信息來(lái)源:51CTO
上周五,美國(guó)執(zhí)法部門(mén)鎖定并指控三人策劃了本月對(duì)Twitter的史詩(shī)性攻擊,并通過(guò)劫持政客、高管和名人的賬戶(hù)實(shí)施比特幣騙局,獲取了超過(guò)10萬(wàn)美元的收益。
舊金山的聯(lián)邦檢察官指控17歲的格雷厄姆·伊萬(wàn)·克拉克(Graham Ivan Clark,主犯)策劃并實(shí)施了7月15日的Twitter攻擊行為,其中17歲的克拉克被指控30項(xiàng)重罪。參與攻擊的另外兩名嫌犯——19歲的梅森·謝潑德(Sheppard)和22歲的尼瑪·法澤利(Fazili)也被起訴。
根據(jù)法院文件,整個(gè)黑客攻擊始于5月3日,當(dāng)時(shí)來(lái)自坦帕市但居住在加利福尼亞州的青少年克拉克(Clark)可以訪(fǎng)問(wèn)Twitter網(wǎng)絡(luò)的一部分。目前尚不清楚5月3日至7月15日,即實(shí)際的黑客攻擊日之間發(fā)生了什么,但是目前看來(lái)Clark沒(méi)能立即從最初的攻擊入口滲透到Twitter管理工具,后者被用來(lái)接管并劫持Twitter賬戶(hù)。
在Twitter遭到黑客攻擊后幾天,《紐約時(shí)報(bào)》的報(bào)道表明,克拉克最初獲得了訪(fǎng)問(wèn)Twitter內(nèi)部Slack工作區(qū)之一的權(quán)限,而不是Twitter本身?!都~約時(shí)報(bào)》記者援引黑客社區(qū)的消息來(lái)源稱(chēng),黑客在Twitter公司的某個(gè)Slack頻道中發(fā)現(xiàn)了Twitter技術(shù)支持工具的賬戶(hù)憑證。
但是,此工具的賬戶(hù)憑據(jù)不足以訪(fǎng)問(wèn)Twitter后端,根據(jù)Twitter調(diào)查,黑客使用“魚(yú)叉式電話(huà)釣魚(yú)攻擊”來(lái)騙取部分Twitter員工的賬戶(hù)訪(fǎng)問(wèn)權(quán)限,并“順利通過(guò)了Twitter的雙因素認(rèn)證。”
Twitter的后續(xù)調(diào)查發(fā)現(xiàn),Clark在訪(fǎng)問(wèn)Twitter管理工具的同時(shí)與130個(gè)賬戶(hù)進(jìn)行了交互,為45個(gè)用戶(hù)發(fā)起了密碼重置,并為36個(gè)用戶(hù)訪(fǎng)問(wèn)了私人消息。
獲取Twitter管理工具訪(fǎng)問(wèn)權(quán)限的Clark隨后在社交媒體賬戶(hù)交易論壇Discord上聯(lián)系上Sheppard和Fazili,聲稱(chēng)自己是Twitter員工并展示了自己修改任意Twitter賬戶(hù)設(shè)置的能力。聊天記錄樣本如下:
在取得Sheppard和Fazili的信任后,三人達(dá)成合作協(xié)議在OGUser論壇發(fā)布廣告推廣銷(xiāo)售其Twitter賬戶(hù)劫持服務(wù),吸引了大量買(mǎi)家。根據(jù)美國(guó)律師執(zhí)行辦公室在YouTube上發(fā)布的一條消息,他們?nèi)栽谡{(diào)查參與該黑客攻擊的多個(gè)(買(mǎi)家)用戶(hù)。至少其中一位買(mǎi)家對(duì)7月15日的多個(gè)Twitter名人賬戶(hù)被劫持實(shí)施比特幣詐騙負(fù)責(zé)。
Twitter遭遇攻擊的第二天,Twitter向當(dāng)局提出正式的刑事訴訟,聯(lián)邦調(diào)查局和特勤局也開(kāi)始了調(diào)查。
根據(jù)法院文件,F(xiàn)BI使用社交媒體和新聞媒體共享的數(shù)據(jù)從社交媒體賬戶(hù)交易論壇Discord獲取聊天記錄和用戶(hù)詳細(xì)信息。
由于某些黑客廣告已發(fā)布在OGUsers上,因此FBI還使用了OGUsers論壇數(shù)據(jù)庫(kù)的副本,該數(shù)據(jù)庫(kù)于今年4月因黑客攻擊在線(xiàn)泄漏。該數(shù)據(jù)庫(kù)包含有關(guān)注冊(cè)論壇用戶(hù)的詳細(xì)信息,例如電子郵件和IP地址,以及私人消息。
當(dāng)局在IRS的幫助下,還從Coinbase獲得了黑客相關(guān)的比特幣地址數(shù)據(jù),以及過(guò)去三位黑客在Discord聊天和OGUsers論壇帖子中使用和提及的比特幣地址。
通過(guò)將來(lái)自三個(gè)來(lái)源的數(shù)據(jù)進(jìn)行關(guān)聯(lián),F(xiàn)BI能夠跟蹤三個(gè)站點(diǎn)上的黑客身份,并將其鏈接到電子郵件和IP地址。
例如,在Fazili(Discord代號(hào)Rolex)從他的OGUsers頁(yè)面鏈接了他的Discord用戶(hù)名之后,當(dāng)局就對(duì)其進(jìn)行了追蹤,這是一個(gè)明顯的操作安全性(OpSec)錯(cuò)誤。
Fazili在掩飾真實(shí)身份方面還犯了其他多個(gè)低級(jí)錯(cuò)誤。首先,他使用damniamevil20@gmail.com地址在OGUsers論壇上注冊(cè)了一個(gè)賬戶(hù),并使用了chancelittle10@gmail.com這個(gè)電子郵件地址來(lái)劫持@foreign Twitter賬戶(hù)。
遺憾的是,F(xiàn)azili注冊(cè)Coinbase賬戶(hù)時(shí)也使用了上述兩個(gè)郵件地址,驗(yàn)證個(gè)人信息時(shí)還用了本人駕照照片。
此外,F(xiàn)azili還使用其家庭網(wǎng)絡(luò)來(lái)訪(fǎng)問(wèn)三個(gè)站點(diǎn)上的賬戶(hù),將其家庭IP地址保留在所有三個(gè)服務(wù)(Discord、Coinbase和OGUsers)的訪(fǎng)問(wèn)日志中。
Sheppard也是同樣的問(wèn)題,他以Chaewon身份加入OGUsers。調(diào)查人員說(shuō),由于他在黑客當(dāng)天在網(wǎng)站上發(fā)布的廣告,他們能夠?qū)heppard的Discord用戶(hù)與其OGUsers角色聯(lián)系起來(lái),但他們還通過(guò)OGUsers泄漏的數(shù)據(jù)庫(kù)得到了確認(rèn),他們?cè)谠摂?shù)據(jù)庫(kù)中發(fā)現(xiàn)Chaewon購(gòu)買(mǎi)視頻游戲時(shí),使用了與Twitter攻擊事件相同的比特幣地址。
就像Fazili一樣,Sheppard在Coinbase中的賬戶(hù)驗(yàn)證,也使用了真實(shí)的駕駛執(zhí)照。