來源 | 新浪科技(ID:techsina)
編譯 | 勻琳
頭圖 | CSDN付費下載自視覺中國
近日,媒體採訪了數名參與本周Twitter攻擊事件的人員,揭曉黑客對比特幣的貪婪如何一步步失控最終導致大規模攻擊事件的發生。
7月15日發生在Twitter上的針對政客、企業和文化精英的黑客攻擊陰謀始於周二晚,兩名黑客在網絡消息平台Discord上的調侃信息。
根據媒體獲悉的對話截圖,暱稱為「Kirk」的用戶寫道:「嗨,哥們。我在Twitter工作。不要把這些分享給任何人。很嚴肅地說。」
然後,他證明自己可以控制Twitter上的有價值帳戶——這種事情,一般需要內部人士訪問該公司的計算機網絡才能做到。
收到這條消息的黑客(顯示的暱稱叫「lol」)在接下來的24小時內認為,Kirk根本不在Twitter工作,因為他老想著給公司使壞。但是Kirk也確實可以訪問Twitter的最敏感工具,可以讓他控制幾乎任何一個Twitter帳戶,包括前總統巴拉克·歐巴馬、小約瑟夫·拜登、伊隆·馬斯克等眾多名人的帳戶。
儘管這次黑客攻擊事件馬上引來了全球關注,也讓Twitter陷入信任危機,儘管其他科技公司也提供了安全幫助,然而究竟誰該為這次攻擊負責、以及他們是如何成功的等等基礎細節,依然是一個謎。調查仍處於早期階段。
但有媒體採訪到了四名參與這次攻擊的人員,他們分享了周二和周三的大量日誌與螢幕截圖,證明他們在黑客攻擊發生前與發生後均有參與。
採訪顯示,攻擊跟單一國家或一群高水平的黑客無關。相反,攻擊背後是一群年輕人。其中一人說,他和母親住在一起。他們互相結識,是因為對獨特的用戶名有著同樣的痴迷,比如單個字母或數字的暱稱,像@y或者@6。
外媒通過將他們的社交媒體和加密貨幣帳戶與周三事件中出現的帳戶相對比,證實這四人確實與那次黑客攻擊事件有關聯。他們還提供了參與黑客活動的確鑿證據,比如Discord和Twitter上的對話日誌。
在研究公司Chainalysis的協助下,外媒對比特幣交易進行了分析。分析發現,攻擊事件的核心人物是Kirk,他在攻擊事件發生當天用相同的比特幣地址充值和提現。
但是Kirk的身份,他的動機以及他是否與其他任何人分享過他對Twitter的訪問權限,依舊成謎。我們也不知道Kirk訪問拜登、馬斯克等人的帳戶權限到底有多大,是否可以訪問更多特權信息,比如他們在Twitter上的私人對話。
暱稱叫「lol」的黑客和另一個與他一起工作的人(暱稱「ever so anxious」)說,他們想聊聊自己和Kirk一起做的事情,來證明他們只是在當天早些時候協助購買和控制鮮為人知的Twitter帳戶。下午3點半左右,Kirk發起更聲勢浩大的攻擊時,他們沒有繼續參與。
「我只是想把我自己的故事告訴你們,因為我覺得你可以為我和『ever so anxious』澄清一些事實,」「lol」在Discord上說道。他還分享了自己跟Kirk的所有聊天記錄,並證明他的確是那些與Kirk有過交易的加密貨幣帳戶的所有者。
「lol」沒有透露自己的真實身份,但他說,自己住在西海岸,差不多二十多歲。「ever so anxious」說自己19歲,跟母親住在英格蘭南部。
此次黑客攻擊的調查人員說,黑客提供的細節與他們目前掌握的線索相吻合,包括Kirk在當天晚些時候參與了大型黑客攻擊,並在周三早些時候發動一些小規模攻擊。
通過加州一名安全研究人員哈西卜·阿萬(Haseeb Awan)的介紹,記者與黑客取得最初聯繫。阿萬說,他跟黑客們有聯繫是因為,其中不少黑客之前曾針對過他和他以前擁有過的一家比特幣相關的公司。他們也試圖攻擊他現在的公司Efani(一家安全電話服務商),但沒有得逞。
周三之前,這個叫「Kirk」的人在黑客圈裡還不怎麼出名。他在7月7日才剛剛創建了Discord帳戶。
但是「lol」和「ever so anxious」在OGusers.com網站上已經小有名氣。安全專家說,黑客們一直在這個網站上購買和出售有價值的社交媒體暱稱。
對於遊戲玩家、Twitter用戶和黑客,所謂的O.G。用戶名——通常是一個簡短的詞或數字——非常搶手。這些獨特的暱稱通常被新在線平台的早期用戶搶注。後來加入平台的用戶因為垂涎這些O.G。用戶名,往往願意花重金請黑客把用戶名從原主人手中搶過來。
「ever so anxious」和Kirk商量待出售的Twitter帳號
周二晚,Kirk先是聯繫上「lol」,然後又在周三早些時候聯繫了「ever so anxious」,問他們是否願意成為自己的中間人,在他們小有名氣的在線黑市出售Twitter帳戶。他們可以從每筆交易中拿到分成。
在首批交易中,「lol」促成了一筆1500美元的交易,用比特幣支付,這個人想購買「@y」這個Twitter用戶名。比特幣交易的公共分類帳顯示,收錢的那個比特幣錢包地址,與Kirk隨後在攻擊Twitter認證帳戶當天用來收錢的地址一致。
該團伙在OGusers.con上發布了一則廣告,出售Twitter暱稱,支付方式為比特幣。「ever so anxious」買下了他一直想要的@anxious這個暱稱。(他的個人信息仍顯示在該停用帳戶首頁。)
「我就是覺得擁有其他人羨慕的用戶名,非常了不起,」「ever so anxious」說。
那天早晨,越來越多顧客聞訊而來,Kirk的開價也一路水漲船高。他還展示了自己訪問Twitter系統的權限。他可以立即修改任何用戶名的最基本安全設置,還發布Twitter內部控制面板的截圖,來證明自己確實控制了那些待售帳戶。
最後,他們賣掉的帳戶包括@dark、@w、@l、@50和@vague等等。
Kirk發送給顧客的截圖,顯示為Twitter帳戶@R9的控制後台
他們的顧客之一是另一個在倒賣用戶名圈子裡較為出名的黑客。這個人叫「PlugWalkJoe」。在安全記者布萊恩·克雷布斯(Brian Krebs)周四發布的文章里,PlugWalkJoe是主角。克雷布斯稱,PlugWalkJoe是Twitter黑客攻擊事件中的主要人物。
但是Discord的日誌顯示,PlugWalkJoe僅僅是從「ever so anxious」那裡購買了用戶名為@6的Twitter帳戶,稍稍個性化設置後,再沒有參與其中。PlugWalkJoe,自稱真實姓名為約瑟夫·奧康納(Joseph O』Connor),在採訪中,他說,事件發生時,他正在西班牙自己家附近做按摩。
奧康納自稱是自己是英國人,21歲。他說:「我不在乎。他們可以來抓我。不過我什麼都沒做,我會嘲笑他們。」
奧康納還說,其他黑客告訴他,Kirk黑入了Twitter的內部Slack消息頻道,然後看到他們發布在那裡的憑證,還看到了給他訪問Twitter伺服器權限的某一個服務。調查該事件的調查人員說,這和他們目前了解到的情況一致。一名Twitter發言人拒絕發表評論。
「lol」和「ever so anxious」參與的交易全都發生在大規模攻擊發生之前。但是下午3點半剛過,大型加密貨幣公司如Coinbase等發布推文,呼籲大家向cryptoforhealth.com捐贈比特幣。
Kirk在控制了Coinbase的Twitter帳戶後,立馬在Discord上告訴「lol」說,「我們剛剛拿下了cb。」(cb即Coinbase。)
三名調查人員說,比特幣交易公共分類帳顯示,為建立cryptoforhealth.com付款的比特幣錢包也是Kirk當天早晨一直在使用的比特幣錢包。
周三早晨的其他通訊信息顯示,「ever so anxious」說自己得補會覺,因為他在英格蘭,時間已經很晚了。大規模攻擊發動前夕,他給女友發了一條簡訊「睡覺時間」,然後就從Discord上下線了。
但是Kirk繼續把動靜越搞越大,控制名人坎耶·韋斯特和科技巨頭傑夫·貝索斯等人的帳戶發布信息稱:把比特幣發送到指定帳戶,你就會收到雙倍的回報。
下午6點剛過,Twitter似乎控制了局面,詐騙消息消停了。但該公司不得不中止大量用戶的訪問權限。幾天過去了,Twitter仍在梳理整個事件。
Twitter在一篇博客文章中說,黑客攻擊了130個帳戶,並獲得了其中45個帳戶的訪問權限,同時借這45個帳戶發送垃圾信息。該公司稱,他們可以從其中8個帳戶下載數據。
「我們很快意識到我們對使用我們服務的用戶以及整個社會負有責任,」文章寫道,「我們很尷尬,也很失望,最重要的是,我們十分抱歉。」
在英國,當「ever so anxious」一覺醒來看到發生的一切後,他給同伴「lol」發了一條非常失望的信息。
「我真是又生氣又難過。他才賺了20個比特幣,」他說,指的是Kirk從騙局中一共才獲利20個比特幣,價值約1.8萬美元。
Kirk,無論他的真實身份是什麼,再也沒有回覆他的中間人,從此人間蒸發。