Blog GUERRE DI RETE – #Twitterhacked. Cronaca del più folle e catastrofico attacco a Twitter

Guerre di Rete – una newsletter di notizie cyber
a cura di Carola Frediani
N.79 – 19 luglio 2020

Ho interrotto in via eccezionale la pausa appena annunciata per una edizione speciale e limitata (ridotta) della mia newsletter. Per questa pubblicazione non prevista potete ringraziare i “Bitcoin scammers” che hanno sconvolto Twitter per almeno una giornata, ma con ripercussioni ben più ampie.

(Però non mandategli bitcoin, né a loro né ad altri che ve li chiedano così su internet. Del resto una delle caratteristiche delle truffe, sempre che non risultino evidenti da mille altre cose e dal buon senso, è l’urgenza della richiesta – “hai solo trenta minuti per….” – sia che si tratti di una minaccia sia che si tratti di un presunto premio/affare/guadagno, in genere troppo bello per essere vero).

Ad ogni modo, eccoci qua:

#Twitterhacked: cronaca del più folle e catastrofico attacco a Twitter (ma poteva andare peggio)

È partito tutto mercoledì, nel primo pomeriggio per la costa orientale degli Stati Uniti (da noi era già sera). Ed è partito in tono minore. Una serie di profili Twitter di note società del mondo delle criptovalute – tra cui piattaforme per il trading, il cambio, testate specializzate – hanno iniziato a pubblicare degli strani tweet tutti simili o identici. Gli account di @bitcoin, @ripple, @coindesk, @coinbase, @binance, @gemini, fra gli altri, dicevano ai loro seguaci di visitare il sito CryptoforHealth, che a sua volta rimandava a un indirizzo bitcoin.

Il primo sito truffa
“Abbiamo fatto una partnership con CryptoforHealth e doniamo 5000 bitcoin alla comunità”, dicevano i messaggi con link al sito. Che aveva come titolo: “Donazione Covid-19” (Covid 19 Giveaway). “Riteniamo che la blockchain e Bitcoin abbiano reso il mondo più giusto e aperto. L’attuale sistema finanziario è sorpassato e Covid-19 ha fatto seri danni all’economia tradizionale. Per dare una mano in questi tempi difficili Huobi, Kucoin, Kraken, Gemini, Binance, Coinbase & Trezor hanno stretto una partnership per donare alla comunità. Abbiamo deciso di dare 5000 bitcoin. Per partecipare devi solo inviare tra 0.1 BTC e 20 BTC all’indirizzo e ti manderemo indietro al tuo indirizzo immediatamente da 0.2 BTC a 40 BTC.” Seguiva un indirizzo bitcoin: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh.

L’attacco ai VIP
Entro qualche ora il sito (registrato lo stesso giorno dell’attacco da tal ‘Anthony Elias’ con la mail mkeyworth5@gmail.com) veniva però chiuso in quanto segnalato come truffa. Ma chi gestiva l’operazione è passato a quel punto al piano B, e ha iniziato a prendere il controllo dei profili di una serie di personalità famose, facendo loro twittare un messaggio che non aveva più riferimenti al sito o alla finta iniziativa Cryptoforhealth, ma che conteneva già l’indirizzo bitcoin su cui donare. Tra i primi a subire il trattamento è stato il profilo di Elon Musk, l’eclettico e loquace imprenditore, fondatore di Tesla e SpaceX, che gode di 37 milioni di follower su Twitter, molti dei quali fan convinti. Così, intorno alle 16 di mercoledì (orario della East Coast), l’imprevedibile Musk apparentemente twittava all’improvviso: “Mi sento generoso per il Covid19. Raddoppierò qualsiasi pagamento in bitcoin inviato al mio indirizzo bitcoin nella prossima ora. Buona fortuna, e state al sicuro là fuori!”. Ovviamente l’indirizzo bitcoin non era di Musk ma dei truffatori, che avevano scritto quel tweet. Che è stato poi cancellato e rimpiazzato da un altro, sempre falso, e un po’ più grossolano, in una sorta di tira e molla fra gli attaccanti e chi disperatamente cercava di rimettere le cose a posto. “Mi sento grato, raddoppio tutti i pagamenti inviati al mio indirizzo bitcoin! Mandi mille dollari, ne mando indietro duemila! Lo faccio solo per i prossimi 30 minuti”. Cancellato anche questo. Successivamente, nella nascosta lotta per estromettere gli intrusi, sarebbe seguito ancora un enigmatico tweet: “Hi”….
La scelta dell’imprenditore non è però casuale. Musk da tempo è una delle esche più usate dagli scammer, i truffatori, specializzati nel sottrarre criptovalute a utenti poco avveduti. Ancora a giugno imperversavano, anche su YouTube, schemi molto simili in cui finti Elon Musk promettevanodi raddoppiare i bitcoin inviati. Ma anche molto prima, nel 2018, la truffa dei falsi Musk che distribuivano bitcoin (in genere con la tecnica di rubare le credenziali a qualche utente verificato ma scarso in sicurezza, ad esempio che non aveva adottato misure come l’autenticazione a due fattori, per poi metterci la foto e il nome di Musk) era così in voga che Wired UK si chiedeva perché Twitter non riuscisse a bloccarla.
La grossa, gigantesca differenza rispetto allora era però che, questa volta, quei messaggi partivano proprio dal vero profilo di Musk. Ma, soprattutto, non si sono fermati a lui. Tweet molto simili a quelli del Ceo di Tesla sono poi arrivati dal profilo di Bill Gates, Kim Kardashian, Wiz Khalifa, Warren Buffett, dal noto youtuber MrBeast. E poi imprenditori o politici di primissimo piano: Jeff Bezos, Barack Obama, Joe Biden, Mike Bloomberg. E poi aziende come Wendy’s, Uber, Apple. Stiamo parlando di profili non solo verificati, ma famosissimi e autorevoli, con milionate di follower. Profili che per la maggior parte hanno implementato misure di sicurezza come l’autenticazione a due fattori. Così, mentre questo attacco senza precedenti si dispiegava in diretta, con incredulità, ilarità e orrore, sotto gli occhi degli utenti e degli esperti di sicurezza, lo scam cominciava a sortire i suoi effetti.

I soldi ricevuti
A poche ore di distanza dall’inizio di questo arrembaggio, il valore dei bitcoin ricevuti dagli scammer si aggirava intorno ai 120mila dollari (per un totale di circa 400 pagamenti). Secondo la società di analisi delle transazioni blockchain Elliptic, sarebbero tre gli indirizzi bitcoin usati. Buona parte dei pagamenti, secondo la società, arriverebbero dagli Stati Uniti (da cambiavalute americani, per la precisione) e i riceventi avrebbero subito iniziato a muovere una parte dei fondi su altri indirizzi. Ma riciclarli senza essere individuati, dal momento che le transazioni sulla blockchain sono pubbliche, non sarà facilissimo né immediato.

La cifra, considerata la quantità di profili di primo piano violati, non è granché. E sono molti i commentatori che si chiedono perlopiù due domande: sono solo scammer o la parte di truffa bitcoin è una copertura per chiudere un’operazione che andava avanti da tempo? E anche ammesso che siano solo scammer, cosa sarebbe successo se avessero scelto di usare i profili in altro modo? Ad esempio, facendo annunciare una guerra dal profilo di un politico o di un capo di Stato? In molti mercoledì, mentre l’attacco colpiva figure come Biden od Obama, aspettavano col fiato sospeso anche l’account di Trump… che però è stato risparmiato dagli attaccanti, oppure l’ha scampata perché gode di protezioni aggiuntive. E che poteva succedere se Musk o altri imprenditori annunciavano qualcosa di clamoroso in riferimento alla loro azienda, facendo crollare o alzare le azioni?
I margini di truffa, guadagno, ma anche disinformazione, guerra psicologica, caos concessi dal controllo contemporaneo di profili così importanti sono amplissimi e inesplorati.

La risposta di Twitter
Cosa faceva Twitter nel mentre? Deve aver faticato non poco a riprendere in mano la situazione senza troppi danni. Prima ha detto di essere consapevole che c’era un “incidente di sicurezza” e di stare indagando. Poi ha bloccato gli account verificati (che sembravano essere i soli colpiti dagli attaccanti, in realtà non sono stati gli unici) impedendogli di twittare alcunché, una decisione senza precedenti. Nel mentre aggiornava gli utenti attraverso il profilo Twitter Support, dando a un certo punto una informazione decisiva. Ovvero che l’attacco – come ormai molti sospettavano – era partito da dentro l’azienda, da qualcuno che stava controllando uno strumento (tool) interno. “Abbiamo individuato un attacco coordinato di ingegneria sociale che ha colpito con successo alcuni dei nostri dipendenti con accesso ai tool e sistemi interni”. Social engineering dunque: phishing, qualcuno che riesce a ottenere le credenziali di un dipendente, qualcuno che ottiene che un dipendente faccia qualcosa… Le varianti sono molte ma c’è la componente umana e interna. Prosegue Twitter: “Hanno usato questo accesso per prendere il controllo di molti account di elevata visibilità (e verificati) e per twittare al loro posto. Stiamo indagando su altre attività malevole che possono aver svolto o informazioni cui possono avere avuto accesso. (…) Non c’è prova che gli attaccanti abbiano avuto accesso alle password. Non riteniamo che sia necessario resettare la vostra password. In base a quello che sappiamo ora, circa 130 profili sono stati presi di mira dagli attaccanti. Per una piccola parte di questi, gli attaccanti sono stati in grado di controllare gli account e inviare tweet dagli stessi. (…) Stiamo valutando se dati non pubblici legati a questi account siano stati compromessi”

Quindi attacco di social engineering o comunque tramite un dipendente interno (o più) che aveva accesso ai sistemi. 130 profili coinvolti. Possibile accesso ai dati privati di questi profili. Questa è sicuramente una della domande più importanti rimaste in sospeso. Che ne è stato dei messaggi diretti (privati) dei vari account che hanno twittato lo scam? Twitter non è stata subito chiara su questo. Ma alla luce del suo commento più recente, la risposta è: per alcuni sì, gli attaccanti hanno avuto accesso ai messaggi, o comunque avrebbero potuto. Infatti successivamente il social network ha dato delle informazioni aggiuntive sull’attacco dove ha specificato che: la maggior parte degli utenti di Twitter non ha avuto i propri dati, password, account violati; ma per quei 130 profili invece gli attaccanti, pur non potendo vedere le password precedenti (che non sono mostrate nel tool interno), hanno potuto: vedere indirizzo email e telefono (mostrati nel tool); in alcuni casi prendere controllo del profilo e vedere informazioni aggiuntive. Infatti in 45 casi, gli attaccanti hanno fatto un password reset, si sono loggati nel profilo e hanno mandato tweet. In 8 casi (8 profili non verificati però) hanno usato lo strumento Your Twitter Data per scaricarsi tutte le info (qua si spiega quali) di un profilo.

La dinamica dell’attacco
C’è poi anche qualche informazione in più sulla dinamica dell’attacco, di cui però mancano ancora molti dettagli. Ma che è tempo di analizzare.
Quello che sappiamo in breve: gli attaccanti sono riusciti ad accedere (violando l’account di uno o sembrerebbe più dipendenti di Twitter o ingannandoli o corrompendoli) a un pannello di controllo interno dell’azienda, dove puoi controllare e gestire lo status degli account e anche modificare la loro mail di iscrizione. In alcuni casi queste mail sono dunque state modificate direttamente da questo pannello e se c’era l’autenticazione a due fattori è stata disabilitata, dopodiché è stato fatto un cambio di password.
Questo scenario è confermato dalle testimonianze raccolte dal giornalista Brian Krebs secondo le quali, “nello strumento di amministrazione di Twitter puoi aggiornare l’indirizzo email di qualsiasi utente, e lo fai senza inviare alcuna notifica all’utente. (…) Così gli attaccanti hanno potuto evitare di essere individuati mentre aggiornavano l’email prima, e poi mentre disattivavano l’autenticazione a due fattori”.
“Inoltre – scrive sempre Krebs – sembra chiaro che questo hack di Twitter potrebbe aver permesso agli attaccanti di vedere i messaggi diretti di chiunque su Twitter (di chiunque tra gli account violati con la tecnica del cambio mail, ndr), informazioni su cui è difficile mettere un prezzo ma che nondimeno sarebbero di grande interesse per una varietà di soggetti, dagli Stati alle spie per conto di aziende a ricattatori”.
Anche Motherboard, che ha ottenuto screenshot da alcune fonti vicine all’attacco, conferma che la violazione è passata attraverso l’abuso di uno strumento interno. “Secondo gli screenshot visti da Motherboard, almeno alcuni degli account sembrano essere stati compromessi attraverso un cambio dell’indirizzo email associato attraverso l’uso del tool”. Ciò significherebbe controllo totale dell’account.
Questo scenario è in parte confermato dalle informazioni successive date da Twitter: “gli attaccanti hanno manipolato con successo un piccolo numero di dipendenti e usato le loro credenziali per accedere ai sistemi interni di Twitter, incluso riuscire a passare attraverso le protezioni dell’autenticazione a due fattori. Hanno avuto accesso agli strumenti solo disponibili per i team di assistenza per prendere di mira 130 profili”.

Chi sono gli attaccanti
Sempre secondo entrambi i resoconti di Krebs e Motherboard (ma anche quello di TechCrunch), l’attacco sarebbe dunque maturato in uno specifico underground cybercriminale, quello dedito a pratiche come il furto e la rivendita di profili social pregiati (perché ad esempio hanno nomi rari, come quelli con poche lettere, noti come OG, da original gangsters) e il SIM-swapping (letteralmente, lo scambio o cambio di SIM, un modo ingegnoso per farsi intestare su una propria SIM il numero di un altro per ottenere l’accesso ai suoi account, ma può avere varie varianti, implicando comunque la capacità di ingannare/plagiare un dipendente di un’azienda o ottenere in altro modo un accesso).

L’ipotesi che l’attacco sia nato in questi ambienti – quindi non attacco di Stato straniero, non russi, cinesi, iraniani o nordcoreani, per citare quelli che più spesso sono stati chiamati in causa dal governo americano – arriva anche dal New York Times, che ha parlato con alcuni presunti partecipanti all’azione, e che di nuovo sarebbero parte di quel milieu – chiamiamolo così – di cybercriminalità e trolling legato al furto e alla rivendita di profili social, composto da persone molto giovani e, nella vicenda specifica, occidentali. Personaggio centrale di questa vicenda sarebbe un tal Kirk, colui che avrebbe dato avvio in alcune conversazioni sulla piattaforma Discord a tutta l’operazione, grazie a un suo accesso (ottenuto come, non è chiaro) agli strumenti interni di Twitter. Interessante perché questo Kirk era già stato evidenziato anche da TechCrunch. Il motivo per cui alcuni di questi personaggi – tra cui uno soprannominato “lol” – avrebbero parlato col Times sarebbe per scagionarsi dagli attacchi più in vista. In pratica l’azione, in base a tale resoconto (tutto da verificare), sarebbe partita in un modo per poi arrivare a una escalation inaspettata per alcuni dei partecipanti. “Lol” e altri sarebbero già noti negli ambienti OG e sul forum OGusers.com, dedicato alla compravenddita di profili, avrebbero cioè una storia. Più misterioso invece il background dell’artefice di tutto l’attacco, Kirk. A corroborare la partecipazione di questi personaggi alla violazione ci sono anche delle transazioni bitcoin effettuate tra di loro. Ovvero alcuni soldi sono andati in un wallet (portafoglio online) di Kirk usato successivamente per ricevere i pagamenti della truffa con le celebrità. Inoltre – e questa è una nota di interesse per la sicurezza di molte aziende, ancorché non confermata – secondo tali testimonianze, Kirk avrebbe ottenuto l’accesso alle credenziali di Twitter dopo aver trovato una via nel canale di messaggistica interno di Twitter su Slack, nota piattaforma di comunicazione usata molto nelle imprese.

I messaggi privati e la cifratura
Fino a qui la dinamica, complessivamente delineata ma ancora da verificare nei dettagli. In quanto alle reazioni, certo non sono mancate. L’attacco ha subito riesumato l’annosa discussione sul fatto che i messaggi privati (DM) di Twitter non implementino una cifratura endtoend, come Whatsapp o Signal, in cui solo mittente e destinatario abbiano le chiavi per cifrare e decifrare i rispettivi messaggi (e non la piattaforma). Questo impedirebbe innanzi tutto che dipendenti malintenzionati possano accedere ai messaggi degli utenti, ma renderebbe più difficile leggerli anche da parte di un attaccante che tenti di impossessarsi dell’account, perché la cifratura end-to-end si lega a un device specifico.

“Ciò che cambia per l’utente con l’utilizzo della cifratura end-to-end è semplice – mi spiega il consulente di informatica forense Paolo Dal Checco – quando viene attivata, il sistema fa sì che i messaggi vengano protetti durante il transito sulla rete con chiavi di cifratura presenti soltanto sui dispositivi degli interlocutori. I messaggi non saranno peraltro memorizzati nel cloud sull’area riservata dell’utente ma rimarranno archiviati soltanto sui dispositivi dove sono stati inviati o ricevuti. Questo significa che un accesso non autorizzato da parte di terzi dall’account di un utente permetterebbe di vedere e scaricare i dati e i messaggi tradizionali presenti sul profilo ma non quelli protetti tramite crittografia end-to-end. Chiaramente, lo svantaggio è che se l’utente perde il cellulare, perde anche i messaggi ivi memorizzati, così come avviene tra l’altro già da tempo con Whatsapp, a meno che l’utente non decida di attivare un backup sul cloud o farsi dei backup periodici su PC”.

Poteva andare peggio
Nel frattempo, è partita una indagine dell’FBI, insieme alle lettere di vari politici americani che si aspettano dei chiarimenti da Jack Dorsey, il Ceo di Twitter. Più in generale, le preoccupazioni non mancano. E il problema non sono solo i messaggi privati. “Ancora più preoccupante sono la velocità e la scala con cui l’attacco si è sviluppato, e le preoccupazioni di sicurezza nazionale che solleva, che sono profonde”, – ha commentato il giornalista Casey Newton. Che si domanda: “quali piani di emergenza l’azienda ha messo in piedi nel caso in cui un giorno venga attaccata non da avidi artisti della truffa specializzati in bitcoin, ma da attori statali o da psicopatici? Dopo oggi non è più impensabile, se mai lo fosse stato, che qualcuno prenda possesso del profilo di un leader mondiale e tenti di iniziare una guerra nucleare”.
Vi lascio dunque su questa nota di ottimismo perfetta per il vostro relax all’ombra dell’ultimo sole. In attesa trepidante del prossimo tweet.

PS: Torno in pausa estiva, ci rivediamo tra qualche settimana. Davvero.

QUI PER RICEVERE LA VERSIONE COMPLETA DELLA NEWSLETTER

È gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.