这场针对政客、企业以及文化精英的 Twitter 入侵计划始于周二晚些时候。当时,两位黑客在网络消息平台 Discord 上互相调侃。Discord 是一个玩家和黑客们常用的消息平台。
这次攻击的关键人物是一位名叫 “Kirk”的用户。“嘿,兄弟,”对话截图显示,“我在 Twitter 工作,不要把这些给任何人看,真的。”
随后,Kirk 演示了他可以控制一些重要的 Twitter 账号。这一过程需要内部人士访问 Twitter 的计算机网络。
收到这一消息的黑客使用的账号名为 “lol”。他在接下来 24 个小时内认定 Kirk 实际上不是为 Twitter 工作,因为 Kirk 过于愿意伤害 Twitter 了。但是,Kirk 确实能够访问 Twitter 最为敏感的工具,从而几乎能够控制任意 Twitter 账号,包括美国前总统奥巴马、特斯拉 CEO 埃隆 · 马斯克 (Elon Musk)和其他众多名人。
黑客与《纽约时报》的对话显示,发动此次攻击的并不是像俄罗斯这样的单一国家或者经验丰富的黑客组织。相反,它是由一群年轻人完成。其中一位说,他与自己的妈妈住在一起。他们之间彼此认识是因为他们十分迷恋一些早期或者不同寻常的用户名,尤其是单个字母或者数字,例如 @y 或者 @6。
《纽约时报》证实,这四位黑客的社交媒体和加密货币账号能够和周三发动入侵 Twitter 攻击的账号相匹配,从而证明他们确实和这起事件存在关联。他们还提供了参与这起攻击的确凿证据,例如他们在 Discord 和 Twitter 上的对话记录。
核心人物曝光
这起攻击事件的核心人物是 Kirk。《纽约时报》在区块链分析公司 Chainalysis 的协助下对比特币交易的分析显示,随着时间的推移,Kirk 掌控了同一个比特币地址内的资金进出。
但是,Kirk 的身份、他的动机以及是否与其他人分享了他的 Twitter 权限依旧是一个谜,就连与他一起参与攻击的黑客也不知道。而且,目前也不清楚 Kirk 在多大程度上利用他对于美国总统候选人拜登、马斯克等名人账号的访问来获取更为保密的信息,例如这些名人在 Twitter 上的私密对话。
lol 和另外一位一起合作的黑客 “ever so anxious”(非常焦虑)对《纽约时报》表示,他们想讨论与 Kirk 的合作旨在证实他们只是为周三稍早时候对不出名的 Twitter 账号的购买和接管提供便利。但是,当 Kirk 在美国东部时间周三大约 15:30 分 (北京时间周四 3:30 分)开始实施更为引人关注的攻击时,他们就不再与 Kirk 合作。
“我只想告诉你们我的故事,因为我认为你们或许能够帮我和‘ever so anxious’澄清一些事情,”lol 在 Discord 上的对话中表示。他分享了自己与 Kirk 的所有对话记录,证明他拥有此前用于与 Kirk 交易的加密货币账号。
lol 无法证实他的真实身份,但表示他生活在西海岸,20 多岁。“ever so anxious”说他今年 19 岁,与他的妈妈住在英格兰南方。
调查这起攻击事件的调查人员称,这些黑客提供的多个细节与调查人员目前所掌握的信息一致,包括 Kirk 同时参与了周三稍早时候的低调攻击和晚些时候的重大入侵活动。
《纽约时报》一开始通过加州安全研究人员哈西卜 · 阿万 (Haseeb Awan)联系上了这些黑客。据阿万介绍,他之所以能够与黑客们进行了沟通,是因为许多黑客曾经把阿万和他曾经拥有的一家比特币相关公司当作攻击目标。而且,黑客们还曾经对阿万目前的安全手机服务提供商 Efani 发动过攻击,但是没有成功。
社交网络靓号买卖
在周三之前,这个名为 Kirk 的用户在黑客圈里并没有多大的名气。他在 Discord 上的资料在 7 月 7 日才刚刚建立。
但是 lol 和 “ever so anxious”在黑客网站 OGusers.com 上已经众所周知。安全专家称,多年来,黑客们都是在 OGusers 碰头,购买和出售有价值的社交媒体用户名,也就是靓号。
对于网络玩家、Twitter 用户以及黑客们来说,所谓的靓号十分抢手。该用户名通常是一个短字,甚至是一个数字。这些吸引眼球的靓号通常会被一个新在线平台的早期使用者、新应用的元老级人物所抢占。
对于新用户来说,他们常常渴望获得一个靓号所带来的威信,愿意向黑客支付数千美元购买后者从原始所有者盗来的靓号。
Kirk 先是在周二晚些时候通过 Discord 联系了 lol,然后又在周三联系了 “ever so anxious”,问他们是否想成为 Kirk 的中间人,向那些他们拥有很高名气的网络黑市出售 Twitter 账号,并且能够从每笔交易中抽成。
黑客之间交易 Twitter 账号的对话截图
根据他们达成的首批交易其中的一笔,lol 安排了一笔交易,有人愿意以价值 1500 美元的比特币购买名为 @y 的 Twitter 用户名。比特币交易的公共账本显示,这笔钱所进入的比特币钱包与 Kirk 后来从入侵 Twitter 名人账号所获得的款项使用的比特币钱包相同。
他们在 OGusers.com 网站上发布了一条广告,出售 Twitter 靓号以换取比特币。“ever so anxious”拿下了 @anxious,这是他梦寐以求的用户名。他的个人详细资料里依旧占据着这个已经被冻结的账号。
“我只是觉得拥有一个其他人想要的用户名是一件很酷的事情。”“ever so anxious”在与《纽约时报》的对话中称。
周三早晨过后,抢购靓号的顾客蜂拥而入,Kirk 所要的价格也水涨船高。他还演示了自己拥有多大的 Twitter 系统访问权限。他能够迅速改变任何用户名的最基本安全设置,并发布了 Twitter 内部后台截图,以证明他掌控了顾客索要的账号。
他们先后卖出了 @dark、@w、@l、@50、@vague 以及其他许多 Twitter 靓号。其中一位顾客就是黑客圈买卖用户名的另外一位知名人物,他就是名为 “PlugWalkJoe”的年轻男子。周四,“PlugWalkJoe”成为了安全记者布莱恩 · 科雷布斯 (Brian Krebs)所发布一篇文章中的主角。科雷布斯认定,“PlugWalkJoe”就是 Twitter 被入侵事件的关键人物。
Twitter 内部聊天频道遭入侵
Discord 上的聊天日志显示,尽管 “PlugWalkJoe”通过 “ever so anxious”获得了 Twitter 账号 @6,并略微进行了个性化处理,但他并没有卷入这场攻击。“PlugWalkJoe”自称他的真名为约瑟夫 · 奥康纳 ( Joseph O’Connor)。他在接受《纽约时报》采访时称,当攻击事件发生时,他一直在西班牙目前的家中附近做按摩。
“我不在乎,”奥康纳称,他今年 21 岁,是英国人,“他们可以来抓我。我会嘲笑他们,因为我没做过任何事情。”
奥康纳称,其他黑客通知他,当 Kirk 找到方法进入 Twitter 内部 Slack 聊天频道时,看到了 Twitter 员工在聊天频道里发布了的访问凭证,而且还有一项能够让他访问 Twitter 服务器的服务。调查人员称,这与他们目前所掌握的信息一致。Twitter 发言人以正在调查为由拒绝置评。
Kirk 发布的 @R9 账号后台信息
涉及 lol 与 “ever so anxious”的所有交易都发生在 Twitter 入侵事件被曝光前。但是就在快要到周三 15:30 分时,Coinbase 等大型加密货币公司开始发布推文,要求人们向 cryptoforhealth.com 捐赠比特币。
“我们刚刚攻击了 Coinbase,”Kirk 在 Discord 上对 lol 说道,当时距离 Kirk 接管 Coinbase 的 Twitter 账号刚刚过去一分钟。
三位调查人员称,比特币交易的公共账本显示,用于付款建立 cryptoforhealth.com 网站的比特币钱包就是 Kirk 整个早晨一直在使用的钱包。
在周三早晨发布的多条信息中,“ever so anxious”说他需要睡会觉,因为英格兰时间当时已经是晚上了。就在大规模入侵攻击发动不久前,他向自己的女友发布了一条短信:“小睡一会”,然后就从 Discord 聊天记录中消失了。
大规模攻击上演
Kirk 迅速升级了他的攻击努力,从属于亚马逊创始人杰夫 · 贝佐斯 (Jeff Bezos)等科技大佬、“侃爷”坎耶 · 维斯特 (Kanye West)等艺人的 Twitter 账号发出了同一条信息:向特定账号发送比特币,会获得双倍返还。
刚过 18 点,Twitter 似乎发现了攻击者,比特币骗局的信息停止发送。但是,Twitter 为此不得不切断了大批用户的访问权限。几天后,Twitter 仍在厘清到底发生了什么。
当 “ever so anxious”在英国当地时间 2:30 醒来后,他在网上看到了所发生的一切,然后向他的中间人 lol 发送了一条信息。
“真是悲哀,让人生气,我的意思是说他才赚了 20 个比特币。”他指的是 Kirk 从比特币骗局中获得的比特币,价值约为 18 万美元。
Kirk,无论他是谁,已经不再回复他的中间人,人间蒸发。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。