FBI tìm ra hacker tấn công Twitter như thế nào?
Cục điều tra Liên bang Mỹ (FBI) đã dựa trên các chi tiết “nghiệp dư” của những hacker tấn công vào Twitter và từng bước lần ra dấu vết.
Theo các cáo trạng được Bộ Tư pháp Mỹ (DOJ) công bố hôm 1/8, ba hacker tấn công vào Twitter gồm Mason Sheppard, có biệt danh là “Chaewon”, 19 tuổi, sống tại Bognor Regis (Anh); Nima Fazeli, 22 tuổi, còn được gọi là “Rolex“; và Graham Ivan Clark, 17 tuổi, biệt danh “Kirk“. Fazeli và Clark sống tại Tampa, Florida (Mỹ)
Tài liệu tòa án cho thấy, toàn bộ vụ tấn công bắt đầu vào ngày 3/5. Không biết bằng cách nào, Clark có được quyền truy cập vào công cụ quản trị nội bộ của Twitter. Thế nhưng, từ lúc đó đến thời điểm Twitter bị tấn công – ngày 15/7, mọi thứ dường như “án binh bất động”.
Trong khi đó, báo cáo của New York Times cho thấy, Clark tìm được thông tin truy cập hệ thống Twitter sau khi được quyền vào cuộc hội thoại Slack của nhân viên mạng xã hội này. Slack là ứng dụng chat nhóm nổi tiếng, được nhiều người yêu thích vì các tính năng gửi tập tin nhanh, trò chuyện tiện lợi thông qua các kênh và được mệnh danh là “sát thủ email”.
Tuy vậy, thông tin đăng nhập có được từ Slack chưa đủ để Clark truy cập vào hệ thống nội bộ của Twitter, bởi nó được bảo vệ bởi tính năng xác thực hai yếu tố (2FA). Hacker này tiếp tục thực hiện một cuộc tấn công lừa đảo khác qua điện thoại nhằm vào nhân viên Twitter, mục đích là để lấy mã 2FA và đã thành công.
Clack tham gia Discord, một nền tảng trò chuyện bằng giọng nói và văn bản, vào ngày 7/7 với tên tài khoản là “Kirk#5270“. Hacker này đã tiếp cận với hai người khác trên kênh Discord của OGUsers, một diễn đàn dành riêng cho tin tặc bán và mua tài khoản truyền thông xã hội.
Nhật ký trò chuyện trên Discord thu thập được cho thấy, Clark đã tiếp cận hai hacker khác là Fazeli với tên tài khoản “Rolex#037” và Sheppard là “ever so anxious#0001“, đồng thời cho biết mình đang làm việc tại Twitter. Để chứng minh mình có thể hack được Twitter, Clark đã vào tài khoản của Fazeli và sửa đổi một số thông tin. Đồng thời, hacker 17 tuổi này cũng bán quyền truy cập của nhiều tài khoản Twitter dạng ngắn như @xx, @dark, @vampire, @obinna hay @drug cho Sheppard.
Sau đó, Clark thuyết phục Sheppard và Fazeli cùng mình đăng quảng cáo trên OGUsers để bán các tài khoản Twitter đánh cắp được. Từ lúc này, có thể không ít tài khoản đã bị mua bán. Đây cũng chính là nguyên nhân khiến hàng loạt tài khoản của các công ty và người nổi tiếng, như Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg… đăng tweet yêu cầu gửi Bitcoin đến cùng một địa chỉ vào 15/7.
Theo tài liệu của DOJ, địa chỉ Bitcoin nói trên nhận khoảng 12,83 Bitcoin, tương đương 117.000 USD. Tuy nhiên, cuộc điều tra khác tiết lộ nền tảng trao đổi tiền điện tử Coinbase đã ngăn chặn số Bitcoin khác gửi đến địa chỉ trên với tổng số tiền 280.000 USD.
Đến lúc này, tài khoản Twitter nội bộ mà Clack dùng để đăng tweet trên tài khoản người nổi tiếng đã bị khóa. Mạng xã hội đã điều tra và phát hiện hacker này tương tác với ít nhất 130 tài khoản qua công cụ nội bộ, thiết lập lại mật khẩu của 45 tài khoản và xem tin nhắn riêng tư của 36 tài khoản.
Một ngày sau vụ hack, Twitter gửi đơn khiếu nại hình sự lên các nhà chức trách. FBI và Sở Mật vụ Mỹ nhanh chóng vào cuộc điều tra.
Đầu tiên, FBI đã sử dụng dữ liệu được chia sẻ trên mạng xã hội và các cơ quan báo chí, sau đó thu thập nhật ký trò chuyện và thông tin người dùng từ Discord. Do đã có một số quảng cáo được hacker đăng trên OGUsers, cộng thêm dữ liệu trên mạng khi diễn đàn này bị hack vào tháng 4, FBI nhanh chóng tìm thấy thông tin mình cần, gồm chi tiết tên người dùng, email, địa chỉ IP, thậm chí có cả tin nhắn riêng tư.
Tiếp đó, với sự giúp đỡ của Chi cục Thuế Mỹ (IRS), cơ quan điều tra đã thu được dữ liệu liên quan đến địa chỉ Bitcoin giao dịch qua sàn Coinbase. Xâu chuỗi thông tin từ Discord, OGUsers và Coinbase, FBI nhanh chóng tìm thấy danh tính của ba hacker.
Trong số này, Fazili phạm nhiều sai lầm nhất trong việc che giấu danh tính. FBI đã thấy rằng hacker này liên kết tên người dùng và địa chỉ email trên OGUsers với Discord. Đầu tiên, Fazili dùng email damniamevil20@gmail.com để đăng ký tài khoản trên OGUsers và dùng email chancelittle10@gmail.com để chiếm đoạt tài khoản Twitter @foreign. Tuy nhiên, hai email này cũng được dùng để đăng ký tài khoản Coinbase, sau đó xác minh danh tính bằng ảnh trên giấy phép lái xe của mình.
Thậm chí, Fazili còn “nghiệp dư” đến mức sử dụng luôn mạng Internet của gia đình mình để truy cập các tài khoản trên Discord, OGUsers và Coinbase mà không ẩn danh. Kết quả là, địa chỉ IP và nhật ký truy cập trên cả ba dịch vụ này đã được lưu lại.
Điều tương tự cũng xảy ra với Sheppard. FBI cho biết hacker có biệt danh “Chaewon” này đã kết nối tài khoản Discord với OGUsers và dùng nó để bán các tài khoản Twitter hack được. Thậm chí, tên này còn mua một trò chơi điện tử bằng ví Bitcoin có liên kết với địa chỉ tiền ảo đã đăng trên các tài khoản bị hack vào cùng ngày 15/7.
Với trường hợp của Clark, FBI không tìm thấy mối liên hệ trực tiếp giữa tài khoản “Kirk#5270” với hai dịch vụ còn lại. Tuy nhiên, xâu chuỗi bằng chứng, các nhân viên điều tra đã dần nhận biết đây là một cá nhân và nhanh chóng truy ra tên tuổi của hacker này sau đó.