Oakland/Kalifornien – Vier Personen, die an dem Twitter-Hack auf die Accounts von Prominenten wie Präsidentschaftskandidat Joe Biden oder Ex-US-Präsident Barack Obama beteiligt gewesen sein sollen, haben sich offenbar an die "New York Times" (NYT) gewandt und Einblicke in die Abläufe des Angriffs gegeben. Laut eigenen Angaben waren sie selbst nur teilweise an dem Hack beteiligt und hoffen offenbar mit der Beichte "einige Dinge ins rechte Licht rücken" zu können, wie sie gegenüber der NYT sagten. Bei der Gruppe handelt es sich laut NYT um junge Erwachsene – unter ihnen ein 19-Jähriger, der bei seiner Mutter lebt.

Die NYT verifizierte nach eigenen Angaben, dass die vier Informanten mit dem Hack verbunden waren, indem sie ihre Konten für soziale Medien und Kryptowährung mit Konten abglichen, die an den Ereignissen am Mittwoch beteiligt waren. Die Gruppe soll auch Beweise wie die Chat-Protokolle auf der Online-Messaging-Plattform Discord und Twittter geliefert haben, die ihre Beteiligung belegen.

"Ich arbeite bei Twitter"

"Yoo bro". Mit einer Nachricht dieses Wortlauts begann offenbar der Twitter-Hack der diese Woche auf politische, unternehmerische und kulturelle Eliten abzielte. Gesendet wurde sie auf Discord von einem User namens "Kirk" an einen anderen namens "lol". Der NYT liegen Screenshot des Chats vor. "Ich arbeite bei Twitter ... zeige das niemandem ... ernsthaft." Anschließend erklärt "Kirk", dass er die Kontrolle über wertvolle Twitter-Konten übernehmen könne – was Insider-Zugriff auf das Computernetzwerk des Unternehmens erfordern würde.

"Kirk" spielt offenbar eine zentrale Rolle bei dem Angriff. Wie eine Analyse der Bitcoin-Transaktionen von NYT und dem Forschungsunternehmen ChainalysisEr ergab, transferierte er offenbar im Laufe des Mittwochs wiederholt Geld in und aus derselben Bitcoin-Adresse. Zu Erinnerung: Auf den Accounts der Prominenten erschien am Mittwoch plötzlich der Aufruf, Bitcoins an ein Konto zu senden. Diese würden dann verdoppelt und zurückgesandt, aber nur für 30 Minuten.

Der User "lol" und ein weitere namens "ever so anxious," gaben gegenüber der NYT an, über ihre Arbeit mit "Kirk" auspacken zu wollen, um zu beweisen, dass sie nur am hacken weniger bekannterer Twitter-User beteiligt waren. Sie hätten aufgehört, als "Kirk" begann, hochrangigere Profile anzugreifen. "Ich wollte meine Geschichte nur erzählen, weil ich denke, dass ihr vielleicht etwas über mich und 'ever so anxious,' ins rechte Licht rücken könnt.", so "lol" gegenüber der NYT.

"lol" bestätigte seine wahre Identität nicht, gab aber an, er sei Mitte zwanzig und lebe an der US-Westküste. "ever so anxious," gab an, er sei 19 und lebe bei seiner Mutter im Süden Englands.

Usernamen verkauft

"Kirk" soll am Dienstagmorgen zu "lol" und "ever so anxious," Kontakt aufgenommen haben, mit der Frage ob sie sich an dem Hack beteiligen wollen. Er bot ihnen einen Anteil an jeder Transaktion an, die auf das entsprechende Bitcoin-Konto überwiesen wird.

Auf der unter Hackern bekannten Website OGusers.com soll die Gruppe dann über den Vormittag hinweg Twitter-Usernamen gegen Bitcoins angeboten haben. In der Szenen sind nämlich sogenannte "O.G. User Namen" – meist sehr kurze Wörter oder nur eine Nummer – heiß begehrt. Das Geld, das für diese Namen bezahlt wurde, ging auf dasselbe Bitcoin-Konto, das "Kirk" später für den Hack von Prominenten benutzte.

Im Verlauf des Tages soll "Kirk" dann demonstriert haben, welch weitreichenden Zugang er zu den Twitter Systemen habe. Er konnte offenbar Sicherheitseinstellungen in jeglichem Twitter Account ändern und auch Screenshots von internen Twitter Dashboards verschicken, die beweisen, dass er die Accounts unter Kontrolle hat.

Ermittler bestätigen Plausibilität der Aussagen

Alle Transaktionen in die "lol" und "ever so anxious," involviert waren, sollen vor 3.30 Uhr (Ortszeit) am Mittwoch stattgefunden haben. Dann sollen sie in einigen Nachrichten angedeutet haben, dass sie müde seien und sich schließlich von "Kirk" verabschiedet haben. Kurz darauf startete dieser die Angriffe auf Prominenten wie Kanye West, Jeff Bezos und einige mehr.

Twitter erklärte zuletzt, dass bei dem Hack 130 Accounts angegriffen wurden. Zu 45 davon sollen sich die Hacker Zugang verschafft haben und Nachrichten versandt haben. Von acht Accounts sollen Daten herunter geladen worden sein. Wer "Kirk" ist, ist bisher noch unklar.

Laut NYT-Bericht bestätigten Ermittler, dass sich die Aussagen der Informanten mit dem decken würden, was man bisher über den Hack wüsste. In Kontakt gebracht hat Journalisten und Hacker ein Sicherheitsfoscher namens Haseeb Awan aus Kalifornien. Er sei nach eigenen Angaben mit der Gruppe in Kontakt gestanden, weil sie kürzlich versucht hätten, eine Bitcoin-Firma, die ihm gehörte, anzugreifen. (jop, 18.7.2020)