هکرهای توییتر چطور به دام پلیس فدرال آمریکا افتادند؟

در روز 15 جولای امسال بود که یکی از کاربران دیسکورد با لقب Kirk، پیشنهادی وسوسه‌برانگیز مطرح کرد: «من در توییتر کار می‌کنم. من می‌توانم [هر اکانتی با] هر نامی را به دست بگیرم. اگر در حال انجام کاری هستی به من خبر بده». این نقطه سرآغاز چیزی بود که تنها چند ساعت بعد بزرگ‌ترین هک توییتر در تاریخ را رقم زد. اندکی بیشتر از دو هفته بعد، سه نفر متهم به دخالت در هکی شده‌اند که سرقت اکانت‌های متعلق به بیل گیتس، ایلان ماسک، باراک اوباما، اپل و بسیاری دیگر را به همراه داشت - همینطور بیت‌کوین‌هایی به ارزش 120 هزار دلار.

بعد از ظهر جمعه گذشته، بعد از اینکه تحقیقات پلیس فدرال آمریکا، خدمات درآمد داخلی و سرویس مخفی به پایان رسید، قوه قضاییه این کشور میسون شپرد که در بریتانیا سکونت دارد و نیما فاضلی، ساکن اورلاندو در فلوریدا را محکوم به ارتباط با هک توییتر کرد.

گراهام ایوان کلارک 17 ساله، اهل هیلزبورو کانتی در فلوریدا نیز به صورت جداگانه به 40 جرم محکوم شده که 17 مورد از آن‌ها، کلاه‌برداری است. با مشخص شدن هویت این سه، حالا تصویری دقیق‌تر از اتفاقاتی داریم که در روز هک توییتر افتادند و می‌دانیم که مجرمان چقدر در پوشاندن رد پای خود عملکرد ضعیفی داشته‌اند. هر سه نفر اکنون در بازداشت به سر می‌برند.

کاربری که نام Kirk را برای خود انتخاب کرده بود، علی‌رغم ادعایش مبنی بر اینکه در توییتر کار می‌کند، به هیچ‌وجه جزو کارمندان این شرکت نبود. البته او به ابزارهای مدیریتی داخلی توییتر دسترسی داشت و با اشتراک‌گذاری اسکرین‌شات‌هایی از اکانت‌هایی با نام‌های کاربری Bumblebee ،sc ،Vague و R9 این موضوع را به اثبات رسانده بود. (برای توضیح باید گفت که عبارات شاخص و کوتاه به عنوان نام کاربری، حسابی در جامعه هکرها محبوب هستند).

یک کاربر دیگر دیسکورد که با نام کاربری «ever so anxious» شناخته می‌شود نیز، مشتریان چنین اکانت‌هایی را به صف کرد. Kirk آدرس والت بیت‌کوینی را به اشتراک گذاشت که هزینه هک اکانت‌ها باید به آن واریز می‌شد. برای هک نام کاربری‌ای مانند xx، مشتریان باید رقمی بالغ بر 5000 دلار می‌پرداختند.

صبح همان روز، کاربری به نام «Chaewon» در فروم OGUsers خبر از دسترسی به هر اکانتی در توییتر داد. در پستی که تیترش «بیرون کشیدن ایمیل برای هر اکانت توییتر / دریافت درخواست» بود، Chaewon برای تغییر ایمیل آدرس هر اکانت توییتر 250 دلار و برای دسترسی به هر کدام، 3000 دلار دریافت می‌کرد. این پست، مشتریان را به ever so anxious در توییتر متصل می‌کرد.

در طول هفت ساعت و پروسه‌ای که از 7:16 صبح به وقت محلی آغاز می‌شود، ever so anxious حداقل بحث به دست گرفتن 50 اکانت را با Kirk مطرح می‌کند. این اطلاعات براساس مستندات دادگاه به دست آمده. در همان چت دیسکوردی، ever so anxious می‌گوید که در OGUsers با نام Chaewon فعالیت می‌کند، به این معنا که هر دو اکانت متعلق به یک نفر بوده‌اند.

Kirk در حال پیش بردن ارتباطی مشابه با یک کاربر دیسکوردی دیگر به نام Rolex نیز بوده‌ است، هرچند که Rolex در ابتدا چندان خوش‌بین نبود. در ترانسکریپتی که به درخواست مراجع قانونی به دست آمده‌اند او می‌گوید: «[حضور تو در شرکت توییتر] برای اینکه واقعی باشد زیادی خوب به نظر می‌رسد». مدتی بعد، Kirk برای اینکه ادعای خود را ثابت کند، ایمیل آدرس اکانت توییتری به نام Foreign را به ایمیل آدرس متعلق به Rolex تغییر می‌دهد.

درست مانند Chaewon، کاربر Rolex هم با فروش اکانت‌های دزدی در OGUsers موافقت می‌کند. او که در OGUsers هم با همین نام کاربری فعال است، فقط سفارش اکانت‌هایی را می‌پذیرد که بیشترین تقاضا را دارند و در ازایشان حداقل 2500 دلار طلب می‌کند. در ازای این کمک، رولکس می‌تواند نام کاربری foreign را برای خودش بردارد.

تا ساعت 2 ظهر همان روز، حداقل 10 اکانت توییتری به سرقت رفته است. اما مجرمان هنوز روی نام‌های کاربری کوتاه و پرتقاضا مانند drug یا xx یا vampire متمرکز مانده‌اند و کاری به کار سلبریتی‌ها و غول‌های تکنولوژی ندارند. معاملاتی که Chaewon جوش می‌دهد برای Kirk بیت‌کوین‌هایی به میزان 33 هزار دلار به ارمغان آورده‌اند. Chaweton ضمنا 7000 دلار دیگر را هم به عنوان مرد میانی برای خود برمی‌دارد.

پلیس فدرال آمریکا باور دارد Rolex در واقع نیما فاضلی است و او را متهم به یاری‌رسانی در پروسه دسترسی عامدانه به کامپیوترهای محافظت‌شده کرده است. آن‌ها همینطور عقیده دارند که شپرد، Chaewon است که به توطئه برای دست زدن به جرائم آنلاین، پولشویی و دسترسی عامدانه به یک کامپیوتر محافظت‌شده متهم شده.

پرونده قضایی تشکیل شده علیه شپرد و فاضلی، در اینجا به پایان می‌رسد. در شکایت، هیچ اشاره‌ای به هویت Kirk نشده و صحبتی از ارتباط مستقیم او با یک اکانت یا نام به میان نیامده. اما مستندات دادگاه نشان می‌دهد که پلیس فدرال مظنون به پسری 17 ساله است که به سیستم‌های توییتر دسترسی یافته و برای سرقت بیت‌کوین، برخی از اکانت‌های برجسته این پلتفرم را به دست گرفته.

وزارت دادگستری آمریکا این پرونده را به دفتر دادگستری ایالت هیلزبرو فرستاده که همین حالا کلارک را مورد پیگرد قرار داده. دلیل انتقال پروند به هیلزبرو نیز اینست که قوانین فلوریدا به قضات اجازه می‌دهد در موارد کلاه‌برداری مالی، با افراد زیر 18 سال مانند بزرگ‌سالان برخورد کنند.

اندرو وارن، قاضی ایالت هیلزبرو اخیرا در یک کنفرانس ویدیویی گفت: «او از طریق یک کارمند توییتر، به اکانت‌های توییتر دسترسی یافت و کنترل داخلی این شبکه اجتماعی را به دست گرفت. او دسترسی به آن اکانت‌ها را فروخت. او سپس از هویت افراد برجسته برای سرقت پول در فرم بیت‌کوین استفاده کرد و وعده داد که بیت‌کوین‌های دریافتی را دو برابر کرده و پس می‌فرستند.»

مستندات دادگاه نشان می‌دهد که حداقل 415 پرداخت به آدرس والت بیت‌کوین مورد استفاده در کلاه‌برداری صورت گرفت که حدودا با 177 هزار دلار برابری می‌کنند.

همانطور که توییتر اخیرا تایید کرد، در مجموع 130 اکانت هدف حمله قرار گرفته بودند. هکرها می‌توانند با موفقیت از طریق 45 اکانت توییت کلاه‌برداری را بفرستند، به پیام‌های شخصی 36 عدد از آن‌ها دسترسی یابد و دیتای توییتر 7 تن از آن‌ها را دانلود کند. در عصر روز سه‌شنبه، توییتر گفت که مهاجمان از طریق مهندسی اجتماعی کار خود را پیش برده و کارمندان شرکت را مورد حمله فیشینگ قرار داده‌اند. مستندات دادگاه حاوی اطلاعات بیشتری در این باره نیست و صرفا می‌گوید سابقه فعالیت‌های کلارک به روز سوم ماه می بازمی‌گردد.

هنوز مشخص نیست مراجع قضایی چطور موفق به شناسایی کلارک شده‌اند، اما رد پایی که پلیس فدرال را به شپرد و فاضلی رسانده، مسیری منطقی را طی کرده. در روز دوم آپریل، مدیر OGUsers خبر از هک شدن فروم خود داد. در مستندات دادگاه آمده که چند روز بعد، یک گروه هکر رقیب، لینک دانلود دیتابیس اطلاعات کاربران این انجمن را منتشر کرده.

مشخص شد دیتابیس سایت حسابی پر و پیمان بوده و نه فقط نام کاربری و پست‌های عمومی را شامل می‌شود، بلکه پیام‌های خصوصی کاربران، آی‌پی آدرس‌ها و ایمیل آدرس‌ها نیز در آن ذخیره شده. پلیس فدرال آمریکا می‌گوید یک کپی از این دیتابیس را در روز نهم آپریل به دست آورد.

از این جا به بعد، روند ردیابی هکرها سرعت می‌گیرد. در پیام‌های خصوصی Chaewon در OGUsers، شواهدی از یک مبادله طی ماه فوریه یافت شده که نشان می‌دهد یک نفر از Chaewon خواسته با ارسال بیت‌کوین به یک آدرس خاص، هزینه یک بازی ویدیویی را بپردازد. سر نخ آن کیف پول، روز بعد به مجموعه‌ای از آدرس‌های بیت‌کوین منتهی می‌شود که ماه‌ها بعد، توسط ever so anxious در همکاری با Kirk استفاده شده.

محققان سپس توانستند از دیتابیس برای تطابق دادن اکانت Chaewon با اکانت دیگری در OGUsers به نام Mas استفاده کنند. هر دو اکانت در یک روز و با یک آی‌پی آدرس وارد فروم شده‌اند. یک کشف دیگر هم این بود که بین روزهای 11 فوریه تا 15 فوریه امسال، Chaewod در یک پست نوشته: «من MAS هستم، من MAS هستم. نه BRY، من MAS هستم... MAS ...MAS...» که محققان را به این نتیجه‌گیری بدیهی رساند که Chaewon و Mas هردو توسط یک نفر مدیریت می‌شوند.

گفته می‌شود اکانت Mas متصل به ایمیل آدرس masonhppy@gmail.com بوده که ضمنا به اکانت کوین‌بیس میسون شپرد نیز متصل است. آدرس‌های بیت‌کوین مرتبط با Chaewan چندین تبادل مالی در صرافی رمزارز Binance داشته‌اند که سوابق آن ارتباط با شپرد را نشان می‌دهد. در نهایت مستندات دادگاه می‌گویند که یک شاهد که خواسته نامش فاش نشود نیز Chaewon را با نام میسون می‌شناخته است.

برای ارتباط دادن اکانت Rolex به نیما فاضلی، محققان به آی‌پی آدرس‌ها و آدرس بیت‌کوین اتکا کرده‌اند و همینطور یک مبادله مالی خاص در روز 30 اکتبر 2018 که در فروم‌های OGUsers به آن اشاره شده. اکانت کوین‌بیسی که این مبادله را پشت سر گذاشته، متعلق به شخصی به نام Nim F است که ایمیل آدرس damniamevil20@gmail.com را در اختیار دارد، همان ایمیلی که اکانت Rolex در OGUsers با آن ساخته شده.

اکانت کوین‌بیس با یک گواهی‌نامه رانندگی در فلوریدا تایید شده که متعلق به نام نیما فاضلی است. در مستندات دادگاه آمده که به مرور زمان، فاضلی از گواهی‌نامه واقعی خود برای سه اکانت مختلف کوین‌بیس استفاده کرده که سومین اکانت، دائما با همان آی‌پی آدرس Rolex در دیسکورد و OGUsers رصد می‌شده است.