O Ataque Cibernético ao Twitter

No último sábado (18), o mundo digital se viu em alvoroço em mais um episódio de vazamento de dados, e o protagonista dessa vez foi o Twitter. Isso mesmo, hackers foram capazes de roubar dados de usuários da plataforma de microblogging. E não foi de usuários comuns, e sim celebridades, pessoas públicas e até organizações com milhões de seguidores que tiveram seus dados expostos, inclusive utilizando carteiras de bitcoin no esquema. Apesar de estar ainda sob investigação, já está claro que este episódio expôs uma grande vulnerabilidade do Twitter. 

Mas qual foi a dinâmica desse ataque? Mais ainda, em tempos de eleições, será que poderemos confiar no processo de escolha de futuros governantes?

Tendo como alvo as contas de líderes mundiais e celebridades no Twitter, hackers conseguiram orquestrar um ataque baseado em engenharia social, e assim promover um esquema envolvendo criptomoedas a partir das ferramentas de administração da própria rede social. Segundo o Verizon Data Breach Investigations Report 2020, 22% dos quase 4 mil incidentes e ataques de segurança pesquisados envolveram engenharia social. Bill Gates, Elon Musk, Barack Obama, Warren Buffer, e até o candidato à presidência dos EUA, Jon Biden, foram alguns dos perfis invadidos. Isso sem contar as contas da Apple e do Uber. 

Mas como esses hackers conseguiram executar esse ataque bem orquestrado?

A resposta vem em forma de duas palavras: SIM Swapping. SIM Swapping é uma técnica usada por agentes maliciosos que têm como objetivo transferir o número e os dados do chip SIM da vítima para outro sob sua posse. Neste caso, através de ataques de engenharia social, o hacker convence um usuário da linha telefônica que ocorreu algum problema com seu chip e necessita transferir o número para outro. Este tipo de ataque requer que algumas informações como o número, nome e outros dados já estejam em posse do atacante. Dependendo da situação, não existe muita dificuldade em conseguir essas informações, caso esses dados já tenham sido vazados, por exemplo. De forma semelhante, os agentes podem também aliciar funcionários das operadoras para realizarem essa transferência, já que estes possuem acesso a todos os dados necessários para troca.

Por meio de técnicas de Engenharia Social, os atacantes maliciosos enganam suas vítimas para, assim, obterem de maneira indevida acesso a credenciais e ferramentas administrativas. Ao obterem esse acesso, os hackers mudaram os endereços de e-mail de suas vítimas na rede de microblogging. Em seguida, os atacantes desativam o duplo fator de autenticação. Tornando, desta maneira, possível impedir que qualquer alerta de modificação da conta seja recebido pelo seu usuário legítimo. Com o controle absoluto das contas, os hackers iniciam a promoção do esquema de scam baseado em criptomoeda.

Normalmente, a lógica de um ataque cibernético como esse envolve algumas fases:

1. Reconhecimento: nesta primeira fase, os atacantes maliciosos tentam identificar rotinas de TI, assim como medidas de segurança e fluxo de tráfego de dados. Além disso, os hackers varrem todo o ambiente para terem uma visão clara dos recursos da rede, além de credenciais privilegiadas e serviços. Controladores de domínio, Active Directory e servidores são os primeiros alvos dos atacantes, para encontrarem outras credenciais privilegiadas e concluírem o ataque cibernético. Em muitos casos, esse conhecimento prévio pode existir devido a algum vínculo anterior do atacante com a organização vítima. 
2. Intrusão: baseado no que foi descoberto na fase de Reconhecimento, os hackers são capazes de entrar no ambiente normalmente a partir de malwares ou exploração de vulnerabilidades.
3. Exploração: essa fase envolve o ato de explorar vulnerabilidades para comprometer o ambiente.
4. Escalação de Privilégio: atacantes normalmente precisam de mais privilégios nos sistemas para, assim, obterem mais acessos e privilégios. Isto normalmente é feito através da escalação de privilégios de administrador.
5. Movimentação Lateral: uma vez no ambiente infectado, os atacantes podem se mover lateralmente para outros dispositivos e credenciais, a fim de obterem mais dados e mais acesso.
6. Obfuscação: para que o ataque cibernético seja bem-sucedido, os atacantes precisam apagar todas as trilhas deixadas no ambiente. Neste momento é possível, inclusive, adulterar dados de log e confundir o time de investigação de incidentes.
7. Negação de Serviço: disrupção do acesso normal de usuários e sistemas, para impedir que as ações do ataque sejam monitoradas ou bloqueadas.
8. Extração: quando o usuário malicioso consegue extrair os dados indevidamente.

Uma unanimidade entre os profissionais de cibersegurança é que esse ataque ao Twitter envolveu credenciais privilegiadas ou administrativas. Segundo o Data Breach Investigations Report, a utilização de credenciais privilegiadas ocorre em 20% dos ataques realizados. Esse tipo de credencial, também chamado de “chaves do reino”, permite acesso para realizar incluir, remover e modificar configurações em contas, aplicações e sistemas. Neste caso específico, o hacker foi capaz de comprometer uma credencial das ferramentas de administração do Twitter. Ao conseguir acesso, o atacante conseguiu se mover pelo ambiente, comprometendo outras contas privilegiadas. 

Segundo confirmação do próprio Twitter, a natureza do ataque foi realmente de ameaça interna ou insider threats. Quando se trata de violações de dados, os próprios colaboradores podem ser um dos maiores riscos à organização. De acordo com a Verizon, essas ameaças podem ser acidentais, quando o pessoal está apenas mal treinado; negligentes, os colaboradores tentam burlar as políticas implantadas; ou maliciosas – a mais perigosa –, quando o funcionário está motivado por ganhos financeiros, espionagem ou vingança. Um dado importante, ainda segundo a Verizon, é que 30% dos ataques cibernéticos executados em 2019 envolveram ameaças internas. 

Mas, como impedir esse tipo de ataque?

É complicado ter que lidar com o um ataque vindo de alguém de dentro da organização. Isso principalmente pelo fato desse insider threat conhecer (muito) bem o ambiente organizacional, os mecanismos e ferramentas instaladas. Assim é fácil para esses atacantes enganarem esses mecanismos de controle. No caso, a utilização de controles baseados em Zero Trust pode ser uma boa maneira de mitigar os riscos associados a um ataque cibernético. Trazendo para o aspecto de proteção de credenciais, a implementação desta estratégia deve não apenas estar focada na identidade puramente como acessos e permissões, mas também no aspecto de comportamento do usuário. Tanto que, neste caso específico, as credenciais comprometidas tinham mecanismos de proteção, como duplo fator de autenticação. Finalmente, as políticas baseadas em Zero Trust recomendam a implantação de políticas para permitir que as pessoas executem apenas as ações necessárias, baseado no conceito do Privilégio Mínimo.