Piratage de Twitter : retour sur la chasse à l’homme lancée par le FBI

Piratage de Twitter : retour sur la chasse à l'homme lancée par le FBI

Alors que la chasse à l’homme lancée par les autorités américaines à l’encontre des auteurs du piratage massif subi par Twitter a pris fin, la rédaction de ZDNet a pu, grâce à des documents judiciaires obtenus auprès du secrétariat d’Etat à la Justice, reconstituer la chronologie du piratage et la manière dont les enquêteurs américains ont retrouvé les trois pirates présumés.

Selon les documents livrés par la justice américaine, le piratage semble avoir commencé le 3 mai, lorsque Clark, un adolescent originaire de Tampa en Floride mais résidant en Californie, a eu accès à une partie du réseau Twitter. A partir du 3 mai, la chronologie devient floue et ce jusqu’au 15 juillet, le jour du piratage proprement dit. Il semble toutefois que Clark n’a pas réussi à passer immédiatement de son point d’entrée initial à l’outil d’administration de Twitter qu’il a ensuite utilisé pour reprendre la main sur des comptes de personnalités publiques.

Comme l’a récemment rapporté le New York Times, l’adolescent a toutefois réussi à avoir accès à l’un des espaces de travail internes de Slack, et non à Twitter lui-même. Les reporters du New York Times, citant des sources de la communauté des pirates, ont également relevé que le pirate a trouvé des références pour l’un des outils de support technique de Twitter épinglé à l’un des canaux Slack de l’entreprise.

publicité

Un piratage en plusieurs temps

Des images de cet outil, qui permettait aux employés de Twitter de contrôler toutes les facettes d’un compte Twitter, ont ensuite été divulguées en ligne le jour du piratage. Cependant, les références de cet outil n’étaient pas suffisantes pour accéder au Backend de Twitter. Dans un billet de blog Twitter détaillant l’enquête de l’entreprise sur le piratage, Twitter a déclaré que les comptes de ce backend administratif étaient protégés par une authentification à deux facteurs (2FA).

On ne sait pas exactement combien de temps il a fallu à Clark pour le faire, mais la même enquête sur Twitter indique que le hacker a utilisé “une attaque de phishing par lance téléphonique” pour tromper certains de ses employés et accéder à leurs comptes, et “passer à travers les protections à deux facteurs de Twitter”.

Selon Twitter, cela s’est produit le 15 juillet, le jour même du piratage. L’adolescent, connu sur Discord sous le pseudonyme de Kirk#5270, a alors fait les choses rapidement pour ne pas être détecté. Il a ainsi approché deux autres utilisateurs du canal Discord d’OGUsers, un forum dédié aux pirates qui vendent et achètent des comptes de médias sociaux.

Le nombre de participants encore inconnu

Dans les journaux de chat, Clark a approché deux autres hackers (Fazeli en tant qu’utilisateur Discord “Rolex#037” et Sheppard en tant qu’utilisateur Discord “ever so anxious#0001”) et a prétendu travailler sur Twitter. Il a prouvé ses dires en modifiant les paramètres d’un compte appartenant à Fazeli (Rolex#037) et a également vendu à Fazeli l’accès au compte Twitter @foreign. Clarke a également vendu à Sheppard l’accès à plusieurs comptes Twitter courts, tels que @xx, @dark, @vampire, @obinna et @drug.

Comme Clark a convaincu les deux autres de son niveau d’accès, les trois pirates ont conclu un accord pour poster des annonces sur le forum OGUsers afin de promouvoir la capacité de Clark à détourner les comptes Twitter. Suite à la publication de ces annonces, on pense que plusieurs personnes ont acheté un accès à des comptes Twitter. Dans un message enregistré posté sur YouTube par le Bureau exécutif des avocats des États-Unis, les enquêteurs ont déclaré qu’ils recherchaient toujours les multiples utilisateurs ayant participé au piratage.

On pense que l’un de ces participants est responsable d’avoir acheté l’accès à des comptes Twitter vérifiés par des célébrités le 15 juillet, et d’avoir publié un message d’escroquerie à la cryptomonnaie. Le message, repéré sur des comptes appartenant à Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg, et d’autres, demandait aux utilisateurs d’envoyer des bitcoins à plusieurs adresses.

Un butin à six chiffres

Selon des documents judiciaires, les pirates exploitant les portefeuilles utilisés dans cette escroquerie ont reçu 12,83 bitcoin, soit environ 117 000 dollars. Une enquête ultérieure a également révélé que le jour du piratage, la société Coinbase a pris les choses en main pour bloquer les transactions aux adresses de l’escroquerie, empêchant finalement l’envoi de 280 000 dollars supplémentaires aux escrocs.

C’est à ce moment-là que le piratage est devenu visible pour tout le monde, y compris pour le personnel de Twitter, qui est intervenu pour bloquer les comptes Twitter vérifiés de tweeter pendant qu’ils chassaient Clark de leur réseau. L’enquête menée par la suite par Twitter a découvert que Clark interagissait avec 130 comptes alors qu’il avait accès à l’outil d’administration de Twitter, qu’il avait réinitialisé le mot de passe de 45 comptes et qu’il avait accédé à des messages privés de 36 comptes.

Le lendemain du piratage, Twitter a également déposé une plainte pénale officielle auprès des autorités, et le FBI et les services secrets ont ouvert une enquête. Selon les documents judiciaires, le FBI a utilisé les données partagées sur les médias sociaux et par les médias d’information pour obtenir les journaux de chat et les détails des utilisateurs de Discord.

La chasse à l’homme débute

Comme certaines des annonces de piratage ont été publiées sur OGUsers, le FBI a également utilisé une copie de la base de données du forum OGUsers qui a fait l’objet d’une fuite en ligne en avril de cette année après le piratage du forum. Cette base de données contenait des détails sur les utilisateurs enregistrés du forum, tels que les courriels et les adresses IP, mais aussi des messages privés.

Les autorités, avec l’aide du fisc américain, ont également obtenu de Coinbase des données sur les adresses Bitcoin impliquées dans les piratages, et les adresses utilisées et mentionnées par les trois pirates dans le passé dans les Discordes et les messages du forum OGUsers. En corrélant les données des trois sources, le FBI a pu suivre les identités des pirates sur les trois sites, et les relier aux adresses e-mail et IP.

Par exemple, les autorités ont retrouvé la trace de Fazili après qu’il ait lié son nom d’utilisateur Discord à sa page OGUsers, une erreur évidente de sécurité opérationnelle (OpSec). Fazili a également commis de multiples autres erreurs en cachant son identité. Pour commencer, il a utilisé l’adresse damniamevil20@gmail.com pour enregistrer un compte sur le forum OGUsers et l’adresse e-mail chancelittle10@gmail.com pour détourner le compte Twitter @foreign.

Un adolescent soupçonné

Il a également utilisé les deux mêmes adresses électroniques pour enregistrer des comptes Coinbase, qu’il a ensuite vérifiés à l’aide d’une photo de son permis de conduire. En outre, Fazili a également utilisé sa connexion à domicile pour accéder à des comptes sur les trois sites, laissant son adresse IP personnelle dans les journaux de connexion des trois services — Discord, Coinbase et OGUsers.

Il en va de même pour Sheppard (ever son anxious#0001), qui s’est rendu sur OGUsers sous le nom de Chaewon. Les enquêteurs ont déclaré qu’ils ont pu connecter les deux comptes Discord et OGUsers de Sheppard grâce à l’annonce qu’il a publiée sur le site le jour du piratage. Ils ont également obtenu confirmation de ce lien par le biais de la base de données d’OGUsers qui a fait l’objet d’une fuite et où ils ont retrouvé la trace de Chaewon achetant un nom d’utilisateur de jeu vidéo avec une adresse Bitcoin connectée aux adresses utilisées le jour du piratage de Twitter. Tout comme dans le cas de Fazili, Sheppard gérait des comptes à Coinbase, où lui aussi utilisait son permis de conduire réel pour vérifier plusieurs comptes.

Les autorités n’ont pas relié directement Clark à l’utilisateur de Kirk#5270 Discord, mais les détails partagés aujourd’hui par différentes sources du gouvernement américain suggèrent qu’il s’agit du même individu. Tout d’abord, le procureur de l’État de Hillsborough Andrew Warren a affirmé que l’adolescent de 17 ans de Tampa (Clark) qu’ils ont arrêté ce week-end était le “cerveau” de tout le piratage – le rôle que Kirk#5270 a joué dans tout le plan.

Dans un communiqué de presse du district nord de Californie, les autorités ont déclaré qu’elles avaient renvoyé ce troisième hacker au procureur du 13e district judiciaire (comté de Hillsborough) à Tampa, en Floride. Le même bureau de Floride a annoncé en fin de semaine dernière l’arrestation du hacker et a révélé son vrai nom, Graham Ivan Clark.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *