L'ANALISI TECNICA

Reverse engineering dell’attacco a Twitter: analisi delle tecniche utilizzate

L’analisi di quanto accaduto durante il recente attacco a Twitter consente di individuare le possibili tecniche di hacking utilizzate dai cyber criminali, ma soprattutto fa emergere l’importanza del fattore umano come cardine della cyber sicurezza. Ecco cosa possiamo imparare

23 Lug 2020
D
Vincenzo Digilio

ICT Security Manager & Co-founder of Cyber Division


Molti potranno pensare che dietro il recente attacco a Twitter via siano ore di programmazione di un sofisticato malware scritto in uno scantinato, oppure sottratto a qualche agenzia governativa. In realtà, un’alchimia di più fattori si è mescolata in un terreno già fertile e quando la Covid-19 ha colpito anche la finestra temporale si è resa favorevole.

Qualcuno con le conoscenze ed i mezzi giusti ha “colto” l’allinearsi di più fattori ed ha agito dando vita a quello che è stato uno dei più significativi attacchi ad un social media.

L’intero attacco ruota attorno al perno centrale dell’identità, che è poi il cuore del problema della cyber sicurezza. Gli attaccanti tendono a rubare l’identità di qualcuno per utilizzarla al fine di entrare in un sistema, prelevare soldi, cambiare i settaggi di un server, estorcere informazioni e via dicendo.

Ma difendere la propria identità non è un problema nuovo: “… in alcune tribù la rinuncia all’identità è una difesa contro l’annientamento”. Per un hacker, nascondersi e cambiare identità diviene una necessità al fine di non essere identificato. Per un cracker, riuscire a fingersi qualcun altro vuol dire riuscire a portare a termine il proprio crimine.

Ma d’altro canto, perdere la propria identità come individui vuol dire anche smarrire sé stessi o, in certi casi, “barattare elementi di sé” pur di far parte di qualcosa. Pensate a quante volte rinunciamo a noi stessi per compiacere qualcuno, oppure fingiamo di avere gli stessi gusti e idee per omologarci alla massa, per far parte di un gruppo, sia esso virtuale o reale, non importa. Pensate quanto spesso, nella storia dell’evoluzione umana, sia stato pericoloso esprimere la propria autonomia di pensiero, essere contrari alle idee comuni, quante volte la società ci ha imposto di adeguarci al suo pensiero.

Ecco che diventa vitale, non solo per noi ma per tutti, preservare ciò che ci diversifica l’uno dall’altro e difenderlo. L’unione e la cooperazione di queste diversità sono la nostra vera forza.

In quello che definirei il puzzle di questo attacco, ogni singolo pezzo ha giocato una parte importante. Ma procediamo con ordine e vediamo di mettere in fila tutti gli indizi.

Attacco a Twitter: la cronistoria

Il giorno 15 luglio 2020, Twitter ha iniziato a sprofondare nel caos, dalle 3 p.m. (Eastern Daylight Time – EDT) circa. Sull’account Twitter di Binance, una delle piattaforme più famose di scambio di criptovalute, è apparso un tweet che diceva all’incirca:

Abbiamo dato vita ad una partnership con CryptoForHealth, per ridare 5000 bitcoin alla comunità, al seguente link è possibile fare una donazione o inviare del denaro…

Altri tweet simili a questo sono apparsi, tra i 5 e i 10 minuti dopo, sui seguenti account:

  • il candidato democratico Joe Biden
  • il CEO di Amazon Jeff Bezos
  • l’ex presidente americano Barack Obama
  • il CEO di Tesla Elon Musk
  • uno degli imprenditori più ricchi al mondo e politico statunitense Michael Bloomberg
  • l’economista Warren Buffet

Per quanto la richiesta potesse suonare assurda, nelle successive 24h sono state registrate circa 383 transazioni indirizzate al wallet riportato nel post, per un totale di circa tredici Bitcoin (in data 15 Luglio 2020 un bitcoin valeva circa 9238.86 dollari, quindi all’incirca 120.000 dollari).

Twitter dà inizio ad una serie di post riguardanti l’attacco e tra le date del 15 e 16 luglio, si legge:

“Un attacco coordinato di social engineering ha preso di mira alcuni dei nostri dipendenti con accesso a sistemi e strumenti interni. Sappiamo che hanno utilizzato questi accessi per prendere il controllo di numerosi account. Stiamo esaminando quali altre attività dannose potrebbero aver condotto o a quali informazioni potrebbero aver avuto accesso. Appena avremo più informazioni le condivideremo”

I tasselli che compongono l’attacco a Twitter

Come primo tassello, gli attaccanti hanno puntato alcuni dipendenti interni che possedevano l’accesso a console di gestione e tool che Twitter utilizza ai fini di amministrare la propria piattaforma.

Quindi, potremmo desumere che la prima attività compiuta dai cyber criminali sembra essere stata una ricognizione, basata su quella che viene chiamata “Information Gathering”, da fonti Open Source.

Ma spingiamoci oltre e proviamo a fare una ricerca ad ampio spettro sui dipendenti di Twitter, simulando l’attività dei cyber criminali.

Potremmo cominciare con diverse tecniche di OSINT per fare una ricognizione sul target. Supponiamo di voler cominciare la nostra ricerca ottenendo nome e cognome di alcuni dei dipendenti di Twitter e vedere se rientrano in alcuni data breach. Ad esempio, potremmo utilizzare LinkedIn scrivendo nella barra di ricerca parole chiavi del tipo: “twitter it” o “twitter programmer”.

Potremmo anche utilizzare alcuni tool per velocizzare le operazioni di ricognizione sulle e-mail. L’immagine seguente proviene da una ricerca eseguita con il tool the Harvester.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

Possiamo poi decidere di approfondire le ricerche su una data mail, cercando tutte le informazioni e i backlink ad essa associati (vedi immagine seguente).

Potremmo anche voler controllare se vi siano informazioni di precedenti breach, ed eventualmente attingere anche da essi (vedi immagine seguente).

Una volta ottenute tutte le informazioni necessarie, saremmo pronti ad impersonare la vittima chiamando il suo gestore telefonico:

“Buongiorno, sono Mario Rossi. Purtroppo lo scorso weekend sono dovuto recarmi in ospedale a causa di alcuni accertamenti. Ho avuto la febbre molto alta, quindi mia moglie ha insistito perché mi sottoponessi al test del tampone (dato il periodo). Abbiamo anche una bimba molto piccola, quindi non volevamo rischiare. Per la fretta di tornare a casa da mia figlia che avevo lasciato con la vicina, devo aver sbadatamente lasciato il cellulare in ospedale. Ho chiamato, ma non è stato ancora trovato. Vorrei a questo punto trasferire il mio numero su un’altra SIM, sarebbe possibile?”

Analisi delle tecniche utilizzate nell’attacco a Twitter

La tecnica è nota come SIM swapping e consiste nel trasferire da una SIM card ad un’altra (tramite social engineering) la corrispondenza univoca che esiste tra la SIM, che è l’identità fisica, ed il nostro numero di telefono che rappresenta la nostra identità digitale.

Diversi indizi suggeriscono che l’attacco a Twitter sia stato preparato da cyber criminali specializzati nell’hijacking dei social media, utilizzando la suddetta tecnica.

Esistono intere community di “SIM swapping” specializzate nel dirottare gli account ufficiali su fake denominati “OG”. Tali account hanno la peculiarità di avere nomi dei profili molto brevi, tipo (@R o @Bill). Fra i possessori di tali account esiste una specie di ranking, una sorta di status quo dato dal numero degli account che si possiedono. Nella Darknet esiste un business di questi account.

Nei giorni che hanno preceduto l’attacco a Twitter vi è stato un vero e proprio fermento della community. Un utente di nome “Chaewon” ha pubblicato un post su “OGusers” (un forum dedicato all’account hijacking) in cui offriva la possibilità di cambiare qualsiasi indirizzo e-mail legato a Twitter per una somma di 250 dollari oltre a fornire un accesso diretto all’account per una cifra fra i 2.000 e 3.000 dollari.

Diverse ore prima dell’attacco, i cyber criminali hanno focalizzato l’attenzione su uno di questi account OG: “@6”.

L’account “@6” era di proprietà di Adrián Alfonso Lamo Atwood aka “the Homeless Hacker”. Per chi non lo conoscesse, è stato un hacker grey hat, arrivato alla notorietà per diversi attacchi informatici, dal New York Times a Microsoft. Denunciò il soldato statunitense Chelsea Manning per aver diffuso informazioni riservate tra cui un video conosciuto come “Collateral Murder” ripreso da un elicottero Apache statunitense sopra Baghdad. Fu trovato senza vita in un appartamento di Wichita in Kansas, all’età di 37 anni e le cause del decesso sono tutt’oggi ignote.

Il suo account “@6” è attualmente gestito da un ricercatore di cyber sicurezza, conosciuto col nickname Lucky255. Secondo quanto afferma Lucky255, poco prima delle 2 p.m. EDT di mercoledì 15 luglio, ha ricevuto un codice di conferma per il reset della password associata all’account Twitter “@6”. La cosa strana, stando a quanto ha affermato, è che aveva disabilitato le notifiche Twitter via SMS, abilitando il 2FA (Two Factor Authenticator, autenticazione a due fattori) solo attraverso un “random code generator”.

L’unico modo per l’attaccante di cambiare l’indirizzo mail e disabilitare il 2FA sull’account “@6” sarebbe stato quello di agire dall’interno dell’applicazione di Twitter utilizzando l’account con “high privilege” che era stato sottratto tramite SIM swapping ad uno o più dipendenti. A questo punto, Twitter ha inviato il gettone di “one-time authentication” a Lucky255 e all’indirizzo mail dell’attaccante.

Più o meno contemporaneamente, un altro OG account “@B” veniva “swappato” e questa volta l’account postava una foto con il tool interno di Twitter utilizzato per forzare il cambio mail sugli account (vedi immagine sotto).

Twitter a questo punto sospende, rimuove e blocca gli account, ma è troppo tardi. Quello di Twitter si trasforma in un tentativo disperato di arginare un fiume in piena: un altro account, “@shinji”, stava già twittando altre schermate relative al tool interno di Twitter (vedi immagine sotto).

Copie di memorizzazione nella cache dei tweet di “@shinji” prima dell’attacco di mercoledì, mostrano la rivendicazione di due account OG su Instagram: “j0e” e “dead” (vedi immagine sotto).

Secondo alcune informazioni apprese da KrebsOnSecurity tramite una delle più grandi compagnie di telefonia mobile americana, i due account sembrerebbero essere legati ad un noto SIM swapper conosciuto come “PlugWalkJoe” e ritenuto coinvolto in numerosi attacchi per violare molteplici wallet di Bitcoin.

Ora soffermiamoci su un particolare; l’immagine del profilo Twitter di “@shinji” (vedi immagine precedente) è la stessa inclusa nello screenshot in cui joseph/“@shinji” stava twittando la foto del tool interno di Twitter (vedi immagine seguente).

Il seguente individuo sembra essere stato identificato come una delle figure chiave di un noto gruppo di SIM swappers, conosciuto come “ChucklingSquad” già coinvolto nel hijacking del CEO di Twitter: Jack Dorsey.

Alcune fonti dichiarano che “PlugWalkJoe” è in realtà un ventunenne di Liverpool di nome Joseph James O’Connor.

Sempre alcune fonti dichiarano che “PlugWalkJoe” si trovi attualmente in Spagna e che non possa rientrare in Inghilterra a causa dell’epidemia di Covid-19. Inoltre, un agente infiltrato sarebbe riuscito ad avviare una videochat con “PlugWalkJoe”, che mostrava una piscina in background, la stessa che il soggetto avrebbe postato sul suo profilo Instagram (vedi immagine seguente).

Ci sono ancora tanti punti oscuri

Quindi, caso risolto?

A mio parere ci sono diversi pezzi del puzzle in questa narrazione dell’attacco a Twitter che non combaciano.

Un ulteriore ipotesi avanzata è che siano state sfruttate alcune vulnerabilità di Slack, software che utilizzavano i dipendenti di Twitter. Ipotesi smentita ufficialmente alle 9:46 a.m. (Pacific Daylight Time – PDT) del 19 Luglio:

“La sicurezza di Slack e l’integrità della nostra piattaforma non sono state compromesse in alcun modo. Come dichiarato da Twitter, l’attacco è stato perpetrato attraverso il social engineering, da persone che hanno preso di mira alcuni dei loro dipendenti con accesso a sistemi e strumenti interni. Le tattiche di ingegneria sociale, come gli schemi di phishing, vengono spesso utilizzate dagli aggressori per ottenere credenziali valide o altre informazioni personali”

Devo confessare che la prima volta che ho letto dell’attacco, la mente mi ha riportato al caso Hacking Team. Qualcuno starà pensando che i due casi sono molto distanti l’uno dall’altro e non ha tutti torti. Ma andiamo con ordine. Il 5 luglio del 2015 l’account Twitter della società di Milano fu violato da un hacker, che esordì con il Tweet: “Visto che non abbiamo nulla da nascondere, stiamo pubblicando tutti i nostri messaggi di posta elettronica, file e codici sorgente…” il messaggio continuava con una serie di link ad un database di oltre 400 gigabyte.

Dall’analisi del materiale, emerse che Hacking Team aveva fatturato all’esercito libanese e al Sudan un exploit 0-day multipiattaforma (CVE-2015-5119).

Le Nazioni Unite dichiararono: “È opinione della commissione che, poiché un software come questo è perfettamente adatto ad appoggiare operazioni militari di intelligence elettronica (ELectronic-signals INTelligence – ELINT), deve potenzialmente ricadere nella categoria di ‘equipaggiamento … militare’ o ‘assistenza’ connessi a materiale vietato”.

L’hacker che rivendicò l’attacco fu Phineas Fisher che in diversi post spiegò come era riuscito a penetrare all’interno della società utilizzando un exploit 0-day. Ci sono però anche in questa vicenda diversi punti oscuri e delle domande “tecniche” che non trovano risposta nel resoconto dell’hacker, e che invece aprirebbero l’ipotesi ad un “Inside Job”, cioè un ad un complice all’interno della società, o se non proprio un “complice”, qualcuno che ha indirizzato l’hacker verso il bersaglio.

Ora, una cosa è una “gang” di swappers che convince dipendenti pagati una miseria (magari facendoseli anche complici), ad emettere una nuova SIM card con associato il numero di telefono della vittima per poi resettare la password di un account. Un’altra cosa è avere accesso ad un tool interno di un’azienda (abituata a subire attacchi) la cui analisi del rischio ha dimostrato che l’impatto, conseguente la violazione di determinati tool, sarebbe “intollerabile”.

Fra l’altro non è la prima volta che Twitter avrebbe a che fare con “insider”.

Nel 2017, nel suo ultimo giorno di lavoro, un dipendente interno ha chiuso l’account di Donald Trump.

Nel 2019, due dipendenti di Twitter sono stati accusati di spionaggio per conto del governo saudita.

L’importanza del fattore umano e psicologico

Ora, da tutta questa storia, a mio avviso, emerge il punto cardine della cyber sicurezza; nonostante le possibili difese informatiche adottabili, esiste un fattore di difficile controllo: il fattore umano e psicologico. Gli attacchi informatici si servono principalmente di strumenti di social engineering per carpire le informazioni necessarie, puntando agli “anelli deboli” della catena. Pensiamo solo a tutti gli attacchi ransomware andati a segno per avere aperto una mail.

Si investono milioni in antivirus, firewall, vengono pubblicizzati e venduti SIEM, spacciati come deus ex machina, a costi esorbitanti.

Ma spesso viene tralasciato il più importante anello della catena, le persone che la compongono e danno vita ad un’azienda e che dovrebbero rappresentare il vero strumento essenziale per la difesa, un “firewall” umano.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5