今天早些时候,美国执法部门起诉了最近Twitter黑客事件的三名个人,在美国司法部公布的法庭文件的帮助下,ZDNet得以拼凑出黑客事件的时间表,以及美国调查人员是如何追踪到这三名黑客嫌疑人的。
格雷厄姆·伊万·克拉克,据信是佛罗里达州坦帕市的柯克[起诉书由母板提供]。
根据法庭文件,整个黑客攻击似乎是在5月3日开始的,当时来自坦帕的青少年克拉克(Clark)住在加利福尼亚州,他进入了Twitter的一部分网络。
在这里,时间线变得模糊不清,也不清楚5月3日至7月15日,也就是真正的黑客入侵当天发生了什么,但克拉克似乎无法立即从最初的入口点转移到他后来用来接管账户的Twitter管理工具。
然而,在Twitter遭黑客攻击几天后,“纽约时报”(New York Times)的报道显示,克拉克最初获得了Twitter的一个内部工作空间的访问权限,而不是Twitter本身。
“纽约时报”记者援引黑客社区消息人士的话说,黑客发现了Twitter的一个技术支持工具的凭据,该工具固定在该公司的一个“松弛”频道上。
这个工具允许Twitter员工控制Twitter账户的方方面面,其图片后来在黑客入侵当天泄露到了网上。
然而,该工具的凭据不足以访问Twitter后端。在Twitter的一篇博客文章中,详细描述了该公司对黑客攻击的调查,Twitter表示,这个管理后端的账户受到双因素身份验证(2FA)的保护。
目前还不清楚克拉克花了多长时间才做到这一点,但Twitter的同一项调查显示,黑客利用电话鱼叉式网络钓鱼攻击欺骗了一些员工,进入了他们的账户,并通过了(Twitter)双因素保护。
克拉克,谁不和谐柯克#5270,没有等待被发现,并根据联邦调查局获得的不和谐聊天,黑客联系了另外两个人,以帮助他货币化的访问。
法庭文件中的聊天记录显示,克拉克(不和谐用户柯克5270;34;)走近了OGUsers不和谐频道的另外两名用户。OGUsers是一个致力于黑客买卖社交媒体账户的论坛。
在聊天日志中,克拉克找到了另外两名黑客(法泽利是不和谐用户#34;劳力士#037&34;谢泼德是不和谐用户,非常焦虑#0001&34;),并声称自己在Twitter工作。
他通过修改Fazeli(Rolex#037)拥有的一个账户的设置来证明自己的说法,并向Fazeli出售了@Foreign Twitter账户的访问权限。
克拉克还向谢泼德出售了多个简短的Twitter账号的访问权限,如@xx,@Dark,@吸血鬼,@Obinna和@Drug。
当克拉克说服其他两人相信他的访问权限时,三人达成了一项协议,在OGUsers论坛上发布广告,宣传克拉克劫持Twitter账户的能力。
在发布这些广告后,据信有多人购买了Twitter账户的访问权限。在美国检察官执行办公室在YouTube上发布的一段录音信息中,调查人员表示,他们仍在调查参与黑客攻击的多名用户。
据信,其中一人在7月15日购买了名人认证的Twitter账户的访问权,并发布了一条加密货币诈骗信息。
这条信息出现在巴拉克·奥巴马、乔·拜登、比尔·盖茨、埃隆·马斯克、杰夫·贝佐斯、苹果、优步、坎耶·韦斯特、金·卡戴珊、弗洛伊德·梅威瑟、迈克尔·布隆伯格等人的账户上,要求用户将比特币发送到几个地址。
法庭文件显示,操作这起骗局中使用的钱包的黑客收到了12.83比特币,约合11.7万美元。随后的调查还显示,加密货币交易所Coinbase在黑客入侵当天自行阻止了对诈骗地址的交易,最终阻止了另外28万美元被汇给骗子。
就是在这一点上,黑客攻击对每个人都是可见的,包括Twitter的工作人员,他们介入阻止经过验证的Twitter账户在将克拉克踢出他们的网络时发布推文。
Twitter随后的调查发现,克拉克在访问Twitter管理工具时与130个账户进行了互动,为45个账户启动了密码重置,并访问了36个账户的私人消息。
黑客事件发生的第二天,Twitter也向当局提出了正式的刑事投诉,联邦调查局和特勤局开始调查。
根据法庭文件,联邦调查局使用社交媒体和新闻机构共享的数据,从不和谐中获得聊天日志和用户详细信息。
由于部分黑客广告发布在OGUsers上,联邦调查局还使用了OGUsers论坛数据库的副本,该数据库在论坛遭到黑客攻击后于今年4月在网上泄露。该数据库包含论坛注册用户的详细信息,如电子邮件和IP地址,但也包含私人消息。
当局在美国国税局的帮助下,还从Coinbase获得了有关参与黑客攻击的比特币地址的数据,以及这三名黑客过去在不和谐的聊天和OGUsers论坛帖子中使用和提到的地址。
通过将这三个来源的数据关联起来,FBI能够追踪这三个网站上的黑客身份,并将它们与电子邮件和IP地址联系起来。
例如,当局在Fazili将他的不和谐用户名从他的OGUsers页面链接到他之后找到了他,这是一个明显的运营安全(OpSec)错误。
法兹利在隐瞒身份时还犯了其他多个错误。首先,他使用[email protected]地址在OGUsers论坛注册了一个账户,并使用[email protected]电子邮件地址劫持了@foreign Twitter账户。
他还用同样的两个电子邮件地址注册了Coinbase账户,后来他用自己驾照的照片验证了这一点。
此外,Fazili还使用他的家庭连接访问了这三个站点上的帐户,将他的家庭IP地址留在了所有三个服务(Discorde、Coinbase和OGUsers)的连接日志中。
谢泼德(曾经非常焦虑的#0001)也是如此,他在OGUsers上扮演Chaewon的角色。调查人员表示,多亏了谢泼德在黑客入侵当天在网站上发布的广告,他们能够将谢泼德的不和用户与他的OGUsers形象联系起来,但他们也通过OGUsers泄露的数据库获得了确认,他们发现Chaewon购买了一个视频游戏用户名,其比特币地址与Twitter被黑客攻击当天使用的地址相连。
就像法兹利的案例一样,谢泼德管理着Coinbase的账户,在那里,他也使用自己的真实驾照来验证多个账户。
当局没有直接将克拉克与柯克的不和谐用户联系起来,但今天不同的美国政府消息来源分享的细节表明,他就是同一个人。
首先,希尔斯伯勒州检察官安德鲁·沃伦声称,他们今天逮捕的17岁的坦帕少年(克拉克)是整个黑客事件的策划者--柯克在整个阴谋中扮演的角色。
其次,在加利福尼亚州北区的一份新闻稿中,当局表示,他们将第三名黑客,即这名青少年,移交给佛罗里达州坦帕市第13司法区(希尔斯伯勒县)的州检察官。
佛罗里达办事处今天宣布逮捕了这名黑客,并透露了他的真名格雷厄姆·伊万·克拉克(Graham Ivan Clark)。