Небольшое расследование расследования по делу хакера, взломавшего Twitter (обновлено) +47



Наверное, все помнят, как около 2 недель назад были взломаны более 50 крупных Twitter-аккаунтов (Маска, Гейтса, Обамы, Apple и др).



Правоохранители задержали троих подозреваемых – 17-летнего Graham Clark и 22-летнего Nima Fazeli («Rolex») из Флориды, а также 19-летнего Mason Sheppard («Chaewon») из Великобритании.


Во всей этой истории меня заинтересовало то, как вычислили реальных персонажей, стоящих за этой атакой. А точнее одного персонажа Mason Sheppard с ником «Chaewon».


Перед атакой на Twitter, пользователь «Chaewon» разместил на форуме «OGUsers» объявление о продаже услуги замены адреса эл. почты для Twitter-аккаунтов.



К несчастью для хакеров, данный форум был взломан 31.03.2020 г. (и до этого в конце 2018 г.), а его дамп находится в паблике (я писал про это в Telegram-канале).


Об этом и пишет спецагент налоговой службы США Tigran Gambaryan (Тигран Гамбарян) в своем отчете (PDF).


В дампе форума для пользователя «Chaewon» был найден адрес эл. почты (kpopisepic51@gmail.com) и IP-адреса (79.66.149.155 и 82.132.236.55).



С одного из этих IP также зарегистрирован пользователь «mmm» (f77twitter@gmail.com). Судя по нашей информации пароль этого пользователя «Mason123». С точно таким же паролем на форуме находится пользователь «Ghoxl» (20fdisciplina@gmail.com). Кстати, у «Chaewon» в мессенджере Kik имя «MasyOGF», такое же, как и у «mmm, о чем оба пользователя сообщали на форуме сами.


И вот тут начинаются странности с отчетом спецагента Тиграна Гамбаряна. Он пишет про связь «Chaewon» с неким пользователем «Mas» (masonhppy@gmail.com) по IP-адресу на том же самом форуме «OGUsers». Однако, никакого «Mas» с адресом masonhppy@gmail.com там нет, а есть связанные «mmm» и «Ghoxl» (см. выше) и пользователь «mas» (poop987@protonmail.com).



Пользователь «Chaewon» действительно оставлял сообщение на форуме с текстом “IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS!@”, как пишет спецагент. Кстати, “BRY” это сокращение от “BRYSON”, пользователь «Bryson» заблокирован на данном форуме за мошенничество.


Если внимательно анализировать дамп форума, то видно, что 15.05.2019 пользователь «mas» сменил имя на «Chaewon», а спустя почти месяц 19.06.2019 имя «mas» занял пользователь «wasdwasd123».


Далее спецагент находит адрес masonhppy@gmail.com в базе «Coinbase» и видит там имя/фамилию «mason sheppard».


Тут тонкость в том, что адреса masonhppy@gmail.com нет ни в базе «OGUsers» (о чем я уже написал выше), ни в утечке паролей пользователей «Coinbase». Этот адрес не светился ни в одной другой утечке паролей, которые мы анализировали (чтобы вы понимали речь идет о более чем 30 миллиардах паролей, прошедших через нас за несколько лет).


Каким образом адрес masonhppy@gmail.com появился в расследовании мне установить не удалось.


Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать (например, доступ к базе «Coinbase» в режиме реального времени для поиска по IP), либо Mason Sheppard был найден по-другому (например, через запрос британскому провайдеру «TalkTalk Communications Limited» из чьей сети “сидел” хакер) и по какой-то причине это также не может быть разглашено.


Новости про утечки информации и инсайдеров всегда можно найти на Telegram-канале «Утечки информации».


UPD: Уже после того, как статья была опубликована, я все-таки обнаружил, что адрес masonshppy@gmail.com был засвечен в другом дампе «OGUsers», полученным в результате взлома этого форума 26.12.2018.


Если вы обратите внимание, то в отчете спецагента этот адрес в одном месте написан как masonshppy@gmail.com, а в другом месте как masonhppy@gmail.com. Эта досадная опечатка и привела к тому, что адрес не нашелся в старом дампе с первого раза.



Пользователь «Mas», позже переименованный в «Chaewon» (см. выше), был изначально зарегистрирован на masonshppy@gmail.com. Таким образом, спецагенту оставалось только послать запрос в «Coinbase», чтобы получить остальные данные на пользователя с этим адресом.




Комментарии (38):

  1. Dmitry_Dor
    /#21913268

    пароль этого пользователя «Mason123». С точно таким же паролем на форуме находится пользователь «Ghoxl»
    А если бы использовал проверенный временем пароль «qwerty» или «12345», то с таким же паролем оказалось бы ещё 100500 юзверей. И попробуй вычисли, кто есть who, спецагент Tigran Gambaryan.
    P.S И кстати, классический спецагент John Smith тоже ведь не просто так…

    • dmbarsukov
      /#21913272

      А использовал бы каждый раз новые автосгенеренные пароли и эффект был бы ещё лучше

      • ashotog
        /#21913328

        ну нет. автосгенеренный это 100% «оборванная» цепочка в расследовании. а пароль не уникальный может запутать расследование.

        • kamilkamilkamil
          /#21914674

          А потом окажется что автогенератор популярных браузеров тоже сливает что — нибудь через стеганографию.
          Еще новая фича хрома — зайдя на админку роутера от huawei, он сообщил мне что посещение данной страницы могло задеанонить пароли к десятке сайтов, ознакомьтесь со списком, нажав на кнопку.

          • SerMelipharo
            /#21918456

            ну как минимум браузер можно опознать :D

    • RAF
      /#21914594

      John Doe — еще круче :-)

    • /#21914676 / -1

      Армяне — вычислят. Им пароль не нужен, у них свой кожаный анальный дешифратор в штанах. :)))

      • vvzvlad
        /#21917970

        Вы перепутали хабр с одноклассниками. Перейдите на соседнюю вкладку.

        • /#21921620 / -3

          Сколько морализаторов на сайте. :)))
          Это "девичье" ханжество или armjane lives Matter"?! :)))

          • vvzvlad
            /#21922098 / +2

            Нет, вы просто выбрали сайт не по своему уровню шуток. Она тупая и несмешная.

  2. kofas
    /#21913292

    Возможно спецслужбы США просто притянули доказательства за известное место.
    … никогда такого не было — и вот опять! Шелковый путь тоже по посылке спалили — а как же иначе, ваще?

  3. jonSina
    /#21913302 / +1

    добрый день.
    "(я писал про это в Telegram-канале)."
    Вы выкладываете дампы? или как всегда только болобольство без линков \ пруфов и т.д.?

    • ashotog
      /#21913326 / -5

      балобольство это у вас в камменте, как всегда у подобных (т.е. не способных ни на что, даже найти паблик дампы).

      • jonSina
        /#21913492

        Сидит на заборе, ждет пока ему на email всю информацию напишут, а тут нос поднял, всех обзывает "подобными", пишет так как будто с вершины горы с "превосходством" :DDDD
        Хорошо что сейчас жалобы хабр быстро принимает и разбирает. Так же отправил вторую жалобу за рекламу сторонних ресурсов. Удачи вам.

        • ashotog
          /#21913634

          «болобольство» это было мое «превосходством»? или вы по другому просто не умеется общаться?

    • RAF
      /#21914598

      Если он выложит хоть какие-то дампы, то любая из обиженных на него организаций, включая, например, самый крупный банк в стране, немедленно организует возбуждение уголовного дела. Любой, кто потратит хотя бы неделю на въезжание в тему, найдет 80% из упомянутого (остальные 20% ну совсем в андреграунде с платной регистрацией по рекомендациям и всё такое)

      • Barbaresk
        /#21915862

        И, кстати, многое можно найти тупо по запросу «найти %слив нейм%». Только делать это желательно с левого IP и пол виртуалкой.

  4. ALF_Zetas
    /#21913610 / +1

    19-летнего Mason Sheppard («Chaewon»)

    19-летней ;)

    • ashotog
      /#21913638

      да? надо поправить если это она, но везде пишут «he»…

    • PaulAtreides
      /#21913792

      Точно? А то везде показывают фоточку мужского пола.

  5. printercu
    /#21913850

    Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать

    На скрине


    Coinbase provided the following information

    Сделал официальный запрос, получил ответ.

  6. dfgwer
    /#21914376

    Мораль сей басни такова.
    В таких местах надо называться Гарри Поттером

  7. v1000
    /#21914542

    Всегда удивляло двоякое ощущение от прочтения такой информации-с одной стороны интересно, с другой стороны дает лишнюю возможность учиться на чужих ошибках тем, кто захочет повторить подобное.

  8. bgBrother
    /#21914586 / +1

    Далее спецагент находит адрес masonhppy@gmail.com в базе «Coinbase» и видит там имя/фамилию «mason sheppard».
    в утечке паролей пользователей «Coinbase»
    Таким образом, спецагенту оставалось только послать запрос в «Coinbase», чтобы получить остальные данные на пользователя с этим адресом
    Во вселенной можно бесконечно наблюдать за тремя вещами: как горит огонь, как взрывается звезда и как силами массы хомяков одноранговая/пиринговая/децентрализованная платформа — централизуется.

    Остаётся лишь молиться ЛММ и Великому Пирату, дабы понимание в коробочках прибавилось. Однако за пару десятков лет в контексте централизации Интернета это не помогло и вера любителей единых точек выхода, CDN, облаков, MITM-сервисов, монополий, процедур коммерческого лобби, заинтересованной государственной регуляции и прочего — только растут, а технологии вроде Mesh сетей дискредитируются ничего не понимающими компаниями, лепящими банальные репитеры.

  9. RAF
    /#21914608

    Вот как так можно? Совершить один из самых громких хаков за последнее время и так облажаться?

  10. Vladusik2
    /#21914718 / +1

    Он на этом форуме наверно с 14-15 лет обитает?

  11. KivApple
    /#21915032 / +1

    Интересно, кем надо быть, чтобы публиковать объявление о взломе с реального IP адреса.

    • UdarEC
      /#21915158

      Кулхацкеры, они такие.

  12. SINOD
    /#21916078

    Интересно, они с реальных ИП заходили что ли? ТОР юзать религия не позволяла?

    • powerman
      /#21916254

      Ошибки совершают все. Но гораздо чаще проблема в другом — такие отчёты об успешных задержаниях обычно являются примером систематической ошибки выжившего. В смысле, большинство пойманных выглядят глупыми во многом потому, что умных удаётся поймать намного реже.

      • sumanai
        /#21918722

        А может умные просто не занимаются массовыми взломами.

        • powerman
          /#21918878

          Хотелось бы в это верить, но не получается — на личном опыте много раз наблюдал, как очень умные люди временами творят дикую фигню (обычно — на эмоциях, напр. если их сильно обидеть или напугать).


          Типичный пример — текущая ситуация с коронавирусом: очень умные люди есть по обе стороны, одни считают что он не сильно отличается от других вирусов и не требует никаких особых мер противодействия, а другие согласны с прямо противоположной позицией, которую излагают по телевизору. По определению, кто-то из них ошибается, и это очень дорогая ошибка — ошибка одних угробит мировую экономику на пустом месте, ошибка других угробит заметный процент населения. Но никакой ум не помог им собраться вместе, проанализировать все факты, и прийти к общему мнению — просто потому, что одной из групп очень страшно.

  13. pprometey
    /#21919268

    Результаты атаки — однозначно демонстрируют дилетанство хаккеров. Глупость какая-то. Это как замах на миллион, а выхлоп 3 копейки. Но ребятам в любом случае надо отдать должное, они это сделали и у них получилось. Такое удается не многим.
    Меня в этой ситуации больше всего удручает, насколько незащищенными оказываются информационные системы от человеческого фактора. Ты там сидишь, ломаешь голову над криптографическими алгоритмами, механизмами авторизаций и аутентификаций, заморачиваясь углублением в развлетвленные логическиие схемы и а если не то, то это, а если это, то то…
    А тут все это просто «обнуляется» (надеюсь за этот термин модераторы хабра меня не забанят в очередной раз) обычным человеческим фактором в результате достаточно «простых» действий, называемых — социальной инженерией.

  14. richman5
    /#21919436

    pprometey А тут все это просто «обнуляется»… социальной инженерией
    Значит тот, кто проектировал систему чего-то недодумал.

    upd: промазал, надо было сюда

    • pprometey
      /#21919554

      Хорошая система всегда расчитывается на самого большого дурака, но как сказал Энтшейн, «В мире две вещи бесконечны: Вселенная и человеческая глупость»

  15. pprometey
    /#21919562

    На securitylab.ru тоже хорошая статья, с интересными подробностями, о которых тут не сказано Как был взломан Twitter и как нашли преступников – полный отчет