FBI是如何追踪Twitter黑客的

本文由成都链安翻译。

Twitter黑客事件的时间线，由2020年8月1日发布的法院文件构成。

Catalin Cimpanu | 2020年8月1日-GMT 01:01（SGT 09:01）

图片来源：Volodymyr Hryshchenko，ZDNet，Twitter

2020年8月1日早些时候，在美国司法部法院发布的文件的帮助下，美国执法部门（DOJ）对最近的Twitter黑客事件指控了三人，ZDNet整理出了黑客事件的时间线，以及美国调查人员是如何追踪这三名嫌疑黑客的。

以下文章引用了美国司法部于8月1日发布的三项起诉书中的数据：

Mason Sheppard，又名『Chaewon,』，19，博格诺里吉斯，英国【起诉书】

Nima Fazeli，又名『Rolex,』，22，奥兰多，佛罗里达【起诉书】

Graham Ivan Clark，据信为『Kirk,』，17，坦帕，佛罗里达【起诉书，母版】

根据法院文件，整个黑客事件似乎始于5月3日，当时Clark（一名来自坦帕，但居住在加利福尼亚的青年）获得了Twitter网络的一部分访问权限。

图片来源：ZDNet

此处，时间线变得模糊，尚不清楚5月3日至7月15日之间，也就是实际的黑客事件发生的时候，发生了什么。但能看出Clark没有能够立即从其最初的入口点转移到其后来用于接管账户的Twitter管理工具。

然而，据《纽约时报》报道，在Twitter遭到黑客攻击后几天，Clark最先获得的是Twitter内部的Slack工作区的一处访问权限，而不是Twitter本身。

《纽约时报》记者援引了黑客社区的信息来源，表明这些黑客是找到了Twitter技术支撑工具之一的凭证，该凭证与公司的一处Slack通道密不可分。

该工具允许Twitter员工能够控制Twitter账户的所有方面，后来这个工具的图片在黑客事件发生当天在网络上曝出。

图片来源：Reddit

然而，此工具的凭证不足以访问Twitter后端。在一篇发布的Twitter博文中详述了在黑客事件中对于公司的调查，Twitter表明此管理后端的账户受到双重验证（2FA）保护。

尚不清楚Clark花了多长时间来完成的，但同一Twitter调查表明，黑客使用了『电话鱼叉式网络钓鱼攻击（A Phone Spear Phishing Attack）』来欺骗其部分员工并获得了他们账户的访问权限，随后还顺利通过了Twitter的双重保护。

据Twitter称，这发生于7月15日，与黑客事件同一天。

Clark，在Discord上的用户名为『Kirk＃5270』，还没等到被发现时，联邦调查局（FBI）就根据所获得的Discord聊天记录，判定此黑客与另外两人联系，来帮他通过这种访问权限而赚钱。

法院文件中所含的聊天记录显示，Clark（Discord用户：『Kirk＃5270』）从OGUsers的Discord频道接触了另外两个用户，该论坛是黑客专门用于买卖社交媒体账户的。

在聊天记录中，Clark接触了另外两个黑客（Fazeli，Discord用户：『Rolex＃037』；Sheppard，Discord用户：『ever so anxious＃0001』），并声称其在Twitter工作。

Clark通过修改Fazeli所有的账户（Rolex＃037）的设置来证明自己所言非虚，并且还向Fazeli出售了@foreign的Twitter账户的访问权限。

图片来源：ZDNet

Clark还向Sheppard出售了多个简易格式的Twitter账户的访问权限，例如@ xx，@ dark，@ vampire，@ obinna和@drug。

图片来源：ZDNet

随着Clark以其访问权限的水平说服了这另外两人，三人随即达成协议，开始在OGUsers论坛上发布广告，以推销Clark能够入侵Twitter账户的能力。

图片来源：ZDNet

图片来源：KrebsOnSecurity

在这些广告发布之后，有很多人都相信并购买了Twitter账户的访问权限。在美国律师的行政办公室里，发布在YouTube上的一则记录信息中，调查人员表示，他们仍在调查参与到该黑客事件的多个用户。

据信，其中一方在7月15日负责购买了名人已验证的Twitter账户的访问权限，并发布了加密货币骗局信息。

这些信息，出现在Barrack Obama、Joe Biden、Bill Gates、Elon Musk、Jeff Bezos、Apple、Uber、Kanye West、Kim Kardashian、Floyd Mayweather、Michael Bloomberg等所属账户中，并要求用户将比特币发送到多个地址。

法院文件显示，黑客们操纵了该骗局中使用的钱包并骗取了12.83比特币，约合117,000美元。在随后的调查中还显示，加密货币交易所Coinbase在黑客事件当天就立即自行采取措施，以阻断向诈骗地址进行交易，最终阻止了另外280,000美元被送到诈骗者手中。

这时候，这场黑客事件在所有人眼中（包括Twitter员工）都变得清晰可见，他们随即干预并阻止了已验证的Twitter账户发布推文，同时将Clark踢出网络。

Twitter的后续调查发现，Clark在访问了Twitter管理工具的同时，还与130个账户进行了交互，为45个账户启动了密码重置，并访问了36个账户的私人信息。

黑客事件的第二天，也就是Twitter向当局提出正式的刑事诉讼的当天，联邦调查局和特勤局（Secret Service）着手开始了调查。

依据法院文件，联邦调查局可使用在社交媒体和新闻媒体共享的数据，以从Discord获取到聊天记录和用户详细信息。

由于一些黑客广告已经发布在OGUsers上，因此联邦调查局还使用了OGUsers论坛数据库的副本，该数据库于今年4月在论坛遭到黑客攻击之后在网络上泄漏。该数据库包含了注册论坛用户的详细信息，例如电子邮件和IP地址、以及私人信息。

在美国国税局（IRS）的帮助下，当局还从Coinbase获得了有关黑客事件中所涉及到的比特币地址的数据，以及过去这三名黑客在Discord的聊天记录和OGUsers论坛帖子中所使用和提及的地址。

将三个来源的数据进行关联，联邦调查局得以跟踪到三个站点中的黑客身份，并将它们链接到电子邮件和IP地址上。

例如，在Fazili将其Discord用户名链接到其OGUsers页面之后，当局就能够追踪到他。这是一个非常明显的操作安全（OpSec）错误。

图片来源：ZDNet

Fazili在掩饰其身份时还犯了其他多个错误。首先，他使用damniamevil20@gmail.com地址在OGUsers论坛上注册了一个账户，并使用chancelittle10@gmail.com电邮地址来敲诈@foreign Twitter账户。

他还使用了相同的两个电邮地址来注册Coinbase账户，随后用其驾照照片进行了验证。

此外，Fazili还使用了其家庭关系（Home Connection）来访问这三个站点的账户，将其家庭IP地址都留在了三个服务站点（Discord，Coinbase和OGUsers）的关系日志中。

Sheppard（ever so anxious#0001）也是如此，以Chaewon登录了OGUsers。调查人员表示，由于在黑客事件当天Sheppard在网站上发布了广告，他们便能够将Sheppard的Discord用户与其OGUsers角色联系起来；他们还仔细检查了OGUsers泄露的数据库并得到了证实，发现Chaewon购买的视频游戏用户名的比特币地址，与Twitter黑客事件当天使用的地址相关联。

图片来源：ZDNet

与Fazili的情况相同，Sheppard在Coinbase中管理了账户，他也使用了真实驾照验证了多个账户。

当局没有将Clark直接与名为Kirk＃5270的 Discord用户联系起来，但据美国政府于2020年8月1日分享的详细信息来源表明，他们是同一个人。

首先，希尔斯伯勒州律师Andrew Warren声称，他们8月1日逮捕的17岁的坦帕青年（Clark）是整个黑客事件的『幕后操纵者』-也就是Kirk＃5270在整个计划中所扮演的角色。

其次，在加利福尼亚北部地区的新闻稿中，当局表示他们已将第三名黑客（青少年）移交给佛罗里达·坦帕·第13司法区（希尔斯伯勒县）的州律师。

佛罗里达同一办公室于8月1日宣布了对黑客的逮捕，并透露了他的真名是Graham Ivan Clark。