Twitter黑客攻擊嫌犯被抓獲,年僅17歲面臨30項重罪指控
上周五,美國執法部門鎖定并指控三人策劃了本月對Twitter的史詩性攻擊,并通過劫持政客、高管和名人的賬戶實施比特幣騙局,獲取了超過10萬美元的收益。
舊金山的聯邦檢察官指控17歲的格雷厄姆·伊萬·克拉克(Graham Ivan Clark,主犯)策劃并實施了7月15日的Twitter攻擊行為,其中17歲的克拉克被指控30項重罪。參與攻擊的另外兩名嫌犯——19歲的梅森·謝潑德(Sheppard)和22歲的尼瑪·法澤利(Fazili)也被起訴。
根據法院文件,整個黑客攻擊始于5月3日,當時來自坦帕市但居住在加利福尼亞州的青少年克拉克(Clark)可以訪問Twitter網絡的一部分。目前尚不清楚5月3日至7月15日,即實際的黑客攻擊日之間發生了什么,但是目前看來Clark沒能立即從最初的攻擊入口滲透到Twitter管理工具,后者被用來接管并劫持Twitter賬戶。
在Twitter遭到黑客攻擊后幾天,《紐約時報》的報道表明,克拉克最初獲得了訪問Twitter內部Slack工作區之一的權限,而不是Twitter本身。《紐約時報》記者援引黑客社區的消息來源稱,黑客在Twitter公司的某個Slack頻道中發現了Twitter技術支持工具的賬戶憑證。
但是,此工具的賬戶憑據不足以訪問Twitter后端,根據Twitter調查,黑客使用“魚叉式電話釣魚攻擊”來騙取部分Twitter員工的賬戶訪問權限,并“順利通過了Twitter的雙因素認證。”
Twitter的后續調查發現,Clark在訪問Twitter管理工具的同時與130個賬戶進行了交互,為45個用戶發起了密碼重置,并為36個用戶訪問了私人消息。
獲取Twitter管理工具訪問權限的Clark隨后在社交媒體賬戶交易論壇Discord上聯系上Sheppard和Fazili,聲稱自己是Twitter員工并展示了自己修改任意Twitter賬戶設置的能力。聊天記錄樣本如下:
在取得Sheppard和Fazili的信任后,三人達成合作協議在OGUser論壇發布廣告推廣銷售其Twitter賬戶劫持服務,吸引了大量買家。根據美國律師執行辦公室在YouTube上發布的一條消息,他們仍在調查參與該黑客攻擊的多個(買家)用戶。至少其中一位買家對7月15日的多個Twitter名人賬戶被劫持實施比特幣詐騙負責。
Twitter遭遇攻擊的第二天,Twitter向當局提出正式的刑事訴訟,聯邦調查局和特勤局也開始了調查。
根據法院文件,FBI使用社交媒體和新聞媒體共享的數據從社交媒體賬戶交易論壇Discord獲取聊天記錄和用戶詳細信息。
由于某些黑客廣告已發布在OGUsers上,因此FBI還使用了OGUsers論壇數據庫的副本,該數據庫于今年4月因黑客攻擊在線泄漏。該數據庫包含有關注冊論壇用戶的詳細信息,例如電子郵件和IP地址,以及私人消息。
當局在IRS的幫助下,還從Coinbase獲得了黑客相關的比特幣地址數據,以及過去三位黑客在Discord聊天和OGUsers論壇帖子中使用和提及的比特幣地址。
通過將來自三個來源的數據進行關聯,FBI能夠跟蹤三個站點上的黑客身份,并將其鏈接到電子郵件和IP地址。
例如,在Fazili(Discord代號Rolex)從他的OGUsers頁面鏈接了他的Discord用戶名之后,當局就對其進行了追蹤,這是一個明顯的操作安全性(OpSec)錯誤。
Fazili在掩飾真實身份方面還犯了其他多個低級錯誤。首先,他使用damniamevil20@gmail.com地址在OGUsers論壇上注冊了一個賬戶,并使用了chancelittle10@gmail.com這個電子郵件地址來劫持@foreign Twitter賬戶。
遺憾的是,Fazili注冊Coinbase賬戶時也使用了上述兩個郵件地址,驗證個人信息時還用了本人駕照照片。
此外,Fazili還使用其家庭網絡來訪問三個站點上的賬戶,將其家庭IP地址保留在所有三個服務(Discord、Coinbase和OGUsers)的訪問日志中。
Sheppard也是同樣的問題,他以Chaewon身份加入OGUsers。調查人員說,由于他在黑客當天在網站上發布的廣告,他們能夠將Sheppard的Discord用戶與其OGUsers角色聯系起來,但他們還通過OGUsers泄漏的數據庫得到了確認,他們在該數據庫中發現Chaewon購買視頻游戲時,使用了與Twitter攻擊事件相同的比特幣地址。
就像Fazili一樣,Sheppard在Coinbase中的賬戶驗證,也使用了真實的駕駛執照。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
