info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

داستان هک توئیتر به روایت اسناد FBI

خلاصه: در این خبر، داستان هک توئیتر به اقتباس از اسناد FBI و کیفرخواست علیه سه متهم زیر روایت شده است:

  • Mason Sheppard 19 ساله  ملقّب به Chaewon
  • Nima fazeli 22 ساله ملقّب به Rolex
  • Graham Ivan Clark 17 ساله ملقّب به Kirk

بنا بر مستنداتی که FBI به دادگاه ارائه کرده است، حمله از سوم مِی سال جاری آغاز شد. زمانی که مغز متفکر حمله یعنی Clark به بخشی از شبکه‌ی توئیتر دسترسی پیدا کرد.

از تاریخ ۳ می تا ۱۵ جولای، ماجرا در هاله‌ای از ابهام قرار می‌گیرد. به نظر می‌رسد کلارک نتوانسته از همان ابتدا به اطلاعات کاربران دسترسی پیدا کند. چنانچه به گزارش نیویورک‌تایمز، کلارک اوّل به فضای کاری داخلی شرکت توئیتر دسترسی داشته و نه خود توئیتر. پس از آن با سوءاستفاده از اطلاعات پین‌شده در یکی از کانال‌های داخلی شرکت، اعتبارنامه‌های ابزارهای پشتیبانی فناوری توئیتر را بدست آورده است.

 

به علت استفاده از مکانیزم احراز اصالت دومرحله‌ای، اعتبارنامه‌ها برای دسترسی به اطلاعات مدیریتی توئیتر کافی نبود. به این منظور کلارک با استفاده از حمله سیادی هدف‌دار، در روز ۱۵ جولای، احراز اصالت دومرحله‌ای را دور زده و حمله اصلی را آغاز کرده است.چنانچه اسناد FBI از مکاتبات کلارک در برنامه Discord نشان می‌دهد، پس از کسب دسترسی به توئیتر، کلارک بانام کاربری Krik#5270 در برنامه Discord  از دو متهم دیگر، برای کسب درآمد از این دسترسی، کمک می‌خواهد. وی دو متهم دیگر را از طریق کانال OGUsers (کانالی برای خریدوفروش حساب‌های هک شده) پیداکرده و خود را به‌عنوان کارمند توئیتر معرفی می‌کند و برای اثبات ادعای خود، تنظیمات توئیتر حساب نیما فاضلی را تغییر داده، بعلاوه دسترسی به‌حساب @foreign (حساب توئیتری وزارت امور خارجی انگلستان) را به او می‌فروشد.

جدول زیر برخی مکاتبات کلارک و نیما فاضلی را نشان می‌دهد.

 

همچنین چند حساب با نام کاربری کوتاه dark@، @xx، vampire@، obina@ و drug@ را به Sheppard فروخت. برای ادامه فروش حساب‌ها، دو متهم دیگر پرونده، با قرار دادن پستی در انجمن OGUsers، دسترسی کلارک به توئیتر را تضمین کرده و به کاربران اعلام کردند که برای خرید دسترسی، مبلغ ۲۵۰ دلار به‌حساب بیت کوین کلارک واریز کنند.

 

این مسئله توانست اعتماد کاربران این انجمن را جلب کند و پس‌ازآن چند کاربر دیگر نیز، در این امر مشارکت کردند. طبق اعلام دفتر اجرایی وکلای ایالات‌متحده‌ی آمریکا، تحقیقات ادامه داشته و چند نفر هنوز تحت تعقیب هستند. به نظر می‌رسد که یکی از این افراد، مسئول کلاه‌برداری‌ از حساب‌های رسمی افراد مشهور است. تصویر زیر نمونه‌ این کلاه‌برداری‌هاست. 

 

در این کلاه‌برداری‌ها، مجموعاً ۱۲.۸۳  بیت کوین (معادل ۱۱۷۰۰۰ دلار) واریز شد. در تلاشی برای جلوگیری از کلاهبرداری مهاجمین، توئیتر موقتاً ارسال پست‌هایی را که آدرس کیف پول بیت‌کوین به آن‌ها الصاق شده بود، متوقّف کرد. همچنین آدرس‌های شناسایی‌شده در لیست سیاه مبادلات بیت‌کوین قرار گرفت. بدین ترتیب از انتقال ۲۸۰۰۰۰ دلار ممانعت شد. پس‌ازاین ممانعت، خبر هک توئیتر عمومی شد و کارمندان توئیتر، پس از باز پس گرفتن دسترسی از کلارک از ادامه‌ی این حملات جلوگیری کردند.

طبق تحقیقات توئیتر، کلارک در جریان این حمله به حساب ۱۳۰ کاربر نفوذ کرده که در این میان ۴۵ مورد تنظیم مجدّد رمز عبور و ۳۶ دسترسی به پیام‌های خصوصی صورت گرفته است. روز بعد، توئیتر شکایت رسمی خود را به سازمان‌های FBI و «سرویس مخفی» تقدیم و این دو سازمان تحقیقات خود را آغاز کردند.

FBI با استفاده از داده‌های به اشتراک گذاشته‌شده در شبکه‌های مجازی برای به دست آوردن فایل‌های log، چت‌های کاربران و اطلاعات آن‌ها در Discord استفاده کرد. همچنین از اطلاعات انجمن OGUsers استفاده کرد تا اطلاعات کاربرانی که در انجمن، با ارسال پست، دسترسی کلارک را تائید کرده بودند، بدست آورد. نهایتاً اطلاعات ایمیل، نام کاربری و پیام‌های خصوصی کاربران بازیابی شد و اطلاعات ‌حساب های بیت کوین منتشرشده در انجمن و حساب‌های توئیتر رسمی، با همکاری سازمان IRS(سازمان خدمات درآمد داخلی) به دست آمد. با استفاده از این اطلاعات، سازمان FBI موفق به تشخیص هویت سه مظنون پرونده شد و برای هویت‌های کشف‌شده، ایمیل و آدرس IP متناظر را به دست ‌آورد.

به‌عنوان‌مثال نیما فاضلی شناسه‌ی Discord خود را در پروفایل انجمن OGUsers خود قرار داده بود و از ایمیل damniamevil20@gmail.com برای حساب OGUsers و از ایمیل chancelittle10@gmail.com برای دسترسی به‌حساب وزرت امور خارجی انگلستان استفاده کرده بود.

 

از هر دوی این ایمیل‌ها برای ایجاد حساب‌های ارز دیجیتالی استفاده کرده بود. جالب آن که هر دو این حساب‌ها رمز عبور یکسانی داشتند. برای احراز هویت خود نیز از تصویر گواهی‌نامه‌ی رانندگی استفاده کرده بود. این کاربر برای دسترسی به OGUsers، Coin base و Discord از اینترنت خانگی استفاده کرده و این امر باعث شناسایی آدرس IP وی در سایت‌های فوق‌الذکر شد.

عملیات مشابهی برای  Sheppard با نام کاربری anxious#0001 در Discord انجام شد. بازرسان FBI با کمک پست تبلیغاتی این کاربر در OGUsers، توانستند حساب Discord او را پیدا کنند. همچنین با استفاده از داده‌های سایت OGUsers و خرید بازی‌های کامپیوتری، آدرس حساب بیت کوینی را بدست آورند که در فرایند کلاه‌برداری حساب‌های توئیتری مورداستفاده قرارگرفته بود. این کاربر هم برای احراز هویت خود در سایت ارز دیجیتال CoinBase از تصویر گواهی‌نامه‌ی رانندگی خود استفاده کرده بود.

درروند تحقیقات، محققان نتوانستند هویت کاربر  Kirk#5270 را مستقیماً به کلارک ربط دهند. لیکن منابع مختلف رسمی و خبری ثابت می‌کند که این دو یک شخص واحد هستند.

 

دادستان این پرونده، دیوید اِل اندرسون:

« باور غلطی وجود دارد که حملاتی چون هک توئیتر شناسایی نمی‌شود […]  من می‌خواهم به متخلفین بگویم قانون را بشکنید و ما شما را پیدا خواهیم کرد!»