FBI是如何追踪Twitter黑客的
本文由成都链安翻译。
Twitter黑客事件的时间线,由2020年8月1日发布的法院文件构成。
Catalin Cimpanu | 2020年8月1日-GMT 01:01(SGT 09:01)
图片来源:Volodymyr Hryshchenko,ZDNet,Twitter
2020年8月1日早些时候,在美国司法部法院发布的文件的帮助下,美国执法部门(DOJ)对最近的Twitter黑客事件指控了三人,ZDNet整理出了黑客事件的时间线,以及美国调查人员是如何追踪这三名嫌疑黑客的。
以下文章引用了美国司法部于8月1日发布的三项起诉书中的数据:
Mason Sheppard,又名『Chaewon,』,19,博格诺里吉斯,英国【起诉书】
Nima Fazeli,又名『Rolex,』,22,奥兰多,佛罗里达【起诉书】
Graham Ivan Clark,据信为『Kirk,』,17,坦帕,佛罗里达【起诉书,母版】
根据法院文件,整个黑客事件似乎始于5月3日,当时Clark(一名来自坦帕,但居住在加利福尼亚的青年)获得了Twitter网络的一部分访问权限。
图片来源:ZDNet
此处,时间线变得模糊,尚不清楚5月3日至7月15日之间,也就是实际的黑客事件发生的时候,发生了什么。但能看出Clark没有能够立即从其最初的入口点转移到其后来用于接管账户的Twitter管理工具。
然而,据《纽约时报》报道,在Twitter遭到黑客攻击后几天,Clark最先获得的是Twitter内部的Slack工作区的一处访问权限,而不是Twitter本身。
《纽约时报》记者援引了黑客社区的信息来源,表明这些黑客是找到了Twitter技术支撑工具之一的凭证,该凭证与公司的一处Slack通道密不可分。
该工具允许Twitter员工能够控制Twitter账户的所有方面,后来这个工具的图片在黑客事件发生当天在网络上曝出。
图片来源:Reddit
然而,此工具的凭证不足以访问Twitter后端。在一篇发布的Twitter博文中详述了在黑客事件中对于公司的调查,Twitter表明此管理后端的账户受到双重验证(2FA)保护。
尚不清楚Clark花了多长时间来完成的,但同一Twitter调查表明,黑客使用了『电话鱼叉式网络钓鱼攻击(A Phone Spear Phishing Attack)』来欺骗其部分员工并获得了他们账户的访问权限,随后还顺利通过了Twitter的双重保护。
据Twitter称,这发生于7月15日,与黑客事件同一天。
Clark,在Discord上的用户名为『Kirk#5270』,还没等到被发现时,联邦调查局(FBI)就根据所获得的Discord聊天记录,判定此黑客与另外两人联系,来帮他通过这种访问权限而赚钱。
法院文件中所含的聊天记录显示,Clark(Discord用户:『Kirk#5270』)从OGUsers的Discord频道接触了另外两个用户,该论坛是黑客专门用于买卖社交媒体账户的。
在聊天记录中,Clark接触了另外两个黑客(Fazeli,Discord用户:『Rolex#037』;Sheppard,Discord用户:『ever so anxious#0001』),并声称其在Twitter工作。
Clark通过修改Fazeli所有的账户(Rolex#037)的设置来证明自己所言非虚,并且还向Fazeli出售了@foreign的Twitter账户的访问权限。
图片来源:ZDNet
Clark还向Sheppard出售了多个简易格式的Twitter账户的访问权限,例如@ xx,@ dark,@ vampire,@ obinna和@drug。
图片来源:ZDNet
随着Clark以其访问权限的水平说服了这另外两人,三人随即达成协议,开始在OGUsers论坛上发布广告,以推销Clark能够入侵Twitter账户的能力。
图片来源:ZDNet
图片来源:KrebsOnSecurity
在这些广告发布之后,有很多人都相信并购买了Twitter账户的访问权限。在美国律师的行政办公室里,发布在YouTube上的一则记录信息中,调查人员表示,他们仍在调查参与到该黑客事件的多个用户。
据信,其中一方在7月15日负责购买了名人已验证的Twitter账户的访问权限,并发布了加密货币骗局信息。
这些信息,出现在Barrack Obama、Joe Biden、Bill Gates、Elon Musk、Jeff Bezos、Apple、Uber、Kanye West、Kim Kardashian、Floyd Mayweather、Michael Bloomberg等所属账户中,并要求用户将比特币发送到多个地址。
法院文件显示,黑客们操纵了该骗局中使用的钱包并骗取了12.83比特币,约合117,000美元。在随后的调查中还显示,加密货币交易所Coinbase在黑客事件当天就立即自行采取措施,以阻断向诈骗地址进行交易,最终阻止了另外280,000美元被送到诈骗者手中。
这时候,这场黑客事件在所有人眼中(包括Twitter员工)都变得清晰可见,他们随即干预并阻止了已验证的Twitter账户发布推文,同时将Clark踢出网络。
Twitter的后续调查发现,Clark在访问了Twitter管理工具的同时,还与130个账户进行了交互,为45个账户启动了密码重置,并访问了36个账户的私人信息。
黑客事件的第二天,也就是Twitter向当局提出正式的刑事诉讼的当天,联邦调查局和特勤局(Secret Service)着手开始了调查。
依据法院文件,联邦调查局可使用在社交媒体和新闻媒体共享的数据,以从Discord获取到聊天记录和用户详细信息。
由于一些黑客广告已经发布在OGUsers上,因此联邦调查局还使用了OGUsers论坛数据库的副本,该数据库于今年4月在论坛遭到黑客攻击之后在网络上泄漏。该数据库包含了注册论坛用户的详细信息,例如电子邮件和IP地址、以及私人信息。
在美国国税局(IRS)的帮助下,当局还从Coinbase获得了有关黑客事件中所涉及到的比特币地址的数据,以及过去这三名黑客在Discord的聊天记录和OGUsers论坛帖子中所使用和提及的地址。
将三个来源的数据进行关联,联邦调查局得以跟踪到三个站点中的黑客身份,并将它们链接到电子邮件和IP地址上。
例如,在Fazili将其Discord用户名链接到其OGUsers页面之后,当局就能够追踪到他。这是一个非常明显的操作安全(OpSec)错误。
图片来源:ZDNet
Fazili在掩饰其身份时还犯了其他多个错误。首先,他使用damniamevil20@gmail.com地址在OGUsers论坛上注册了一个账户,并使用chancelittle10@gmail.com电邮地址来敲诈@foreign Twitter账户。
他还使用了相同的两个电邮地址来注册Coinbase账户,随后用其驾照照片进行了验证。
此外,Fazili还使用了其家庭关系(Home Connection)来访问这三个站点的账户,将其家庭IP地址都留在了三个服务站点(Discord,Coinbase和OGUsers)的关系日志中。
Sheppard(ever so anxious#0001)也是如此,以Chaewon登录了OGUsers。调查人员表示,由于在黑客事件当天Sheppard在网站上发布了广告,他们便能够将Sheppard的Discord用户与其OGUsers角色联系起来;他们还仔细检查了OGUsers泄露的数据库并得到了证实,发现Chaewon购买的视频游戏用户名的比特币地址,与Twitter黑客事件当天使用的地址相关联。
图片来源:ZDNet
与Fazili的情况相同,Sheppard在Coinbase中管理了账户,他也使用了真实驾照验证了多个账户。
当局没有将Clark直接与名为Kirk#5270的 Discord用户联系起来,但据美国政府于2020年8月1日分享的详细信息来源表明,他们是同一个人。
首先,希尔斯伯勒州律师Andrew Warren声称,他们8月1日逮捕的17岁的坦帕青年(Clark)是整个黑客事件的『幕后操纵者』-也就是Kirk#5270在整个计划中所扮演的角色。
其次,在加利福尼亚北部地区的新闻稿中,当局表示他们已将第三名黑客(青少年)移交给佛罗里达·坦帕·第13司法区(希尔斯伯勒县)的州律师。
佛罗里达同一办公室于8月1日宣布了对黑客的逮捕,并透露了他的真名是Graham Ivan Clark。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場