ITMen - هکرهای توییتر چطور گیر افتادند

روز جمعه گذشته، مقامات قضایی و پلیس آمریکا از شناسایی سه هکر توییتر خبر دادند و دو تن از آنها را دستگیر کردند. اسناد پرونده حاکی از فرایندی است که به شناسایی و دستگیری آنها انجامیده است.

آی‌تی‌من- روز پانزدهم ژوییه، یک کاربر پیام‌رسان دیسکورد با نام کاربری Kirk#5270 یک پیشنهاد جذاب مطرح کرد: «من در توییتر کار می‌کنم. می‌توانم هر نام کاربری را به دست بیاورم. اگر تمایل دارید به من اطلاع بدهید.»

این پیام، آغاز ماجرایی بود که چند ساعت بعد، به بزرگ‌ترین هک شناسایی شده در تاریخ توییتر انجامید.

دو هفته پس از این پیام، سه فرد به سرقت حساب کاربری افراد متعددی از جمله بیل گیتس، ایلان ماسک، باراک اوباما و اپل و نزدیک به 120 هزار بیت‌کوین متهم شدند.

عصر جمعه گذشته، پس از تحقیقاتی که به طور مشترک از سوی پلیس فدرال آمریکا، سازمان خدمات درآمد داخلی (IRS) و سرویس مخفی آمریکا به انجام رسید، وزارت دادگستری ایالات متحده، میسون شپارد (Mason Sheppard) شهروند بریتانیا و نیما فاضلی، شهروند آمریکایی-ایرانی مقیم اورلاندو فلوریدا را به دست داشتن در هک توییتر متهم کرد. جوانی 17 ساله به نام گراهام ایوان کلارک (Graham Ivan Clark) نیز به عنوان متهم اصلی معرفی شد و با 30 اتهام تخلف از جمله 17 مورد کلاه‌برداری اینترنتی در هیلزبورو فلوریدا دستگیر شد.

در مجموع، حالا که هر سه نفر یاد شده دستگیر شده‌اند، محتویات پرونده مذکور نشان می‌دهد که این هکرها چقدر در پاک کردن ردپای خود ضعیف عمل کرده‌اند.

Kirk#5270 بر خلاف ادعایی که روز 15 ژوییه مطرح کرده بود، کارمند توییتر نبود. او البته به ابزارهای مدیریت داخلی توییتر دسترسی داشت و با انتشار اسکرین‌شات از حساب‌های کاربری مانند @Bumblebee، @sc، @vague و @R9 این موضوع را به رخ کشیده بود (زیرا اسامی کاربری کوتاه، در بین جامعه هکرها اهداف محبوبی شناخته می‌شوند).

یک کاربر دیگر دیسکورد با نام ever so anxious#0001 نیز پس از آن، خریداران اکانت‌ها را معرفی می‌کرد. Kirk#5270 یک کیف پول بیت‌کوین معرفی کرد و روی حساب کاربری @xx مبلغ 5 هزار دلار قیمت گذاشت.

صبح همان روز، شخصی با نام مستعار Chaewon روی فروم OGUsers تبلیغی منتشر کرد که بیان می‌داشت می‌تواند به هر حساب کاربری توییتر دسترسی ایجاد کند. وی در پستی با عنوان «دسترسی به ایمیل هر حساب توییتر» لیست قیمت خود را منتشر کرد که شامل 250 دلار برای تغییر ایمیل متصل به هر حساب کاربری و 3000 دلار برای دسترسی به اکانت می‌شد. این پست، کاربران خریدار را به سوی ever so anxious#0001 در پیام رسان دیسکورد هدایت می‌کرد.

اسناد پرونده حاکی است که در هفت ساعت پس از آن، کاربر ever so anxious#0001 به طور مرتب درباره سرقت 50 حساب کاربری با Kirk#5270 در تماس بوده و در همین چت گفته است که نام مستعارش در OGUsers همان Chaewon است. به این ترتیب مشخص شد که Chaewon و ever so anxious#0001 یک نفر هستند.

Kirk#5270 در دیسکورد با کاربر دیگری به نام Rolex#0373 نیز در ارتباط بود. بر اساس اسناد منتشر شده، Rolex#0373 ابتدا شک داشت که همکاری بکند یا نه. او در متن چت خود با Kirk#5270 نوشته بود که موضوع، « آنقدر خوب است که به نظر واقعی نمی‌آید». اما kirk که می‌خواست ادعای خود را ثابت کند، ایمیل آدرس مرتبط با حساب کاربری @foreign را به یکی از ایمیل‌های متعلق به Rolex تغییر می‌دهد و به این ترتیب، او را متقاعد می‌کند که برای فروش حساب‌های کاربری در OGUsers با او همکاری کند. Rolex نیز در عوض حساب کاربری @foreign را برای خودش نگه داشت. قیمت‌هایی که او قرار شد پیشنهاد بدهد، 2500 دلار برای حساب‌های کاربری موردنظر خریداران بود.

حوالی ساعت 2 بعد از ظهر روز 15 ژوییه، حداقل ده حساب کاربری توییتر سرقت شده بود، اما به نظر می‌رسید که هکرها روی نام‌های کاربری کوتاه‌تر مانند vampire@و @xx متمرکز بودند و هنوز به حساب کاربری افراد مشهور توجه خاصی نداشتند. همچنین سرقت نام‌های کاربری از سوی آنها، هنوز با هدف سرقت بیت‌کوین نبود و آنها فقط اکانت‌ها را می‌فروختند. بر اساس اسناد پرونده، Chaewon تا این زمان حدود 40 هزار بیت کوین از محل فروش اکانت‌ها کسب کرده بود که 33 هزار دلار را به kirk داده بود و 7 هزار دلار هم بابت دلالی، برای خودش برداشت کرده بود.

پلیس فدرال آمریکا اعتقاد دارد که Rolex همان نیما فاضلی است و او را به اتهام همکاری و فراهم کردن دسترسی به یک کامپیوتر محافظت شده دستگیر کرده‌اند.

FBI همچنین می‌گوید که Chaewon که به برنامه‌ریزی برای کلاه‌برداری، پول شویی و دسترسی عمدی به کامپیوترهای محافظت شده متهم است، کسی نیست جز شپارد.

هیچ کدام از شکایات جنایی، حاوی مشخصات صاحب حساب کاربری Kirk#5270 یا ارتباطی بین این نام کاربری با یک شخص نیست. اما استاد دادگاه در پرونده کلارک بیان می‌دارد که او همان فرد 17 ساله‌ای است که به سیستم‌های توییتر دسترسی یافته و با سرقت حساب کاربری افراد مشهور، کلاه‌برداری بیت‌کوینی را انجام داده است.

وزارت دادگستری آمریکا این پرونده را به دفتر دادستان هیلزبورو ارجاع داده، زیرا قوانین فلوریدا، امکان محاکمه افراد زیر سن قانونی را به اتهام کلاه‌برداری می‌دهد.

اندرو وارن، دادستان ایالتی هیلزبورو روز جمعه گذشته در یک جلسه ویدیو کنفرانس گفت: او (کلارک) به حساب‌های کاربری و سیستم داخلی توییتر از طریق یک کارمند این شبکه اجتماعی دسترسی پیدا کرده است. او دسترسی به این اکانت‌ها را فروخته و پس از آن با سوءاستفاده از حساب کاربری افراد مشهور، به کلاه‌برداری بیت‌کوینی پرداخته و وعده داده که هر میزان بیت‌کوین به کیف پولش واریز شود، دو برابر آن را برمی‌گرداند.

اسناد دادگاه نشلان می‌دهد که نزدیک به 415 پرداخت به کیف پول بیت‌کوین مشخص شده برای این کلاه‌برداری واریز شده که رقمی نزدیک به 177 هزار دلار می‌شود.

همان‌گونه که توییتر در هفته گذشته تایید کرد، 130 حساب کاربری هدف قرار گرفته و هکرها موفق شده‌اند از 45 تا از این حساب‌های کاربری توییت کنند، به پیام‌های 36 اکانت هم دسترسی پیدا کرده و داده‌های توییتر 7 تا از اکانت‌ها را هم دانلود کرده‌اند.

عصر پنج‌شنبه گذشته، توییتر فاش کرد که هکرها از طریق مهندسی اجتماعی، به ویژه از طریق حمله فیشینگ نیزه‌ای (spear-phishing attack) تلفنی با هدف کارکنان توییتر، موفق به دسترسی به سیستم‌ها شده‌اند. اسناد دادگاه اطلاعات چندانی در این زمینه ارایه نمی‌دهد، فقط گفته شده که اقدامات کلارک از حوالی سوم ماه مه آغاز شده است.

همچنین کاملا مشخص نیست که کلارک چگونه شناسایی شده است؛ اما درباره شواهد و ردپاهایی که منجر به شناسایی فاضلی و شپارد شد، اطلاعات بیشتری در دست است.

روز دوم آوریل، مدیرOGUsers اعلام کرد که این فروم اینترنتی هک شده است. چند روز بعد، بر اساس آنچه در اسناد پرونده ذکر شده، یک گروه هک رقیب، لینکی برای دانلود اطلاعات دیتابیس کاربران این فروم اینترنتی هکرها منتشر کرد.

پایگاه داده‌ای که هک شده بود، گنجینه‌ای با ارزش بود که علاوه بر نام کاربری و پست‌های عمومی، شامل پیام‌های خصوصی بین کاربران، آدرس‌های آی‌پی و آدرس ایمیل آنها می‌شد. اف‌بی‌آی می‌گوید که روز نهم آوریل به نسخه‌ای از این پایگاه داده دسترسی پیدا کرده است.

پس از دسترسی پلیس فدرال به این اطلاعات، کار شناسایی هکرها سرعت گرفته است. محققان پلیس با بررسی پیام‌های خصوصی Chaewon روی OGUsers، به مطلبی دست یافته‌اند که مربوط به ماه فوریه است و در آن به Chaewon گفته شده که به ازای یک بازی ویدیویی، مقداری بیت‌کوین به یک کیف پول مشخص ارسال کند. پلیس این کیف پول را ردیابی کرده و به آدرس بیت‌کوین‌هایی رسیده که چند ماه بعد، از سوی ever so anxious#0001 در تبادل مالی با Kirk#5270 استفاده شده است. بازرسان پلیس همچنین با استفاده از دیتابیس مذکور توانستند ارتباط بین Chaewon را با کاربر دیگری در OGUsers به نام Mas ردگیری کنند. هر دو این حساب‌های کاربری با یک آدرس آی‌پی و در یک روز وارد فروم اینترنتی شده بودند. کارآگاهان به این ترتیب دریافتند که Chaewon و Mas هر دو یک نفر هستند.

ایمیل مرتبط با نام کاربری Mas به گفته کارآگاهان masonhppy@gmail.com است که همین ایمیل در حساب کاربری میسون شپارد در کوین‌بیس ثبت شده است. آدرس‌های بیت‌کوین مرتبط با Chaewon نیز چندین تبادل در کارگزاری بایننس انجام داده‌اند که این آدرس‌ها با حساب‌های کاربری شپارد مرتبط است.

در نهایت، اسناد پرونده حاکی از اعتراف یک نوجوان دیگر است که نامش اعلام نشده و در این ماجرا همکاری داشته است. او به کارآگاهان گفته که Chaewon را با نام میسون می‌شناخته است.

کارآگاهان همچنین با استفاده از تبادل بیت‌کوین و آدرس آی‌پی توانستند حساب کاربری Rolex#0373 را با نیما فاضلی مرتبط کنند. به ویژه با تبادلی که در روز 30 اکتبر 2018، در فروم‌های OGUsers ثبت شده و حساب کاربری کوین‌بیس که در این تبادلات مالی استفاده شده، متعلق به Nim F با آدرس ایمیل damniamevil20@gmail.com بوده است. این همان آدرس ایمیلی است که حساب کاربری Rolex در OGUsers با آن ثبت شده است.

گفته شده که حساب کاربری کوین‌بیس نیز با یک گواهی‌نامه رانندگی ایالت فلوریدا با نام نیما فاضلی تایید شده است. اسناد پرونده حاکی است که فاضلی در طول زمان، از همین گواهی نامه رانندگی برای ثبت سه حساب کاربری کوین‌بیس استفاده کرده که حساب سوم، به طور مرتب از همان آدرس آی‌پی مورد استفاده Rolex#0373 در دیسکورد و اکانت Rolex در OGUsers مورد دسترسی قرار گرفته است.