Il New York Times ha ricostruito le vicende che hanno portato al più potente ed efficace attacco contro Twitter, rivelando anche l’identikit degli hacker che lo hanno sferrato: sono giovani e sbarbati, europei e motivati dai soldi. Russia e Cina non c’entrano questa volta.
Dopo le prime ore la maggior parte delle riviste specializzate hanno tratto grossomodo la stessa conclusione: l’attacco contro Twitter poteva essere una catastrofe, ma miracolosamente si è ridotto ad un furtarello di poco più di 100.000 dollari, complice il tipo di truffa non particolarmente sofisticata.
Poteva andare davvero molto peggio
Il “dammi i tuoi bitcoin che te li rimando raddoppiati” è una truffa estremamente datata, e, in caso vi servisse nuova conferma, davvero poco efficace. Gli hacker hanno raccolto un bottino decisamente misero, se si conta che avevano a disposizione una potenza di fuoco senza precedenti: oltre 130 account seguiti da decine di milioni di persone. Va comunque detto che sembra che le piattaforme di exchange, come Coinbase, abbiano avuto un ruolo determinante nel bloccare alcune transazioni a beneficio dei truffatori.
Tra gli account rubati anche quello del candidato alla Presidenza degli USA Joe Biden, quelli di imprenditori come Elon Musk, Bill Gates e Jeff Bezos e di aziende come Apple e Uber. Immaginatevi cosa sarebbe successo se, al posto di spammare una truffa così palese, gli hacker avessero tentato di manipolare il mercato azionario. Quanti soldi avrebbero potuto fare rivendendo un simile potere ai servizi segreti delle potenze ostili all’America? Sappiamo per certo, invece, che al di là delle loro intenzioni non avrebbero potuto prendere possesso dell’account di Donald Trump nemmeno se avessero voluto: questo perché ha un livello di protezione più alto della norma.
Oggi, grazie al lavoro di Vice e del NY Times, sappiamo che le chiavi del regno erano tutto fuorché ben protette.
Ci è andata bene che ad approfittarsene siano stati dei ragazzini, o poco più.
Lo rivela un’inchiesta del quotidiano di New York, che ha intervistato quattro dei partecipanti all’attacco contro Twitter. Grazie agli hacker, il NY Times ha anche messo le mani su numerosi screen delle chat dove ha avuto luogo la pianificazione dell’attacco.
Quest’ultima, peraltro, sarebbe stata prevalentemente condotta non usando app protette da chissà quale crittografia —fosse anche semplicemente Signal— ma su Discord, una piattaforma usata prevalentemente per comunicare all’interno dei videogiochi.
Gli hacker erano ossessionati dagli account “Original Gangster” di Twitter
Il NY Times sostiene che molti dei ragazzi dietro all’attacco avessero fatto amicizia perché ossessionati dall’idea di mettere le mani su alcuni account Twitter con nickname stravaganti. In gergo si chiamano OG Account, dove l’OG sta per Original Gangster. Sono i primissimi creati sulla piattaforma, i più richiesti hanno un nick formato da una sola lettera o da un numero, come @y e @6. Alcuni di questi valgono decine di migliaia di dollari, nel 2014 un ragazzo aveva spiegato di aver ricevuto un’offerta da 50mila dollari per il suo, @N, ma di averla rifiutata perché non interessato. Pochi giorni dopo si era trovato tagliato fuori dal profilo: gliel’avevano rubato.
Il piano originale, molto probabilmente, era quello di prendere possesso di alcuni di questi account, per poi rivenderli sul mercato nero.
A capo del gruppo, continua il quotidiano, ci sarebbe un hacker che si fa chiamare Kirk. Non sappiamo chi ci si nasconda dietro, ma è con tutta probabilità il proprietario del wallet dove sono stati depositati i 180.000$ in bitcoin.
Twitter messo sotto scacco da un manipolo di ventenni
Due degli hacker intervistati dal New York Times hanno deciso di parlare con la stampa per chiarire la loro posizione. I due, che su Discord si nascondevano dietro gli account “lol” e “ever so anxious”, sostengono di aver partecipato solo alla prima fase, salvo perdere interesse quando Kirk aveva manifestato l’intenzione di prendere il controllo di centinaia di account di alto profilo — come poi ha effettivamente fatto.
Lol ha poco più di 20 anni, mentre “ever so anxious” sostiene di aver appena 19 anni e di vivere con sua madre in Inghilterra.
Gli investigatori che stanno indagando sull’accaduto avrebbero spiegato al New York Times che le informazioni condivise dai due hacker combacerebbero con quanto emerso fino adesso dalle indagini preliminari.
I ragazzi si sono conosciuti sulla piattaforma OGusers.com. I due hacker sentiti dal New York Times avrebbero dovuto fare da tramite a Kirk nella vendita degli account rubati — tra questi @dark, @w, @l, @50 e @vague. Poi, come è noto, le cose sono andate molto diversamente.
L’attacco contro Twitter non è stato particolarmente sofisticato
Un’altra figura chiave nel capire come questi hacker novizi abbiano preso il controllo di Twitter è “PlugWalkJoe”, un ventenne che avrebbe acquistato tramite “ever so anxious” uno degli “original gangster account” da solamente un carattere: @6. PlugWalkJoe , a differenza di tutte le altre persone coinvolte, ha rivelato il suo nome completo al quotidiano spiegando di chiamarsi Joseph O’Connor (in realtà era già stato doxato da uno studio di sicurezza informatica).
Della polizia non mi interessa nulla, che vengano pure ad arrestarmi. Riderei e basta, io non ho fatto nulla.
Anche O’Connor prende le distanze dall’escalation decisa da Kirk, fornendo anche un alibi. In compenso, è lui che ha spiegato al New York Times come Kirk avesse accesso al pannello degli amministratori (di cui abbiamo parlato qui). Molto semplicemente, era riuscito a rubare le credenziali d’accesso al portale Slack usato dai dipendenti di Twitter.
Se così fosse, verrebbe a meno l’ipotesi di un aiuto dall’interno, come aveva invece ipotizzato Vice. Anche Twitter in queste ore parla di un “raggiro ai danni di alcuni dipendenti”, e non di un caso di infedeltà. Probabilmente le credenziali d’accesso sono state rubate ad alcuni dipendenti del social usando delle tattiche di ingegneria sociale. Un’altra teoria parla dell’uso del Sim Swapping, un tipo d’attacco che si basa sulla clonazione da remoto di una Simcard, sempre grazie all’ingegneria sociale e al furto d’identità. Del resto, lo stesso PlugWalkJoe è un nome noto nel mondo dei Sim swapper.
I ragazzi sentiti dal NY Times spiegano di aver appreso dell’operazione di massa la mattina seguente, come il resto del mondo. Sarebbe stata un’operazione quasi in solitaria di Kirk. “Mi sono svegliato ed ero più infastidito che triste, ha fatto solamente 20 bitcoin”, ha scritto ever so anxious a lol dopo aver appreso degli eventi. Le conseguenze, aggiungiamo noi, con ogni probabilità saranno ben più gravi di quelle che avrebbe avuto se si fosse limitato a rubare qualche account di scarsa importanza.
Nel frattempo, Kirk è sparito nel nulla, e ha interrotto ogni comunicazione con i suoi gregari. Ora sappiamo che un ruolo determinante nel contenimento della truffa l’avrebbe avuto Coinbase, una delle più importanti piattaforme di exchange di criptovalute. Una volta accortosi dell’operazione di scam, il sito avrebbe bloccato tutte le transazioni a beneficio del wallet usato dai truffatori, bloccando almeno mille transazioni per un totale di altri 280.000$.
- Hackers Tell the Story of the Twitter Attack From the Inside (nytimes.com)
- Coinbase says it halted more than $280,000 in bitcoin transactions during Twitter hack (theverge.com)
- Culprits behind the Twitter hack that ground the site to a halt may include a 21-year-old British man, new evidence shows (businessinsider.com)