Kryp­to­grafie in Schadsoftware

Flüch­tig­keits­fehler

“Ein Glück, dass manche Kri­mi­nelle so dumm sind”, sagte Sarah White während ihres Talks “Pouring salt into the crypto wound” beim SteelCon in Shef­field 2019. In ihrem Vortrag ging es darum, wie schlechte Imple­men­ta­tionen von Kryp­to­grafie in Schad­software es Behörden und Firmen ermög­lichten, ver­schlüs­selte Daten ohne die Kenntnis des Schlüssels wie­der­her­zu­stellen — eigentlich eine unmög­liche Aufgabe.
Schaut man sich den Twit­terhack vom Juli an, kann man dort auch einige Flüch­tig­keits­fehler ent­decken und sich darüber freuen, dass die Angreifer in diesem Fall jung und uner­fahren genug waren, um nicht weitaus mas­sivere Schäden anzurichten.

“I am giving back to the com­munity”, begannen viele Twit­ter­nach­richten von bekannten Accounts wie Ex-Prä­­sident Barack Obama, Apple, Elon Musk oder Uber am 15. Juli 2020. Die Tweets ver­sprachen, dass man während eines kleinen Zeit­fensters von 30 Minuten $1000 in Bitcoin ver­doppeln könnte; man schickt sie an ein Wallet, ein Bitcoin Konto, und würde $2000 zurück über­wiesen bekommen.
Zeit­druck ist ein beliebtes, weil effek­tives Stil­mittel bei Betrug. Sei es dieser Angriff, die Chef­masche (CEO Fraud) oder Phishing — setzt man Leute mit Zeit unter Druck, ist Denken häufig weniger rational. Auch bei nicht-kri­­mi­­nellen Dingen wie Werbung wird so agiert: Udemy, zum Bei­spiel, eine Web­seite mit Lern­videos, bietet beim ersten Besuch immer einen erheb­lichen Rabatt für Neu­kunden an, wenn diese nur innerhalb der nächsten x Stunden kaufen. Es funk­tio­niert eben.
Es ist leicht, sich diese Tweets aus einer IT oder Secu­ri­ty­per­spektive anzu­sehen, und sie sofort zu durch­schauen. Trotzdem, ein wei­teres beliebtes kri­mi­nelles Stil­mittel in Phishing und Ähn­lichem, ist das Aus­nutzen von Gier. Auf die Schnelle 1000$ ver­dienen? Warum nicht? Auf die Frage “Warum sollten diese Accounts das tun?” kommen die von dem Betrug Betrof­fenen leider nicht ganz so schnell.
Hier ist viel­leicht schon der erste Flüch­tig­keits­fehler der Angreifer erkennbar; und er hat wohl auch mit dem Thema Zeit zu tun. Mal ehrlich, auch wenn man kein kri­mi­nelles Mas­termind ist: das Potential, mit den hoch­wer­tigen geka­perten Accounts poli­ti­schen oder wirt­schaft­lichen Schaden anzu­richten, ist enorm. Obama, der sich zum Bei­spiel für Trump aus­spricht, gegen Biden. Biden, der als Fake etwas unglaublich ras­sis­ti­sches sagt. Apple, die auf Grund eines Tweets an Bör­senwert ver­lieren. Elon Musk ist der Einzige, der durch seine manchmal wenig durch­dacht erschei­nenden Tweets viel­leicht eine Art Resistenz auf­gebaut hat, aber das tut nichts zur Sache. Auch private Nach­richten lesen oder ver­schicken, für diese Accounts, hat ein rie­siges Potential in viele Richtungen.

Und dann kas­siert man nur schnelle 1000$ von den Leuten, die darauf reinfallen?
Eine — zum Glück — ver­schwendete Gelegenheit.

Inzwi­schen sind die Draht­zieher des Angriffs namentlich benannt. Die Auf­klä­rungs­arbeit des FBI und zuar­bei­tender Institute und Per­sonen ist nicht zu unter­schätzen, und doch hatten sie es in dem Fall leicht.
ZDNet berichtet hier recht gut über die Hintergründe.

Nachdem es gelungen war, auf einen internen Slack-Workspace von Twitter zuzu­greifen, bei dem Zugangs­daten für ein internes Twitter-Admintool lesbar waren (gepinnt, sogar), musste ein Weg gefunden werden, die eben­falls vor­handene Zwei-Faktor-Authen­­ti­­fi­­zierung zu umgehen. Der Angreifer benutzte hierfür wohl maß­geblich Telefon und Social Engi­neering, um an weitere interne Accounts zu kommen und damit die Zwei-Faktor-Authen­­ti­­fi­­zierung umgehen zu können. Dann nahm der Angreifer Kontakt zu den zwei Kom­parsen auf. Nachdem er diesen am gleichen Tag noch bewiesen hatte, dass sie jeden belie­bigen Twitter-Account über­nehmen konnten, ver­kauften sie Account­zu­gänge ab $2000, oder auch nur die mit einem Account ver­knüpfte email-Adresse für $250.

Hier kommen weitere Per­sonen ins Spiel, die offen­sichtlich Accounts gekauft haben und die Krypto-Scam-Nach­richt von der Ver­dop­pelung der 1000$ gepostet haben.

An dem Punkt wurde natürlich bekannt, dass etwas nicht stimmen konnte, und kurz danach sperrte Twitter alle Premium-User (erkennbar am blauen Häkchen), so dass diese nichts mehr posten konnten, bis das Problem ana­ly­siert war.

Knappe drei Wochen später sind die ursprüng­lichen Angreifer iden­ti­fi­ziert; aber nicht wegen einer super Cybe­rap­pliance, die mit Hilfe von machine learning alle Angriffe eigen­ständig aus dem Netz filtert (und Twitter hat solche Appli­ances bestimmt im Netzwerk), sondern weil alle drei fatale Fehler gemacht haben und z.B. Mail­adressen in der Kom­mu­ni­kation ver­wendet hatten, mit denen sie sich auch auf Coinbase, einem Bitcoin-Exchange, regis­triert hatten. Der Haken? Bei Coinbase hatten sie zum Iden­ti­täts­nachweis auch Füh­rer­schein, Adresse etc. hoch­ge­laden, was dem FBI sehr wei­ter­ge­holfen hat.

Auch andere Hin­weise zum Zusam­menhang zwi­schen Namen, Wohnort und Mail­adresse bzw. Bitcoin-Wallets wurden ihnen zum Ver­hängnis; zum Bei­spiel Daten aus einem alten Breach eines Forums, das sich mit Kauf und Verkauf von Social Media Iden­ti­täten beschäftigt. Dort waren und sind alle drei regis­triert gewesen.

Neben der Dank­barkeit, die man für das ver­gleichs­weise milde Aus­nutzen der gefun­denen Lücke emp­finden kann, muss man aber auch sehen, dass es Flüch­tig­keits­fehler und wenig durch­dachte Hand­lungen waren, die letztlich zu einem schnellen, glimpf­lichen Ende und einer ebenso schnellen Iden­ti­fi­kation der Angreifer geführt hatten.

Bleibt abzu­warten, ob andere Käufer von wei­teren hoch­ran­gigen Twitter-Accounts klüger waren und Daten abge­zogen haben, die man mit weniger Lärm gewinn­brin­gender (oder schad­hafter) ein­setzen kann.