Vrijdag maakten de Amerikaanse autoriteiten bekend dat ze drie personen hebben aangeklaagd voor de aanval op Twitter, waarbij tientallen accounts van geverifieerde prominenten en bedrijven werden overgenomen en gebruikt voor een bitcoinscam. Verschillende Gmail-adressen en Coinbase-accounts en een gelekte forumdatabase leidde de FBI naar de verdachten. Dat blijkt uit de aanklachten die openbaar zijn gemaakt.

Het meesterbrein achter de aanval is volgens de openbare aanklager een 17-jarige tiener uit Florida. De autoriteiten stellen dat de jongen op 3 mei toegang tot de systemen van Twitter wist te krijgen. Rond 14 juli lukte het de tiener om de getroffen Twitteraccounts over te nemen. De bitcoinscam vond op 15 juli plaats. Eerder liet Twitter al weten dat aanvallers via een telefonische phishingaanval toegang hadden gekregen tot inloggegevens van medewerkers. Deze medewerkers hadden echter geen toegang tot de interne tools die Twitter gebruikt voor het beheer van accounts. De informatie die de aanvallers op de interne Twitter-systemen aantroffen gebruikten ze vervolgens voor een aanval op medewerkers die wel toegang tot de beheertools hadden.

Naast een aantal van de gecompromitteerde accounts bevat de aanklacht tegen de 17-jarige tiener geen verdere informatie, zoals zijn werkwijze en hoe hij kon worden opgespoord (pdf). Dat is bij de twee andere verdachten een ander verhaal. Het gaat om een 19-jarige Brit en een 22-jarige Amerikaan. De 19-jarige Brit wordt verdacht van ‘wire fraud’, witwassen en het opzettelijk verkrijgen van toegang tot een beveiligde computer.

De Britse verdachte was actief op het OGUsers-forum, waar in gestolen socialmedia-accounts wordt gehandeld. Op de dag van de aanval plaatste hij een advertentie op het OGUsers-forum dat hij tegen betaling willekeurige Twitteraccounts kon overnemen, aldus de aanklacht. Eerder dit jaar werd de database van het forum gestolen en openbaar gemaakt. Ook de FBI kreeg een kopie van de gestolen database in handen.

De FBI ontdekte dat het account van de verdachte was gekoppeld aan een ander OGUsers-account. Op beide accounts was van hetzelfde Britse ip-adres ingelogd. Daarnaast bevatte de gelekte forumdatabase van dit tweede OGUsers-account een Gmail-adres. De verdachte had dit Gmail-adres ook gebruikt voor het registreren van een account bij cryptobeurs Coinbase. Bij het aanmaken van zijn Coinbase-account had de Brit ook een kopie van zijn rijbewijs opgestuurd. Coinbase verstrekte deze kopie aan de FBI.

De verdachte had ook twee accounts bij cryptobeurs Binance, waarvan hij voor één hetzelfde Gmail-adres had gebruikt waarmee hij ook zijn OGUsers- en Coinbase-account had geregistreerd. Wederom had hij ook aan Binance een kopie van zijn paspoort verstrekt. Verschillende betalingen die gebruikers van het OGUsers-forum deden voor het overnemen van Twitteraccounts leidde naar de bitcoin-wallets van de verdachte, aldus de FBI (pdf).

De 22-jarige Amerikaan zou zich schuldig hebben gemaakt aan medeplichtigheid aan en aanzetting tot het opzettelijk verkrijgen van toegang tot een beveiligde computer. Hij zou zich ook hebben opgesteld als tussenpersoon, waarbij hij reclame maakte voor het tegen betaling overnemen van Twitteraccounts, wat uiteindelijk door de 17-jarige wordt gedaan, zo laat de aanklacht weten. Zelf weet hij via de tiener het Twitteraccount @foreign in handen te krijgen.

De Amerikaanse verdachte is actief op chatplatform Discord en het OGUsers-forum. Dankzij de gelekte database krijgt de FBI ook inzicht in zijn privéberichten en het e-mailadres waarmee hij zich registreerde. Het blijkt om een Gmail-adres te gaan waarmee hij een Coinbase-account registreerde. Ook de Amerikaanse verdachte stuurt een kopie van zijn rijbewijs naar Coinbase.

Dit Coinbase-account leidt de FBI naar een tweede en derde Coinbase-account dat de verdachte heeft aangemaakt en waarvoor hetzelfde rijbewijs is gebruikt. In de aanklacht wijst de FBI ook naar twee ip-adressen waarmee op de Coinbase- en Discord-accounts is ingelogd. Ip-adressen van twee providers in Florida, de staat waar de verdachte vandaan komt. Volgens de Amerikaanse opsporingsdienst is er dan ook genoeg bewijs om de alias van de verdachte op Discord en OGUsers aan zijn persoon te koppelen (pdf).

Source