Jak kanały Linus Media Group padły ofiarą przejęcia sesji: alarm bezpieczeństwa cybernetycznego

May 08 2023
Linus Tech Tips, popularny kanał technologiczny YouTube z ponad 15 milionami subskrybentów, wraz z dwoma innymi kanałami w ramach Linus Media Group, której właścicielem jest Linus Sebastian, padł ostatnio ofiarą wyniszczającego cyberataku. Atakujący wykorzystał technikę znaną jako przejęcie sesji, aby skompromitować kanały i wyemitować oszukańcze treści, w których Elon Musk omawia kryptowaluty.
Linus Sebastian, „poczekaj na mnie, kiedy będę miał kanał do przesłania” [Źródło]

Linus Tech Tips, popularny kanał technologiczny YouTube, który ma ponad 15 milionów subskrybentów, wraz z dwoma innymi kanałami należącymi do Linus Media Group, których właścicielem jest Linus Sebastian , niedawno padł ofiarą wyniszczającego cyberataku. Atakujący wykorzystał technikę znaną jako przejęcie sesji, aby skompromitować kanały i wyemitować oszukańcze treści, w których Elon Musk omawia kryptowaluty. Szczególnie niepokojące w tym incydencie jest to, że atakujący nie potrzebował hasła Linusa, aby przeprowadzić włamanie.

W tym wpisie na blogu zagłębimy się w szczegóły przejmowania sesji, czyli techniki wykorzystywanej przez hakera do przeprowadzania tego ataku. Przeanalizujemy również czas reakcji zespołu bezpieczeństwa zaangażowanego w obsługę incydentu. Dodatkowo omówimy wpływ przejmowania sesji na firmy i osoby prywatne, a także udzielimy wskazówek, jak chronić się przed podobnymi atakami.

Zrozumienie przejmowania sesji i jego mechanizmów

Przejęcie sesji, zwane również przejęciem plików cookie lub utrwalaniem sesji, to rodzaj cyberataku, który polega na kradzieży tokena sesji użytkownika. Ten token to fragment danych, który weryfikuje tożsamość użytkownika podczas logowania na stronie internetowej. Gdy haker uzyska dostęp do tego tokena, może podszyć się pod użytkownika i wykonywać działania w jego imieniu bez konieczności dodatkowego uwierzytelniania, takiego jak hasło.

Proces przejmowania sesji ilustruje poniższy diagram sekwencji:

Aby lepiej zrozumieć przechwytywanie sesji, zapoznaj się z przykładowym kodem przedstawionym poniżej, aby uzyskać praktyczną wizualizację tej koncepcji. Ta sekwencja kodu zawiera funkcje, które symulują proces tworzenia tokena sesji, uwierzytelniania użytkownika i wykonywania działań na stronie internetowej. Dodatkowo ilustruje, w jaki sposób atakujący przechwytuje i kradnie token sesji, podszywa się pod użytkownika i wykonuje działania w jego imieniu bez konieczności dodatkowego uwierzytelniania. Ten kod jest przydatnym narzędziem do zrozumienia luk w procesie tokena sesji, które atakujący mogą wykorzystać do przejęcia sesji.

function createSessionToken() {
  console.log("Creating a session token for the user");
  return "sample_session_token";
}

function authenticateUser(token) {
  console.log("Authenticating user with the session token");
  return token;
}

function performUserActions() {
  console.log("Performing user actions on the website");
}

function interceptToken(token) {
  console.log("Attacker intercepts and steals the session token");
  return token;
}

function impersonateUser(token) {
  console.log("Attacker impersonates the user using the stolen token");
  return token;
}

function performAttackerActions() {
  console.log("Attacker performs actions on the user's behalf without needing a password or other authentication");
}

function sessionHijackingExample() {
  const sessionToken = createSessionToken();
  authenticateUser(sessionToken);
  performUserActions();

  const stolenToken = interceptToken(sessionToken);
  impersonateUser(stolenToken);
  performAttackerActions();
}

sessionHijackingExample();

Ekstrakcja tokena sesji: spojrzenie na naruszenie Linus Tech Tips

W incydencie Linus Tech Tips jeden z pracowników Linusa nieumyślnie pobrał złośliwe oprogramowanie, gdy próbował uzyskać dostęp do pliku PDF. Złośliwe oprogramowanie wyodrębniało następnie token sesji z przeglądarki pracownika i przesyłało go atakującemu. Posiadając skradziony token, osoba atakująca może wysyłać żądania uwierzytelnione jako Linus, skutecznie omijając potrzebę podania hasła lub uwierzytelnienia dwuskładnikowego. Aby lepiej zrozumieć, w jaki sposób doszło do tego ataku, zapoznaj się z załączonym diagramem, który wizualnie przedstawia sekwencję zdarzeń, które miały miejsce podczas włamania.

Na podstawie powyższego przepływu pracy i kodu edukacyjnego możemy opisać przejęcie sesji użyte do ataku na kanał Linus Tech Tips YouTube w następujący sposób:

function downloadPDF() {
  console.log("Employee attempts to download a PDF file");
  return false;
}

function downloadMalware() {
  console.log("Malware is downloaded instead of the PDF file");
  return true;
}

function infectBrowser() {
  console.log("Malware infects the employee's browser");
}

function extractSessionToken() {
  console.log("Malware extracts the session token from the browser");
  return "sample_session_token";
}

function sendTokenToAttacker(token) {
  console.log("Malware sends the session token to the attacker");
  return token;
}

function attackerAuthenticates(token) {
  console.log("Attacker uses the session token to authenticate as Linus");
  return token;
}

function attackerSendsRequests() {
  console.log("Attacker sends requests to the website without needing a password or two-factor authentication");
}

function linusTechTipsIncident() {
  const isPDFDownloaded = downloadPDF();
  
  if (!isPDFDownloaded) {
    const isMalwareDownloaded = downloadMalware();
    
    if (isMalwareDownloaded) {
      infectBrowser();
      const sessionToken = extractSessionToken();
      const stolenToken = sendTokenToAttacker(sessionToken);
      attackerAuthenticates(stolenToken);
      attackerSendsRequests();
    }
  }
}

linusTechTipsIncident();

Odkrywanie etapów hakowania kanałów YouTube

Kanały technologiczne w ataku

Atakowane kanały techniczne Atak na kanały YouTube rozpoczął się, gdy konto Linus Tech Tips zostało przemianowane na Tesla („testlaonline1”) i rozpoczęło się przesyłanie strumieniowe nagrania w stylu podcastu, w którym Elon Musk omawia kryptowaluty (patrz migawka poniżej).

Kanał YouTube „Linus Tech Tips” został przemianowany na „Tesla” z nazwą użytkownika „testlaonline1” podczas cyberataku.

Pierwszy pilny alarm

Według Linusa Sebastiana, został on powiadomiony o cyberataku na kanały YouTube przez Stephena Burke'a wczesnym rankiem 23 marca, w strefie czasowej Kolumbii Brytyjskiej, która jest przypuszczalnie miejscem zamieszkania Linusa.

Linus Tech Tips walczy z cyberatakiem

Właściciel kanału, Linus Sebastian, początkowo próbował złagodzić atak, ustawiając strumienie jako prywatne, unieważniając klucz strumienia kanału i resetując dane logowania do konta.

Linus Sebastian i jego zespół, w tym jego żona, pracowali nad przywróceniem kanałów, ustawiając je jako prywatne, unieważniając klucz kanału i resetując dane logowania do konta.

Pomimo wysiłków właściciela, aby złagodzić atak poprzez uczynienie transmisji prywatnymi, unieważnienie klucza transmisji kanału i zresetowanie danych logowania do konta, atakującemu udało się szybko odzyskać dostęp i wznowić transmisje na żywo. Ta wymiana trwała przez kilka godzin, podczas których konta Linus Tech Tips , Tech Linked i Techquickie były używane do hostowania strumieni kryptograficznych Elona Muska.

Atakujący przejęli kontrolę nad kanałem i uruchomili transmisję na żywo zawierającą stare wideo Elona Muska i innych znanych postaci rozmawiających o kryptowalutach.

Crypto Giveaway Scam Modus Operandi

Mimo że strumienie same w sobie nie były oszustwami, były połączone z oszukańczą stroną internetową, która obiecywała podwojenie zwrotu z każdego wysłanego bitcoina. Atak składał się z kilku faz.

Oszuści zaprojektowali witrynę phishingową w celu zdobycia 100 milionów dolarów kryptowaluty [Źródło]

Oszuści zaprojektowali wyrafinowaną witrynę phishingową, która twierdziła, że ​​oferuje nagrodę w postaci kryptowaluty o wartości 100 milionów dolarów, i zwabiła uczestników do wysłania swoich zasobów kryptograficznych na określone adresy, obiecując podwojenie ich inwestycji. Poniższe rysunki przedstawiają więcej szczegółów.

Celem transmisji na żywo była promocja fałszywej kryptowaluty, która obiecywała podwojenie inwestycji uczestników. [Źródło]
Proszę nie wysyłać krypto na te adresy. Są to adresy zamieszczone na oszukańczych stronach kryptograficznych powiązanych z wieloma porwaniami kanału Linus Tech Tips Media Group na YouTube i służą wyłącznie do celów edukacyjnych i analitycznych. [Źródło]

Oszuści

Oszuści byli w stanie zebrać znaczną ilość środków poprzez przejęcie sesji, nie zwracając niczego ofiarom. Analiza zapisów transakcji wykazała, że ​​byli w stanie ukraść Ethereum o wartości 5 170,65 USD (po opłatach), Dogecoin o wartości 293,91 USD i Bitcoin o wartości 1 450,55 USD, w wyniku czego oszukano łącznie 6 915,11 USD. Poniżej zobacz szczegółową listę transakcji:

Oszuści otrzymali Dogecoin o wartości 293,91 USD.
Hakerom udało się wyłudzić bitcoiny o wartości 1450,55 USD.
Ponadto osoby atakujące były w stanie uzyskać znaczną ilość środków poprzez przejęcie sesji. Według naszej analizy byli w stanie ukraść Ethereum o wartości 5170,65 USD (5180,64 USD po opłatach).

Koniec skanowania

Rzecznik YouTube potwierdził, że współpracował z zespołem Linus Tech Tips w celu zabezpieczenia i przywrócenia konta po otrzymaniu powiadomienia o nieautoryzowanym dostępie. Po kilku godzinach konta zostały usunięte. Zostały one jednak przywrócone kilka dni później do stanu sprzed cyberataku.

Kanały pozostawały zamknięte do 25 marca 2023 r.

Analiza kryminalistyczna

Po zebraniu powyższych informacji o etapach włamania na kanał YouTube, konieczna jest szczegółowa analiza ataku, aby zrozumieć, co się stało i jakie kroki można podjąć, aby zapobiec podobnym sytuacjom w przyszłości.

Punkt kompromisu

Z powyższego opisu przejęcie sesji można przede wszystkim uprościć w następujący sposób:

Badając poziom aktywności zarówno ze strony właściciela kanału, jak i atakującego, kluczowe pytania do rozważenia to: kto był celem, jaka była motywacja ataku i jaka była rola właściciela platformy lub zespołu ds. bezpieczeństwa podczas incydentu?

Cel i motywacja

Atak Session Hijacking był wymierzony w inwestorów kryptograficznych. Podsumowując, zagrożenie można opisać następująco:

Aktorzy zagrożenia są pokazani na złoto, wektor ataku na jasnoniebiesko, cele/motywacje na jasnozielono, a wpływ jest przedstawiony na czerwono.

Diagram ilustruje powiązania między sprawcami, nieznanymi hakerami lub grupą hakerską oraz oszustami zaangażowanymi w atak. Hakerzy wykorzystali techniki, takie jak Exploited Session Tokens i Obejście konwencjonalnych środków bezpieczeństwa, aby zaatakować kanały YouTube. W międzyczasie oszuści utworzyli witrynę phishingową, aby oszukać Crypto Investors, aby wysyłali swoje aktywa na określone adresy. Motywem obu grup był zysk finansowy, na co wskazują ich powiązania z odpowiednimi sprawcami. Skutki ataku spowodowały utratę kontroli nad kanałami YouTube, przesyłanie strumieniowe fałszywych treści, potencjalne straty finansowe oraz nieautoryzowane gromadzenie aktywów kryptograficznych od oszukanych inwestorów. Dzięki kampanii phishingowej oszuści byli w stanie wyłudzić około 7 000 USD.

Proces reagowania na incydenty

W tym momencie postaramy się zebrać wszystkie dostępne informacje dostarczone przez właściciela kanału . Musimy jednak zachować ostrożność, ponieważ YouTube, podmiot zależny Google, odpowiedzialny za bezpieczeństwo i reagowanie na incydenty, nie udostępnia żadnych dodatkowych informacji

Znaczniki czasu powinny być oparte na strefie czasowej GMT -7 w Victorii, BC, ponieważ jest to miejsce zamieszkania Linusa Sebastiana. Dodatkowo informacje zostały zaczerpnięte z wideo po włamaniu, [Źródło]. W związku z tym oś czasu może być częściowo ukierunkowana na zaatakowaną osobę i nie można jej prześledzić wstecz do plików dziennika ani żadnych innych możliwych do prześledzenia zapisów.

Na podstawie przeanalizowanych i udoskonalonych informacji wyciągnęliśmy następujące godne uwagi spostrzeżenia:

Wnioski wynikające z przeanalizowanych i udoskonalonych informacji

1. Zespół ds. bezpieczeństwa otrzymał oficjalne powiadomienie o ataku 20 minut po poinformowaniu właściciela Linusa Sebastiana. Uważa się jednak, że przejęcie sesji miało miejsce prawie 1 godzinę wcześniej. Rodzi to pytanie: czy YouTube nie może monitorować kanałów z milionami subskrybentów w czasie rzeczywistym i stosować protokoły bezpieczeństwa i narzędzia nadzoru, aby zapobiegać atakom?

2. Stephen Burke był pierwszą osobą, która wykryła włamanie. Prowadzi to do pytania: W jaki sposób Stephen dowiedział się o włamaniu i jakie dowody ujawniły to odkrycie?

3. Pojawia się dodatkowe pytanie: Dlaczego Linus Sebastian próbował usunąć wszystko niezależnie? Wspomniał, że brakuje mu wiedzy, jak samodzielnie wyeliminować dane uwierzytelniające, ale przez kilka godzin podejmował się różnych zadań związanych z IT.

4. Zrozumienie typowej standardowej procedury YouTube dotyczącej zarządzania takimi incydentami ma kluczowe znaczenie. Czy nie istnieją żadne mechanizmy rejestrowania związane z GPS lub inne środki ustanowione w celu śledzenia i utrudniania nieautoryzowanego dostępu?

Wpływ finansowy:

Linus Media Group generuje szacunkowo 1 592 032 USD miesięcznie z YouTube AdSense, przy czym kwota ta różni się w zależności od liczby wyświetleń wideo uzyskanych w danym miesiącu. Przekłada się to na około 52 067 USD dziennie i 2169 USD za godzinę. Zarobki za ostatni miesiąc byłyby zbliżone do tych szacunków, co przedstawiono w następujących szczegółach:

Źródło

W ciągu 5,1 godziny ataku Linus Media Group straciła około 11 061,9 USD. Po prawie dwóch dniach zamknięcia kanałów pojawiły się dodatkowe straty. Doba ma 24 godziny, więc dwa dni to 48 godzin. Aby obliczyć utratę dochodu w tym czasie, pomnóż godzinowy dochód przez liczbę godzin, przez które kanał był zamknięty: 2169 USD na godzinę * 48 godzin = 104 112 USD

Podsumowując, podczas 5,1-godzinnego ataku i następującego po nim dwudniowego zamknięcia kanałów, Linus Media Group straciła łącznie około 115 173,9 USD potencjalnych przychodów z YouTube AdSense.

W celach edukacyjnych zapoznaj się z poniższym kodem Lua, aby obliczyć utratę dochodów podczas cyberataku i zamknięcia kanału. Należy pamiętać, że nie uwzględniliśmy potencjalnej utraty obserwujących ani utraty reputacji w wyniku tego zdarzenia. Ta analiza cyberbezpieczeństwa jest przeznaczona wyłącznie do celów edukacyjnych.

Ten skrypt Lua oblicza całkowitą utratę dochodu dla Linus Media Group podczas 5,1-godzinnego ataku i następującego po nim dwudniowego zamknięcia kanału przy użyciu podanych stałych. Następnie drukuje wyniki obliczeń.

Zdobyta wiedza

Właściciel kanału zdał sobie sprawę, jak ważne jest usprawnienie szkoleń i procesów w ich organizacji, aby uniknąć przyszłych ataków. Podkreślił kilka kluczowych aspektów, które mogą przyczynić się do wzmocnienia bezpieczeństwa jego kanału:

Ulepszone szkolenia i procesy : Bardzo ważne jest, aby edukować się na temat potencjalnych zagrożeń bezpieczeństwa, najlepszych praktyk i najnowszych trendów w zakresie cyberbezpieczeństwa. Regularne sesje szkoleniowe, warsztaty i symulacje mogą pomóc w podnoszeniu świadomości i promowaniu proaktywnej kultury bezpieczeństwa. Obejmuje to naukę rozpoznawania prób phishingu, używania silnych i unikalnych haseł oraz zgłaszania podejrzanych działań.

Ulepszone opcje bezpieczeństwa dla atrybutów kanału : Właściciel kanału zasugerował wdrożenie dodatkowych środków bezpieczeństwa dla krytycznych funkcji kanału, takich jak kontrola dostępu, przesyłanie filmów i ustawienia transmisji na żywo. Można to osiągnąć, wprowadzając szczegółowe uprawnienia i dostęp oparty na rolach, aby ograniczyć potencjalne wektory ataków i zminimalizować ryzyko nieautoryzowanego dostępu.

Monity o ograniczenie szybkości i uwierzytelnienie ⌛: Ograniczenie szybkości ogranicza częstotliwość niektórych działań, takich jak próby logowania, w określonych ramach czasowych. Może to pomóc w zapobieganiu atakom siłowym i zmniejszeniu prawdopodobieństwa nieautoryzowanego dostępu. Dodatkowo wdrożenie monitów o uwierzytelnienie dla określonych działań, takich jak zmiana ustawień konta lub inicjowanie transmisji na żywo, dodaje kolejną warstwę zabezpieczeń w celu potwierdzenia tożsamości użytkownika.

Solidne zasady tokenów sesji ️: Tokeny sesji służą do uwierzytelniania użytkowników podczas ich sesji przeglądania i mogą być podatne na przejęcie, jeśli nie są odpowiednio zabezpieczone. Właściciel kanału zaproponował wdrożenie tokenów sesyjnych opartych na czasie, które automatycznie wylogowują użytkowników po z góry określonym okresie bezczynności, zmniejszając okno okazji dla atakujących. Uwierzytelnianie oparte na lokalizacji, które wymaga od użytkowników weryfikacji tożsamości podczas uzyskiwania dostępu do kanału z nowej lokalizacji lub urządzenia, może również pomóc w zapobieganiu nieautoryzowanemu dostępowi.

Należy zauważyć, że potencjalna utrata obserwujących lub utrata reputacji w wyniku tego zdarzenia nie została uwzględniona. Ta analiza cyberbezpieczeństwa jest przeznaczona wyłącznie do celów edukacyjnych. Zajmując się tymi obszarami, właściciel kanału ma nadzieję stworzyć bezpieczniejsze środowisko ️ dla swojego kanału i ograniczyć ryzyko przyszłych cyberataków ️.

Uwagi dla właścicieli platform i kanałów

Chciałbym zarekomendować, aby zarówno zespół ds. bezpieczeństwa odpowiedzialny za ochronę kanału, jak i właściciel platformy (YouTube) podjęli następujące kroki:

️ Nadaj priorytet bezpieczeństwu: ten incydent podkreśla znaczenie priorytetowego traktowania bezpieczeństwa, szczególnie w przypadku głośnych kanałów i kont. Wdrażanie protokołów bezpieczeństwa i narzędzi do monitorowania może pomóc w zapobieganiu atakom lub łagodzeniu ich skutków.

Regularnie aktualizuj dane uwierzytelniające: Właściciel kanału musi często aktualizować i zmieniać hasła oraz inne dane uwierzytelniające, aby uniemożliwić nieautoryzowany dostęp. W tym przypadku Linus Sebastian miał trudności z usunięciem danych uwierzytelniających po ataku, co sugeruje, że mogły one nie być regularnie aktualizowane.

Miej oficjalny plan reagowania: opracowanie formalnego planu reagowania może pomóc zmniejszyć szkody spowodowane atakiem i upewnić się, że właściciel kanału jest świadomy swoich ról i obowiązków. Może to również zapobiec zamieszaniu i opóźnieniom w komunikacji, które są kluczowe podczas incydentu.

Uważnie monitoruj kanały: chociaż śledzenie kanałów z milionami subskrybentów w czasie rzeczywistym może być trudne, bardzo ważne jest ich uważne monitorowanie i szybkie reagowanie na wszelkie podejrzane działania lub nieautoryzowany dostęp.

️ Bądź przejrzysty i komunikuj się z widzami: po ataku lub incydencie związanym z bezpieczeństwem ważne jest, aby właściciel kanału zachował przejrzystość wobec widzów i przekazywał wszelkie aktualizacje lub informacje o sytuacji. Może to pomóc zachować zaufanie i zapobiec rozprzestrzenianiu się spekulacji lub plotek.

Przestrzegając powyższych punktów, organizacje i osoby prywatne mogą lepiej chronić swoje kanały i konta przed potencjalnymi cyberatakami.

Dziękujemy za poświęcenie czasu na przeczytanie tego wpisu na blogu. Twoja opinia jest bardzo cenna, ponieważ pomaga mi stale ulepszać moje treści. Twój wkład jest dla mnie cenny i czekam na wiadomość od Ciebie. Jeszcze raz dziękuję za wsparcie i bycie częścią tej społeczności.