Cục điều tra Liên bang Mỹ (FBI) đă dựa trên các chi tiết "nghiệp dư" của những hacker tấn công vào Twitter và từng bước lần ra dấu vết.
Theo các cáo trạng được Bộ Tư pháp Mỹ (DOJ) công bố hôm 1/8, ba hacker tấn công vào Twitter gồm Mason Sheppard, có biệt danh là "Chaewon", 19 tuổi, sống tại Bognor Regis (Anh); Nima Fazeli, 22 tuổi, c̣n được gọi là "Rolex"; và Graham Ivan Clark, 17 tuổi, biệt danh "Kirk". Fazeli và Clark sống tại Tampa, Florida (Mỹ).
Tài liệu ṭa án cho thấy, toàn bộ vụ tấn công bắt đầu vào ngày 3/5. Không biết bằng cách nào, Clark có được quyền truy cập vào công cụ quản trị nội bộ của Twitter. Thế nhưng, từ lúc đó đến thời điểm Twitter bị tấn công - ngày 15/7, mọi thứ dường như "án binh bất động".
Trong khi đó, báo cáo của New York Times cho thấy, Clark t́m được thông tin truy cập hệ thống Twitter sau khi được quyền vào cuộc hội thoại Slack của nhân viên mạng xă hội này. Slack là ứng dụng chat nhóm nổi tiếng, được nhiều người yêu thích v́ các tính năng gửi tập tin nhanh, tṛ chuyện tiện lợi thông qua các kênh và được mệnh danh là "sát thủ email".
Tuy vậy, thông tin đăng nhập có được từ Slack chưa đủ để Clark truy cập vào hệ thống nội bộ của Twitter, bởi nó được bảo vệ bởi tính năng xác thực hai yếu tố (2FA). Hacker này tiếp tục thực hiện một cuộc tấn công lừa đảo khác qua điện thoại nhằm vào nhân viên Twitter, mục đích là để lấy mă 2FA và đă thành công.
Tài khoản Twitter nhân viên do Clark chiếm được có đầy đủ các tính năng để thêm, sửa hoặc xóa bất kỳ nội dung nào.
Clack tham gia Discord, một nền tảng tṛ chuyện bằng giọng nói và văn bản, vào ngày 7/7 với tên tài khoản là "Kirk#5270". Hacker này đă tiếp cận với hai người khác trên kênh Discord của OGUsers, một diễn đàn dành riêng cho tin tặc bán và mua tài khoản truyền thông xă hội.
Nhật kư tṛ chuyện trên Discord thu thập được cho thấy, Clark đă tiếp cận hai hacker khác là Fazeli với tên tài khoản "Rolex#037" và Sheppard là "ever so anxious#0001", đồng thời cho biết ḿnh đang làm việc tại Twitter. Để chứng minh ḿnh có thể hack được Twitter, Clark đă vào tài khoản của Fazeli và sửa đổi một số thông tin. Đồng thời, hacker 17 tuổi này cũng bán quyền truy cập của nhiều tài khoản Twitter dạng ngắn như @xx, @dark, @
vampire, @obinna hay @drug cho Sheppard.
Sau đó, Clark thuyết phục Sheppard và Fazeli cùng ḿnh đăng quảng cáo trên OGUsers để bán các tài khoản Twitter đánh cắp được. Từ lúc này, có thể không ít tài khoản đă bị mua bán. Đây cũng chính là nguyên nhân khiến hàng loạt tài khoản của các công ty và người nổi tiếng, như Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg... đăng tweet yêu cầu gửi Bitcoin đến cùng một địa chỉ vào 15/7.
Theo tài liệu của DOJ, địa chỉ Bitcoin nói trên nhận khoảng 12,83 Bitcoin, tương đương 117.000 USD. Tuy nhiên, cuộc điều tra khác tiết lộ nền tảng trao đổi tiền điện tử Coinbase đă ngăn chặn số Bitcoin khác gửi đến địa chỉ trên với tổng số tiền 280.000 USD.
Đến lúc này, tài khoản Twitter nội bộ mà Clack dùng để đăng tweet trên tài khoản người nổi tiếng đă bị khóa. Mạng xă hội đă điều tra và phát hiện hacker này tương tác với ít nhất 130 tài khoản qua công cụ nội bộ, thiết lập lại mật khẩu của 45 tài khoản và xem tin nhắn riêng tư của 36 tài khoản.
Một ngày sau vụ hack, Twitter gửi đơn khiếu nại h́nh sự lên các nhà chức trách. FBI và Sở Mật vụ Mỹ nhanh chóng vào cuộc điều tra.
Đầu tiên, FBI đă sử dụng dữ liệu được chia sẻ trên mạng xă hội và các cơ quan báo chí, sau đó thu thập nhật kư tṛ chuyện và thông tin người dùng từ Discord. Do đă có một số quảng cáo được hacker đăng trên OGUsers, cộng thêm dữ liệu trên mạng khi diễn đàn này bị hack vào tháng 4, FBI nhanh chóng t́m thấy thông tin ḿnh cần, gồm chi tiết tên người dùng, email, địa chỉ IP, thậm chí có cả tin nhắn riêng tư.
Tiếp đó, với sự giúp đỡ của Chi cục Thuế Mỹ (IRS), cơ quan điều tra đă thu được dữ liệu liên quan đến địa chỉ Bitcoin giao dịch qua sàn Coinbase. Xâu chuỗi thông tin từ Discord, OGUsers và Coinbase, FBI nhanh chóng t́m thấy danh tính của ba hacker.
Trong số này, Fazili phạm nhiều sai lầm nhất trong việc che giấu danh tính. FBI đă thấy rằng hacker này liên kết tên người dùng và địa chỉ email trên OGUsers với Discord. Đầu tiên, Fazili dùng email
damniamevil20@gmail. com để đăng kư tài khoản trên OGUsers và dùng email
chancelittle10@gmail .com để chiếm đoạt tài khoản Twitter @foreign. Tuy nhiên, hai email này cũng được dùng để đăng kư tài khoản Coinbase, sau đó xác minh danh tính bằng ảnh trên giấy phép lái xe của ḿnh.
Thậm chí, Fazili c̣n "nghiệp dư" đến mức sử dụng luôn mạng Internet của gia đ́nh ḿnh để truy cập các tài khoản trên Discord, OGUsers và Coinbase mà không ẩn danh. Kết quả là, địa chỉ IP và nhật kư truy cập trên cả ba dịch vụ này đă được lưu lại.
Điều tương tự cũng xảy ra với Sheppard. FBI cho biết hacker có biệt danh "Chaewon" này đă kết nối tài khoản Discord với OGUsers và dùng nó để bán các tài khoản Twitter hack được. Thậm chí, tên này c̣n mua một tṛ chơi điện tử bằng ví Bitcoin có liên kết với địa chỉ tiền ảo đă đăng trên các tài khoản bị hack vào cùng ngày 15/7.
Với trường hợp của Clark, FBI không t́m thấy mối liên hệ trực tiếp giữa tài khoản "Kirk#5270" với hai dịch vụ c̣n lại. Tuy nhiên, xâu chuỗi bằng chứng, các nhân viên điều tra đă dần nhận biết đây là một cá nhân và nhanh chóng truy ra tên tuổi của hacker này sau đó.
Clark được xác định là chủ mưu và giữ vai tṛ thiết yếu trong toàn bộ vụ tấn công Twitter, trong khi Sheppard và Fazeli đóng vai tṛ phụ tá. Hacker 17 tuổi sẽ đối mặt với 30 tội danh nghiêm trọng, như xâm nhập máy tính trái phép, âm mưu lừa đảo, lừa đảo có tổ chức, xâm nhập máy tính bất hợp pháp... Các công tố viên cho biết Clark sẽ bị buộc tội như người trưởng thành và sớm nhận án phạt thích đáng.
VietBF @ Sưu tầm