外媒還原Twitter攻擊事件經過:FBI是如何鎖定三名黑客的
就上月中旬發生的Twitter攻擊事件,今天美國執法部門對三名嫌犯發起公訴。根據美國司法部披露的法庭文件,外媒ZDNet拼湊出了本次攻擊事件的時間線,以及美國調查人員是如何追踪到這三名黑客的。
根據美國司法部今天公佈的三份起訴書,本案涉及的三名嫌犯分別包括
Mason Sheppard:網名Chaewon,現年19歲,來自英國Bognor Regis [ 起訴書 ]
Nima Fazeli:網名Rolex,現年22歲,來自美國佛羅里達州奧蘭多市[ 起訴書 ]
Graham Ivan Clark:網名Kirk,現年17歲,來自美國佛羅里達州坦帕市[ 起訴書 ]
根據法庭文件,整個黑客攻擊事件始於今年5月3日,當時居住在美國加州的Graham Ivan Clark 獲得了Twitter 部分網絡的訪問權限。不過目前並不清楚5月3日至7月15日(黑客實際發起攻擊的當天)之間發生了什麼事情,但Clark 在獲得權限之後似乎並沒有立即採取攻擊行動。
根據紐約時報的跟踪報導,Clark 最初獲得的是Twitter 內部Slack 工作空間之一的訪問權限,而不是Twitter 本身。紐約時報在報導中稱,該黑客發現了Twitter 的一個技術支持工具的憑證被固定在該公司的Slack 頻道上。
這個工具的圖片在黑客入侵當天在網絡上曝光,該工具允許Twitter 員工控制Twitter 賬戶的所有方面。不過這個工具的憑證並不足以訪問Twitter 後台,在Twitter 官方博客中表示,這個管理後台的賬戶受到了雙因素認證(2FA)的保護。
目前還不清楚Clark 花了多少時間來做這件事,不過在同一篇調查報告中稱黑客利用”電話魚叉式網絡釣魚攻擊”欺騙了部分員工,並獲得了他們賬戶的訪問權限,而且”通過了[Twitter]的雙因素保護”。根據Twitter 的說法,這發生在7月15日,也就是黑客攻擊的當天。
在攻擊事件發生之後,美國FBI 發現Clark 在Discord 上的網名稱之為“Kirk#5270”。當時,他聯繫了另外兩個人,幫助將牟取的比特幣換成現金。
法庭文件中包含的聊天記錄顯示,克拉克(Discord 用戶”Kirk#5270″)與OGUsers 的Discord 頻道的另外兩名用戶接觸,OGUsers 是一個專門為黑客出售和購買社交媒體賬號的論壇。
在聊天記錄中,克拉克接近了另外兩名黑客(Fazeli為Discord用戶”Rolex#037″,Sheppard為Discord用戶”ever so anxious#0001″),並聲稱自己在Twitter工作。
他通過修改Fazeli(Rolex#037)擁有的一個賬號的設置來證明自己的說法,還向Fazeli出售了@foreign Twitter賬號的訪問權限。
此外,Clark 還向Sheppard 出售了多個短Twitter 賬號的使用權,包括@xx, @dark, @vampire, @obinna 和@drug。
由於Clark 讓另外兩人相信了他的權限級別,三人達成協議,在OGUsers論壇上發布廣告,宣傳克拉克劫持Twitter賬號的能力。
在發布這些廣告後,據信有多人購買了Twitter 賬戶的訪問權限。在美國檢察官執行辦公室發佈在YouTube 上的錄音信息中,調查人員表示,他們仍在調查多名參與黑客攻擊的用戶。
據信,其中一名當事人負責在7月15日購買名人驗證Twitter賬戶的訪問權限,並發布了一條加密貨幣詐騙信息。
Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg等人的賬戶上隨後被發現,要求用戶向幾個地址發送比特幣。
法庭文件稱,操作此次騙局中使用的錢包的黑客獲得了12.83個比特幣,約合11.7萬美元。隨後的調查還顯示,加密貨幣交易所Coinbase 在黑客入侵當天就阻止了向詐騙地址的交易,最終阻止了另外28 萬美元被送到騙子手中。