تحديدا يوم الأربعاء الخامس عشر من شهر يوليو (7) – 2020 دخل موقع تويتر حالة فوضى عارمة بعد أن بدأت بعض الحسابات لشخصيات عامة ومديرين تنفيذيين والمشاهير الأكثر شهرة في العالم بتغريدات تحمل روابط مخادعة لعمليات البيتكوين SCAM.

يقول موقع تويتر أن الهجوم حدث لأن شخصا ما خدع أو أكره موظفين تويترعلى توفير الوصول الى أدوات الأدارة الداخلية. في هذا المنشور أوضح لك بعض من الجدول الزمني للهجوم، والأشارة الى أدلة حول من قد يكون وراءه.

 

ظهرت أولى العلامات العامة للهجوم في حوالي الساعة 3 مساءً بتوقيت شرق الولايات المتحدة ، عندما قام حساب خاص بتبادل العملات المشفرة Binance بالتغريد برسالة تفيد بأنه شارك مع جمعية تسمى "CryptoForHealth" لإعادة 5000 بيتكوين إلى مجتمع بيتكوين (المتابعين) ، مع رابط يمكن للأشخاص التبرع أو إرسال الأموال، في مقابل حصولهم على رد بمبلغ مضاعف للمبلغ المتبرع به.

بعد دقائق من ذلك ، خرجت تغريدات مماثلة من حسابات بورصات العملات المشفرة الأخرى ، ومن حساب تويتر للمرشح الرئاسي الديمقراطي جو بايدن ، والرئيس التنفيذي لشركة أمازون جيف بيزوس ، والرئيس باراك أوباما ، والرئيس التنفيذي لشركة تسلا إيلون ماسك ، وعمدة نيويورك السابق مايكل بلومبرج والمستثمر الكبير وارين بافيت.

في حين أنه قد يبدو من السخف أن يتم خداع أي شخص لإرسال عملة البيتكوين ردًا على هذه التغريدات ، إلا أن تحليل محفظة بيتكوين من خلال تتبع عنوان المحفظة المدرج ضمن التغريديات داخل الحسابات التي تم اختراقها يُظهر أنه خلال الـ 24 ساعة الماضية ، عالج الحساب 383 معاملة وتلقى ما يقرب من 13 معاملة بيتكوين - أو ما يقرب من 118000 دولار أمريكي.

أصدر تويتر بيانًا قال فيه إنه اكتشف "هجوم هندسة اجتماعية منسق من قبل أشخاص استهدفوا بنجاح بعض موظفينا من خلال الوصول إلى الأنظمة والأدوات الداخلية. نعلم أنهم استخدموا هذا الوصول للسيطرة على العديد من الحسابات المشهورة للغاية (بما في ذلك الحسابات التي تم التحقق منها <الحسابات الموثقة بإشارة زرقاء>) والتغريد نيابة عنهم. نحن نبحث في أي نشاطات ضارة التي ربما قاموا بها أو المعلومات التي ربما تمكنوا من الوصول إليها وسنشارك المزيد هنا أولا بأول".

هناك مؤشرات قوية على أن هذا الهجوم قد ارتكب من قبل أفراد تخصصوا تقليديًا في الاستيلاء على حسابات وسائل التواصل الاجتماعي من خلال "مبادلة بطاقة الجوال (المعروف باسم SIM Swapping")، وهو شكل متزايد الانتشار من الجرائم التي تتضمن رشوة أو قرصنة أو إكراه الموظفين في شركات الهاتف المحمول ووسائل التواصل الاجتماعي على تقديم الوصول إلى بطاقة الهاتف المحمول ومن ثم حساب المستخدم المربوط مع رقم الهاتف.

الأفراد الذين يقومون بعمليات مبادلة بطاقة الجوال مهووسون بالاستيلاء على حسابات مواقع التواصل الاجتماعية تسمى "OG" وهي اختصارًا لعبارة "العصابات الأصلية original gangster" (حسابات مميزة فريدة بسبب اسمها القصير)، عادةً ما تكون حسابات OG هي تلك التي تحمل أسماء حسابات شخصية قصيرة (مثلB أوjoe). تمنح حيازة حساب مثل هذا صاحبه مكانة من التأثير والثروة، حيث يمكن أن تجلب هذه الحسابات غالبًا آلاف الدولارات عند إعادة بيعها.

قبل عدة أيام من عملية اختراق تويتر، كانت هناك علامات على أن بعض المهاجمين هم من مجتمع مبادلة بطاقة الجوال، حيث كانوا يبيعون امكانية تغيير عنوان بريد إلكتروني مرتبط بأي حساب تويتر. في منشور على موقع OGusers (موقع مختص في البيع و الشراء مشهور بعمليات بيع وتبادل الحسابات المخترقة) أعلن مستخدم يُدعى تشايوون "Chaewon" أنه يمكنه تغيير عنوان البريد الإلكتروني المرتبط بأي حساب تويتر مقابل 250 دولارًا، وتوفير وصول مباشر إلى الحسابات التي تتراوح قيمتها بين 2000 و 3000 دولار لكل حساب.

صورة مأخوذة من موقع OGusers يظهر فيها المستخدم تشايوون Chaewon يعرض تبديل البريد الالكتروني لأي حساب تويتر

كتب تشايوون في منشور المبيعات الخاص بهم: "هذه ليست طريقة، سيتم استرداد أموالك بالكامل إذا لم تحصل على البريد الإلكتروني / @ لأي سبب من الأسباب، ولكن إذا تم اغلاق الحساب بعد ذلك فلن أكون مسؤولاً"، المنشور كان بعنوان "سحب البريد الإلكتروني لأي حساب تويتر/ نتلقى الطلبات".

ساعات قبل بدء أي من حسابات تويتر المخترقة بالتغريد بروابط عمليات احتيال البيتكوين يوم الأربعاء ، يبدو أن المهاجمين ركزوا اهتمامهم على الاستيلاء على عدد قليل من حسابات OG ، بما في ذلك حساب "@6" (حساب فريد جدا بحرف واحد).

كان حساب تويتر هذا مملوكًا في السابق من قبل ادريان لامو Adrian Lamo  المعروف باسم "الهكر المشرد" الذي توفى عام 2018 ، اشتهر باختراق شبكة نيو يورك تايمز New York Times والإبلاغ عن سرقة تشيلسي مانينج Chelsea Manning لوثائق سرية. يتم التحكم الآن في حساب @6 من قبل صديق لامو منذ فترة طويلة ، وهو باحث أمني، حيث طلب ان يتم تسميته من خلال لقبه على تويتر لاكي225 ""Lucky225.

قال لاكي ذلك قبل الساعة 2 مساءً بقليل يوم الأربعاء (التوقيت الغربي)، تلقى رمز تأكيد إعادة تعيين كلمة المرور عبر خدمة صوت جوجل Google Voice لحساب تويتر @6. قال لاكي إنه عطل سابقًا إشعارات الرسائل القصيرة كوسيلة لتلقي رمز تأكيد تسجيل الدخول بخطوتين 2FA ، واختار بدلاً من ذلك الحصول على رمز لمرة واحدة يتم إنشاؤه بواسطة تطبيق مصادقة الهاتف المحمول.

ولكن نظرًا لأن المخترقين تمكنوا من تغيير عنوان البريد الإلكتروني المرتبط بحساب @6 وتعطيل ميزة تسجيل الدخول بخطوتين، فقد تم إرسال رمز المصادقة لمرة واحدة إلى كل من حساب Google Voice الخاص به وإلى عنوان البريد الإلكتروني الجديد الذي أضافه المخترقون.

قال لاكي لموقع KrebsOnSecurity: "الطريقة التي عمل بها الهجوم هي أنه من خلال أدوات إدارة تويتر، يمكنك على ما يبدو تحديث عنوان البريد الإلكتروني لأي مستخدم تويتر، يتم ذلك دون إرسال أي نوع من الإشعارات إلى المستخدم". "لذلك يمكن [للمهاجمين] تجنب الاكتشاف عن طريق تحديث عنوان البريد الإلكتروني على الحساب أولاً، ثم إيقاف 2FA."

قال لاكي إنه لم يكن قادرًا على مراجعة ما إذا كان قد تم إرسال أي تغريدات من حسابه أثناء وقت الاستيلاء على الحساب لأنه لا يزال لا يمكنه الوصول إليه.

في نفس توقيت الاستيلاء على حساب @6، تم الاستيلاء على حساب من نوع OG آخر وهو حساب @B. ثم بدأ شخص ما في التغريد لصور لوحة الأدوات الداخلية في تويتر تحتوي حساب B.

صورة لحساب @B من داخل لوحة تحكم أدارة تويتر

رد تويتر الأولي كان بإزالة جميع صور لوحة تحكم الإدارة، وبعدها وبشكل مؤقت تم منع هذه الحسابات من التغريد.

حساب تويتر اخر تحت اسم شينجي @shinji أيضا قام بتغريدات تحمل صور للوحة تحكم إدارة تويتر. تم التغريد من هذا الحساب بجملة " اعملوا متابعة لحساب @6 " وهو الحساب التي تم الاستيلاء عليه مسبقا والذي كان ملكا للمستخدم لاكي. دقائق بعدها قام تويتر بتعطيل حساب شينجي.

صورة تظهر تغريدة من حساب شينجي @shinji لصورة أدوات إدارة تويتر الداخلية

يمكنك الاطلاع على أرشيف تغريدات حساب شينجي من هنا : https://archive.vn/Abr3l وايضا من هنا : https://archive.vn/YGS0T تظهر التغريدات ادعاء شينجي في استيلاءه على الحسابات المميزة “j0e” and “dead.”

سمعت KrebsOnSecurity من مصدر يعمل في مجال الأمن في واحدة من أكبر شركات الهاتف المحمول التي تتخذ من الولايات المتحدة مقراً لها ، والذي قال إن حسابات انستجرام الخاصة بالمستخدم " j0e" و المستخدم " dead" مرتبطة بمستخدم سيء السمعة في عمليات استبدال بطاقة الجوال، يستخدم الاسم المستعار بلج ووك جو "PlugWalkJoe" . كان المحققون يراقبون PlugWalkJoe لأنه يُعتقد أنه شارك في العديد من هجمات استبدال بطاقة الجوال على مدار السنوات التي سبقت (عمليات سرقة عملات البيتكوين <أشهر عمليات سرقة البيتكوين عبر التاريخ>).

صورة من الأرشيف تظهر حساب شينجي @sinji على تويتر يحتوي حساب انستجرام Dead

انظر الآن إلى صورة الملف الشخصي المأخوذة من الموقع المختص بالارشفة Archive.org لحساب شينجي  (في الصورة أدناه). إنها نفس الصورة المضمنة في لقطة شاشة شينجي أعلاه من يوم الأربعاء (يوم الاختراق) حيث كان جوزيف (وهو شينجي) يغرد بصور لأدوات ادارة تويتر الداخلية.

قال مصدر إن هذا الشخص كان مشاركًا رئيسيًا في مجموعة تسمى تشكلينج سكواد "ChucklingSquad" وهي من مقايضي استبدال بطاقات الجوال، وكان يُعتقد أنها وراء الاستيلاء على حساب المدير التنفيذي لتويتر جاك دورسي Jack Dorsey عام 2019. كما روى موقع Wired.com ، تم الاستيلاء على حساب جاك دورسي بعد أن أجرى المهاجمون هجوم تبديل بطاقة الجوال ضد شركة الاتصالات AT&T ، وهي شركة مزود الهاتف المحمول لرقم الهاتف المرتبط بحساب جاك دورسي على توتير.

صورة تظهر حساب المدير التنفيذي لتويتر جاك دورسي عندما كان مخترق حيث يظهر تغريدة تحتوي عدة حسابات للمخترقين

أخبر مصدر مختص في أمن صناعة الهاتف المحمول KrebsOnSecurity أن بلج ووك جو PlugWalkJoe في الحياة الواقعية يبلغ من العمر 21 عامًا من مدينة ليفربول في المملكة المتحدة اسمه جوزيف جيمس أوكونور. وقال المصدر إن بلج ووك جو موجود في إسبانيا حيث كان يدرس بالجامعة حتى وقت سابق من هذا العام. وأضاف أن بلج ووك جو لم يتمكن من العودة إلى الوطن بسبب قيود السفر بسبب جائحة كورونا  COVID-19.

أضاف المصدر أيضا إن بلج ووك جو كان موضوع تحقيق تم فيه تعيين محققة لإجراء محادثة مع بلج ووك جو وإقناعه بالموافقة على محادثة فيديو. وأوضح المصدر أن مقطع فيديو سجلوه لتلك الدردشة أظهر حوض سباحة مميزًا في الخلفية.

وفقًا لنفس المصدر، فإن مجموعة من الصور على حساب بلج ووك جو على انستجرام  (instagram.com/j0e) هي نفسها التي رأوها في دردشة الفيديو معه.

إذا كان بلج ووك جو في الواقع هو المحور الأساسي في عملية اختراق تويتر هذه، فربما يكون من المناسب أنه تم التعرف عليه جزئيًا عبر الهندسة الاجتماعية (عندما أوقعت به المحققة في عملية اتصال الفيديو).

ربما يجب أن نكون جميعًا ممتنين لمرتكبي هذا الهجوم على تويتر لانهم لم يضعوا أنظارهم على أهداف أكثر طموحًا ، مثل تعطيل الانتخابات في الولايات المتحدة أو سوق الأوراق المالية ، أو محاولة بدء حرب من خلال إصدار تغريدات كاذبة تحريضية من حسابات قادة العالم على تويتر.

أيضًا، يبدو من الواضح أن اختراق تويتر هذا كان يمكن أن يسمح للمهاجمين بمشاهدة الرسائل المباشرة لأي شخص على تويتر، وهي معلومات يصعب تحديد سعر عليها ولكنها مع ذلك ستكون ذات أهمية كبيرة لجهات عديدة، من الدول إلى جواسيس الشركات والمبتزون.

هذه المقالة هي التحليل الأولي قبل القاء القبض على المتهمين باختراق تويتر حسب ما نشرته صحيفة نيو يورك تايمز  https://www.nytimes.com/2020/07/31/technology/twitter-hack-arrest.html

تم ترجمة المقالة من قبل خليل شريتح , المصدر https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/