Arnaque au Bitcoin et compromission de l'outil d'administration de Twitter
Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.
- Victime
- Twitter, Inc.
- Perte
- $118.0K
- utilisateurs
- 130
Le 15 juillet 2020, des attaquants ont pris le contrôle de 130 comptes Twitter de premier plan — dont ceux de Barack Obama, Joe Biden, Elon Musk, Jeff Bezos, Bill Gates, Apple et Uber — et les ont utilisés pour publier une arnaque de doublement de Bitcoin. La compromission n'est pas venue d'une vulnérabilité logicielle. Elle est venue des personnes : une campagne ciblée d'ingénierie sociale qui a donné à un petit groupe de jeunes attaquants l'accès à l'outil interne le plus sensible de Twitter.
Ce qui s'est passé
À partir du 14 juillet 2020, les attaquants ont mené une campagne de spear-phishing téléphonique. Ils ont moissonné LinkedIn et utilisé des outils de recrutement pour identifier les employés de Twitter disposant d'un accès administratif et obtenir leurs numéros de téléphone, puis les ont appelés en se faisant passer pour le support informatique de Twitter. Les victimes étaient dirigées vers un faux portail VPN/authentification unique convaincant, où les attaquants récupéraient leurs identifiants et captaient les codes d'authentification multifacteur en temps réel.
Avec un accès employé valide, les attaquants ont atteint l'outil d'administration interne « agent » de Twitter — un logiciel permettant au support de modifier les paramètres au niveau du compte, y compris l'adresse e-mail associée. En remplaçant l'e-mail enregistré et en désactivant les protections, ils pouvaient prendre le contrôle de n'importe quel compte et réinitialiser l'accès.
L'arnaque
Entre environ 20h00 et 22h00 UTC le 15 juillet, 45 des 130 comptes ciblés ont publié des variantes d'un message promettant de doubler tout bitcoin envoyé vers un portefeuille donné, souvent présenté comme une œuvre de charité liée à la COVID-19. Les victimes ont envoyé environ 118 000 $ en bitcoin avant que les portefeuilles ne soient largement signalés ; la plateforme d'échange Coinbase a bloqué environ 280 000 $ supplémentaires de transferts tentés.
Au-delà des tweets, l'intrusion a exposé des données privées : les attaquants ont accédé aux messageries privées de 36 comptes et téléchargé l'intégralité de l'archive de données Twitter de 8 comptes, dont celui d'un membre du parlement néerlandais.
Réponse et conséquences
Twitter a pris la mesure drastique de bloquer temporairement la publication de tous les comptes vérifiés pendant qu'il verrouillait l'outil d'administration et enquêtait. Le 31 juillet 2020, les procureurs américains et de Floride ont inculpé trois individus : Graham Ivan Clark (17 ans), qui a orchestré l'attaque et a été considéré comme le cerveau ; Mason Sheppard (« Chaewon », 22 ans) ; et Nima Fazeli (« Rolex », 19 ans). Clark a plaidé coupable en tant que jeune délinquant en mars 2021 et a été condamné à trois ans de prison.
Le Département des services financiers de New York a publié un rapport détaillé concluant que Twitter manquait de contrôles d'accès, de surveillance et d'un RSSI dédié adéquats, et que l'outillage interne de l'entreprise conférait un pouvoir étendu et faiblement encadré sur la plateforme.
Pourquoi c'est important
Le piratage de Twitter est l'exemple canonique de l'abus d'outils internes par ingénierie sociale sur l'une des plateformes les plus influentes au monde. Il a prouvé que la couche humaine et l'outillage interne privilégié constituent la véritable surface d'attaque — une solide sécurité des comptes n'a servi à rien une fois l'outil de support accessible. L'incident a poussé à l'adoption large de l'authentification multifacteur résistante au hameçonnage (FIDO2/clés matérielles), d'un accès juste-à-temps et au moindre privilège plus strict aux consoles d'administration, et d'un examen bien plus poussé de qui peut exercer des pouvoirs absolus sur les comptes des utilisateurs.
Chronologie
Les attaquants commencent le spear-phishing téléphonique d'employés de Twitter, se faisant passer pour le support informatique et les dirigeant vers un faux portail VPN/SSO pour récupérer identifiants et codes MFA.
À l'aide d'identifiants d'employés volés, les attaquants atteignent l'outil d'administration interne « agent » de Twitter et commencent à prendre le contrôle de comptes de premier plan.
Entre environ 20h00 et 22h00 UTC, 45 comptes détournés publient une arnaque de doublement de Bitcoin ; les victimes envoient environ 118 000 $ en bitcoin vers les portefeuilles frauduleux.
Twitter réagit en bloquant la publication de tous les comptes vérifiés et en désactivant des parties de l'outil d'administration pendant son enquête.
Twitter révèle que 130 comptes ont été ciblés, 45 ont servi à publier, et les messages privés de 36 comptes ont été consultés (8 entièrement téléchargés).
Le DOJ américain et les procureurs de Floride inculpent Graham Ivan Clark (17 ans), Mason Sheppard (22 ans) et Nima Fazeli (19 ans).
Le Département des services financiers de New York publie un rapport d'enquête détaillé critiquant les contrôles d'accès internes de Twitter.
Graham Clark plaide coupable en tant que jeune délinquant et est condamné à trois ans de prison.
Sources
- en.wikipedia.orghttps://en.wikipedia.org/wiki/2020_Twitter_account_hijacking
- dfs.ny.govhttps://www.dfs.ny.gov/Twitter_Report
- justice.govhttps://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
- blog.twitter.comhttps://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident