Mọi thứ bắt đầu bằng tin nhắn giữa 2 hacker trên Discord tối 14/7.
"Này anh bạn", người dùng tên Kirk mở đầu cuộc tṛ chuyện.
"Tôi làm ở Twitter. Đừng đưa tin nhắn này cho ai nhé. Nghiêm túc đấy".
Sau đó, người này chứng minh khả năng kiểm soát các tài khoản Twitter giá trị - hành động chỉ thực hiện được khi bạn có quyền truy cập vào mạng nội bộ của Twitter.
Hacker nhận tin nhắn ấy (tên người dùng là lol) lúc đầu cho rằng Kirk không phải nhân viên Twitter bởi anh ta quá hứng thú với việc đánh sập Twitter.
Tuy nhiên, những ǵ diễn ra trên màn h́nh cho thấy Kirk có thể truy cập công cụ nhạy cảm nhất của Twitter để điều khiển tài khoản của Barack Obama, Joe Biden, Elon Musk và hàng loạt nhân vật nổi tiếng.
Vụ tấn công có sự tham gia của những chàng trai trẻ, không phải quốc gia hay nhóm hacker khét tiếng nào. Ảnh: New York Times.
Những hacker 20 tuổi tham gia tấn công Twitter
3 trong số 4 người liên quan đến vụ hack đă đồng ư chia sẻ câu chuyện với New York Times, gồm ảnh chụp màn h́nh các tin nhắn mà họ trao đổi trong ngày 14/7 và 15/7.
Có thể khẳng định vụ hack không được thực hiện bởi các nhóm tin tặc khét tiếng hoặc một quốc gia, thay vào đó là những chàng thanh niên c̣n rất trẻ (một người đang sống ở nhà với mẹ). Họ biết đến nhau v́ cùng có mơ ước sở hữu các nickname độc lạ trên Internet, thường chỉ có một chữ cái hoặc con số (như @y hoặc @6).
New York Times xác nhận họ là những người liên quan đến vụ hack sau khi đối chiếu tài khoản mạng xă hội và ví tiền điện tử với mă số ví hiện trên những đoạn tweet.
Kirk được xem là nhân tố quan trọng nhất, người đă nạp và rút tiền khỏi ví tiền điện tử. Dù vậy, thông tin cá nhân và động cơ tấn công chính xác của Kirk vẫn là điều bí ẩn. Chưa rơ ngoài các tweet lừa nạp tiền, Kirk c̣n sử dụng các tài khoản bị hack (của Joe Bden, Barack Obama...) để ăn cắp thông tin hay chia sẻ cho người khác hay không.
lol và một người khác (tên hiển thị là ever so anxious) nói rằng họ chỉ liên quan đến một số tài khoản Twitter khi cuộc tấn công diễn ra sáng sớm 15/7 (giờ địa phương), và không c̣n liên lạc khi Kirk tấn công các tài khoản nổi tiếng vào khoảng 3h30 chiều cùng ngày.
Chia sẻ một chút về bản thân, lol nói rằng anh khoảng 20 tuổi, sống ở bờ Tây nước Mỹ c̣n ever so anxious mới 19 tuổi, sống tại phía Nam nước Anh với mẹ.
Mục đích ban đầu của vụ hack là ǵ?
Thông tin được chia sẻ bởi lol và ever so anxious trùng khớp kết quả điều tra trước đó nói rằng Kirk có liên quan đến 2 vụ tấn công, một vụ nhắm vào các tài khoản nổi tiếng vào cuối ngày và một vụ nhắm đến tài khoản ít nổi tiếng hơn vào đầu ngày.
Cái tên Kirk dường như không có tiếng tăm trong giới hacker. Tài khoản của người này trên Discord chỉ mới tạo vào ngày 7/7. Trong khi đó, lol và ever so anxious được biết đến khá nhiều trên OGusers.com, website mua bán tài khoản mạng xă hội có nickname giá trị.
Đối với game thủ, người dùng mạng xă hội (như Twitter) và hacker, những nickname chỉ có một chữ cái, một từ hoặc một con số được săn lùng rất nhiều. Chúng được đăng kư bởi những người tham gia mạng xă hội từ rất sớm, c̣n gọi là "original gangsters" (OG).
Một số người tham gia mạng xă hội trễ rất muốn sở hữu những nickname ấy, sẵn sàng trả hàng ngh́n USD để hacker ắn cắp chúng.
Kirk đă kết nối với lol trong tối 14/7 và ever so anxious trên Discord từ sáng 15/7 để làm trung gian mua bán những tài khoản Twitter do Kirk đánh cắp và sẽ được chia hoa hồng.
Một trong những giao dịch, lol đă bán tài khoản Twitter có nickname @y với giá 1.500 USD (đổi ra Bitcoin). Số tiền được chuyển vào cùng địa chỉ ví mà Kirk đưa lên các tweet lừa đảo. Riêng ever so anxious cũng có được @anxious, nickname mà anh mơ ước từ bấy lâu nay.
Sáng 15/7, khách liên lạc mua nickname nhiều khiến Kirk muốn tṛ chơi của ḿnh vui hơn.
Kirk gửi ảnh màn h́nh giao diện nội bộ của Twitter để chứng minh quyền truy cập của ḿnh. Nhóm 4 người của Kirk đă bán các tài khoản với nickname @dark, @w, @l, @50, @vague và một số tài khoản khác.
Một trong những khách hàng của Kirk cũng là hacker nổi tiếng trong giới buôn bán nickname quư có tên PlugWalkJoe. Tin nhắn trên Discord cho thấy PlugWalkJoe đă mua được tài khoản Twitter @6 từ ever so anxious. Anh chia sẻ tên thật là Joseph O’Connor, nằm trong tiệm massage gần nhà riêng tại Tây Ban Nha khi vụ hack diễn ra.
Ngày 16/7, nhà báo trong lĩnh vực bảo mật, Brian Krebs đăng bài viết tố O’Connor là nhân vật chủ chốt trong vụ hack, nhưng anh tỏ ra không đoái hoài.
"Họ cứ đến bắt tôi để tôi cười vào mặt. Tôi chẳng làm ǵ cả", O’Connor chia sẻ.
Mọi thứ diễn ra trong vài tiếng
Tất cả giao dịch mua bán nickname do lol và ever so anxious chịu trách nhiệm diễn ra trước vụ hack khiến cả thế giới biết đến lúc 3h30 chiều 15/7 (giờ Mỹ). Trước thời điểm ấy, Twitter của hàng loạt công ty tiền điện tử đă đăng bài viết kêu gọi quyên góp tiền Bitcoin cho website cryptoforhealth.com.
"Chúng ta vừa tấn công vào cb (Coinbase)", Kirk nhắn cho lol một phút trước khi chiếm quyền truy cập Twitter của công ty này.
C̣n với ever so anxious, các tin nhắn trong sáng 15/7 cho thây anh rất buồn ngủ. Trước khi vụ tấn công lớn diễn ra, ever so anxious nhắn tin cho bạn gái "ngủ trưa đây" rồi lặn khỏi Discord.
Từ 3h30 chiều trở đi, Kirk nhanh chóng chiếm quyền truy cập Twitter của các nhân vật nổi tiếng, từ ca sĩ Kayne West đến các CEO công nghệ như Jeff Bezos. Tất cả đăng tweet với nội dung lừa công chúng tham lam chuyển tiền Bitcoin đến một địa chỉ ví để nhận lại gấp đôi.
Đến 6h chiều, Twitter đă biết chuyện ǵ xảy ra nên không có tweet nào xuất hiện nữa. Tuy nhiên công ty phải tắt quyền truy cập của một số người dùng, sau đó mở cuộc điều tra.
Trên trang blog chính thức, Twitter nói rằng kẻ tấn công nhắm đến 130 tài khoản, truy cập thành công 45, riêng 8 tài khoản có thể đă bị ăn cắp dữ liệu.
Khi thức dậy vào 2h30 sáng hôm sau, ever so anxious mới biết chuyện ǵ xảy ra. Anh nhắn tin cho lol tỏ vẻ thất vọng.
"Tôi không buồn nữa đâu, nhưng anh ta (Kirk) đă kiếm được 20 Bitcoin", ever so anxious nói rằng số tiền Bitcoin mà Kirk kiếm được từ vụ tấn công tương đương 180.000 USD.
C̣n bản thân Kirk, người rủ rê lol và ever so anxious tham gia vụ tấn công (ở giai đoạn đầu), biến mất không dấu vết. Ngay cả Twitter cũng không thể biết được đó có phải là cựu nhân viên của ḿnh hay không, hay vẫn c̣n lẩn trốn đâu đó trong nội bộ.
VietBF @ Sưu tầm