleo, los atacantes obtuvieron los números de teléfono celular de esos empleados y otra información de contacto privada.
Luego, los atacantes llamaron a los empleados y usaron la información obtenida de LinkedIn y otras fuentes públicas para convencerlos de que eran personal autorizado de Twitter. Los arreglos de trabajo en el hogar causados por la pandemia de COVID-19 también impidieron que los empleados usaran los procedimientos normales, como el contacto cara a cara, para verificar las identidades de las personas que llamaban.
Con la confianza de los empleados objetivo, los atacantes los dirigieron a una página de phishing que imitaba una VPN interna de Twitter. Luego, los atacantes obtuvieron las credenciales a medida que los empleados objetivo las ingresaban. Para eludir las protecciones de autenticación de dos factores que tiene Twitter, los atacantes ingresaron las credenciales en el portal VPN de Twitter real segundos después de que los empleados ingresaran su información en el portal falso. Una vez que el empleado ingresó la contraseña de un solo uso, los atacantes entraron.
Nixon y el director legal de la Unidad 221B, Mark Rasch, presentaron una descripción de las tácticas, técnicas y procedimientos de los piratas informáticos en una publicación publicada poco después de que se presentaran los cargos.
Identificado a través de una base de datos pirateada
Los fiscales dijeron que rastrearon a Sheppard y Fazeli a través de una base de datos del foro OGusers que fue robada y publicada por un grupo de piratas informáticos rivales. La base de datos, que el FBI obtuvo a principios de abril, más de tres meses antes del hackeo de Twitter, contenía publicaciones en foros públicos, mensajes privados, direcciones IP, direcciones de correo electrónico y otra información de usuario de los participantes del foro.
El día de la violación de Twitter, alguien con el nombre de cuenta de OGusers “Chaewon” anunció que podía cambiar las direcciones de correo electrónico asociadas con cualquier cuenta de Twitter por $250 y daría acceso directo a las cuentas por $2500 a $3000. Chaewon recomendó a los compradores que contactaran al usuario Discourt siempre tan ansioso #0001.
La base de datos de OGusers mostró que a principios de febrero, un usuario con el nombre de Chaewon ofreció comprar una cuenta de videojuegos comprometida. Los investigadores del FBI descubrieron que la dirección de la billetera que realizó el pago pertenecía al mismo grupo de Bitcoin que usó el 15 de julio, el n.º 001 de Ever Soarious para recibir pagos antes de enviarlos a una dirección que pertenecía a Kirk n.º 5270. Un clúster de Bitcoin es un grupo de billeteras que se pueden vincular de manera forense a un solo individuo o entidad.
Los investigadores también usaron direcciones IP que Chaewon usó para conectarse a OGusers para vincularlo a una cuenta de OGuser diferente con el nombre «Mas», que estaba asociada con la dirección de correo electrónico [email protected]. Los registros que los investigadores obtuvieron del cambio de moneda Coinbase mostraron que la dirección estaba asociada con una cuenta propiedad de Matthew Sheppard. Una licencia de conducir proporcionada por el usuario de la cuenta de Coinbase pertenecía a Sheppard.
Los investigadores identificaron a Fazeli cuando la base de datos OGuser pirateada mostró a alguien con el nombre de usuario «Rolex» que demostraba que tenía el control de una cuenta de Discord que estaba registrada con un «Rolex # 0373». En los chats de Discord que ocurrieron el día de la violación de Twitter, Rolex # 0373 había actuado como corredor de cuentas que otro presunto participante de piratería, con el nombre de usuario de Discord Kirk # 5270, estaba anunciando para la venta.
En OGusers, Rolex también usó la dirección de correo electrónico [email protected] en múltiples ocasiones en 2023 para recibir pagos de PayPal de otros usuarios. La misma discusión en Discord mostró que Rolex#0373 pagó a Kirk#5270 $500 por el control de la cuenta de Twitter secuestrada @foreign. Rolex#0373 indicó que la dirección asociada con la cuenta de Twitter se cambiara a [email protected].
“Cobrado como adultos”
Sheppard está acusado de un cargo de ayudar e incitar al acceso intencional de una computadora protegida y obtener información, conspiración para cometer fraude electrónico y conspiración para cometer fraude electrónico. Fazeli está acusado de un solo cargo de intrusión informática. Los fiscales del condado de Hillsborough, que llamaron a Clark el autor intelectual de la violación, lo acusaron de un cargo de fraude organizado, 11 cargos totales de uso fraudulento de información personal, un cargo de acceso a una computadora o dispositivo electrónico sin autorización y 17 cargos de fraude de comunicaciones. .
El enjuiciamiento de Clark se lleva a cabo en Tampa, donde vive, «porque la ley de Florida permite que los menores sean acusados como adultos en casos de fraude financiero como este cuando corresponde», dijo la oficina de Warren.
