Хакер #305. Многошаговые SQL-инъекции
Массовый взлом
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Так, среди пострадавших были: Билл Гейтс, Илон Маск, Джефф Безос, Джо Байден, Барак Обама, Уоррен Баффет, Канье Уэст, Ким Кардашян, компании Apple и Uber, крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini, а также многие, многие другие. Для большинства этих учетных записей была включена двухфакторная аутентификация, которая не остановила хакеров.
Полученным доступом к топовым аккаунтам неизвестные злоумышленники воспользовались весьма странным образом: объявили аттракцион неслыханной щедрости и устроили фальшивую раздачу биткоинов.
Сообщения хакеров сулили пользователям огромные прибыли (если те сначала отправят на указанный адрес немного биткоинов). Мошенники действовали по классической скамерской схеме: просили прислать им небольшое количество криптовалюты, обещая удвоить и вернуть любую полученную сумму. Хотя настоящие владельцы аккаунтов и сотрудники социальной сети пытались удалять эти сообщения, они тут же появлялись снова. Некоторые из таких твитов содержали ссылку на сайт, который теперь уже удален, но его можно увидеть на скриншоте ниже.
Как ни парадоксально, но даже в 2020 году нашлось немало людей, которые поверили, что Билл Гейтс, Илон Маск и другие известные компании и личности вдруг начали раздавать биткоины. Так как для всех взломанных аккаунтов использовались одинаковые сообщения и один и тот же биткоин-кошелек, можно увидеть, что по состоянию на 6:30 по московскому времени мошенники «заработали» примерно 13 BTC, то есть около 120 000 долларов. Впрочем, некоторые ИБ-специалисты отмечают, что во время таких кампаний мошенники нередко переводят деньги сами себе, чтобы создать видимость активности и естественности происходящего, и вызвать доверие пользователей.
Как компания Twitter допустила столь массовую атаку, пока остается неясным. Ночью специалисты компании были вынуждены на несколько часов отключить возможность писать сообщения для всех верифицированных аккаунтов с синей «галочкой», а также запретить сброс паролей и ряд других фукнций.
В настоящее время многие аккаунты все еще могут сталкиваться с блокировками. Также в какой-то момент социальная сеть стала автоматически удалять сообщения, содержащие адрес кошелька злоумышленников, и любые сообщения похожие по структуре на скамерское послание (несколько шутников, запостившие пародии на эти сообщения, оказались заблокированы).
Заявление Twitter
Глава Twitter Джек Дорси сообщает, что это крайне тяжелый день для компании и обещает, что расследование произошедшего будет максимально прозрачным.
Tough day for us at Twitter. We all feel terrible this happened.
— jack (@jack) July 16, 2020
We’re diagnosing and will share everything we can when we have a more complete understanding of exactly what happened.
? to our teammates working hard to make this right.
В настоящий момент предварительные результаты расследования таковы. Twitter официально сообщает, что в корне случившегося лежит скоординированная атака на сотрудников компании с применением социальной инженерии. В результате злоумышленники смогли получить доступ к неназванным внутренним системам и инструментам, чем они и воспользовались, захватив контроль над множеством популярных аккаунтов.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
Это полностью согласуется с наиболее популярной среди ИБ-специалистов теорией. Дело в том, что ночью в сети появлялись сообщения о том, что хакеры добрались до админ-панели Twitter, причем эти сообщения со скриншотами практически моментально удалялись сотрудниками Twitter, что лишь усилило подозрения специалистов.
В итоге, стремясь снизить риски, инженеры Twitter пошли на крайнюю меру, которую сами называют «разрушительной» и превентивно заблокировали огромный кластер учетных записей (даже не подвергавшихся атаке на первый взгляд), ограничив для них публикации и другие функции. Владельцам обещают вернуть доступ к этим аккаунтам сразу же, как только станет ясно, что они в безопасности и угроза устранена.
Компания уверяет, что уже приняла меры, чтобы ограничить доступ к внутренним системам и инструментам, но расследование еще продолжается и оно крайне далеко от завершения. Также упоминается, что в компании тщательно проверяют, к какой еще информации пользователей взломщики могли получить доступ (к примеру, личные сообщения, отложенные и сохраненные твиты).
Стоит заметить, что некоторые ИБ-специалисты уже пишут о том, что атака, вероятно, была не так проста, как кажется на первый взгляд. Ведь получить доступ такого уровня и «потратить» его на фейковую раздачу криптовалюты, принесшую немногим больше ста тысяч долларов, это довольно странный шаг для хакеров: в теории такой доступ можно было продать за миллионы. Поэтому многие полагают, что настоящей целью этой кампании, вероятно, могло быть, к примеру, хищение данных.
Впрочем, другие специалисты отмечают, что все возможно, а некоторые преступники попросту не слишком умны.
So. You have this level of access, you write a ton of automation scripting for it, and you send a lame mass bitcoin campaign.
— Dave Kennedy (@HackingDave) July 16, 2020
Could have easily sold this access for millions.
Something isn’t adding up here and smells like a much larger campaign masked as something else.
Sometimes hackers come across valuable access they don't know how to properly monetize. Just because they only made $100k from having access to almost every Twitter account doesn't necessarily mean there's a deeper hidden motive. Some hackers just aren't creative.
— MalwareTech (@MalwareTechBlog) July 16, 2020
Мы продолжим следить за развитием ситуации и ходом расследования.