近日,媒体采访了数名参与本周Twitter攻击事件的人员,揭晓黑客对比特币的贪婪如何一步步失控最终导致大规模攻击事件的发生。
7月15日发生在Twitter上的针对政客、企业和文化精英的黑客攻击阴谋始于周二晚,两名黑客在网络消息平台Discord上的调侃信息。
根据媒体获悉的对话截图,昵称为“Kirk”的用户写道:“嗨,哥们。我在Twitter工作。不要把这些分享给任何人。很严肃地说。”
然后,他证明自己可以控制Twitter上的有价值账户——这种事情,一般需要内部人士访问该公司的计算机网络才能做到。
收到这条消息的黑客(显示的昵称叫“lol”)在接下来的24小时内认为,Kirk根本不在Twitter工作,因为他老想着给公司使坏。但是Kirk也确实可以访问Twitter的最敏感工具,可以让他控制几乎任何一个Twitter账户,包括前总统巴拉克·奥巴马、小约瑟夫·拜登、伊隆·马斯克等众多名人的账户。
尽管这次黑客攻击事件马上引来了全球关注,也让Twitter陷入信任危机,尽管其他科技公司也提供了安全帮助,然而究竟谁该为这次攻击负责、以及他们是如何成功的等等基础细节,依然是一个谜。调查仍处于早期阶段。
但有媒体采访到了四名参与这次攻击的人员,他们分享了周二和周三的大量日志与屏幕截图,证明他们在黑客攻击发生前与发生后均有参与。
采访显示,攻击跟单一国家或一群高水平的黑客无关。相反,攻击背后是一群年轻人。其中一人说,他和母亲住在一起。他们互相结识,是因为对独特的用户名有着同样的痴迷,比如单个字母或数字的昵称,像@y或者@6。
外媒通过将他们的社交媒体和加密货币账户与周三事件中出现的账户相对比,证实这四人确实与那次黑客攻击事件有关联。他们还提供了参与黑客活动的确凿证据,比如Discord和Twitter上的对话日志。
在研究公司Chainalysis的协助下,外媒对比特币交易进行了分析。分析发现,攻击事件的核心人物是Kirk,他在攻击事件发生当天用相同的比特币地址充值和提现。
但是Kirk的身份,他的动机以及他是否与其他任何人分享过他对Twitter的访问权限,依旧成谜。我们也不知道Kirk访问拜登、马斯克等人的账户权限到底有多大,是否可以访问更多特权信息,比如他们在Twitter上的私人对话。
昵称叫“lol”的黑客和另一个与他一起工作的人(昵称“ever so anxious”)说,他们想聊聊自己和Kirk一起做的事情,来证明他们只是在当天早些时候协助购买和控制鲜为人知的Twitter账户。下午3点半左右,Kirk发起更声势浩大的攻击时,他们没有继续参与。
“我只是想把我自己的故事告诉你们,因为我觉得你可以为我和‘ever so anxious’澄清一些事实,”“lol”在Discord上说道。他还分享了自己跟Kirk的所有聊天记录,并证明他的确是那些与Kirk有过交易的加密货币账户的所有者。
“lol”没有透露自己的真实身份,但他说,自己住在西海岸,差不多二十多岁。“ever so anxious”说自己19岁,跟母亲住在英格兰南部。
此次黑客攻击的调查人员说,黑客提供的细节与他们目前掌握的线索相吻合,包括Kirk在当天晚些时候参与了大型黑客攻击,并在周三早些时候发动一些小规模攻击。
通过加州一名安全研究人员哈西卜·阿万(Haseeb Awan)的介绍,记者与黑客取得最初联系。阿万说,他跟黑客们有联系是因为,其中不少黑客之前曾针对过他和他以前拥有过的一家比特币相关的公司。他们也试图攻击他现在的公司Efani(一家安全电话服务商),但没有得逞。
周三之前,这个叫“Kirk”的人在黑客圈里还不怎么出名。他在7月7日才刚刚创建了Discord账户。
但是“lol”和“ever so anxious”在OGusers.com网站上已经小有名气。安全专家说,黑客们一直在这个网站上购买和出售有价值的社交媒体昵称。
对于游戏玩家、Twitter用户和黑客,所谓的O.G。用户名——通常是一个简短的词或数字——非常抢手。这些独特的昵称通常被新在线平台的早期用户抢注。后来加入平台的用户因为垂涎这些O.G。用户名,往往愿意花重金请黑客把用户名从原主人手中抢过来。
“ever so anxious”和Kirk商量待出售的Twitter账号
周二晚,Kirk先是联系上“lol”,然后又在周三早些时候联系了“ever so anxious”,问他们是否愿意成为自己的中间人,在他们小有名气的在线黑市出售Twitter账户。他们可以从每笔交易中拿到分成。
在首批交易中,“lol”促成了一笔1500美元的交易,用比特币支付,这个人想购买“@y”这个Twitter用户名。比特币交易的公共分类账显示,收钱的那个比特币钱包地址,与Kirk随后在攻击Twitter认证账户当天用来收钱的地址一致。
该团伙在OGusers.con上发布了一则广告,出售Twitter昵称,支付方式为比特币。“ever so anxious”买下了他一直想要的@anxious这个昵称。(他的个人信息仍显示在该停用账户首页。)
“我就是觉得拥有其他人羡慕的用户名,非常了不起,”“ever so anxious”说。
那天早晨,越来越多顾客闻讯而来,Kirk的开价也一路水涨船高。他还展示了自己访问Twitter系统的权限。他可以立即修改任何用户名的最基本安全设置,还发布Twitter内部控制面板的截图,来证明自己确实控制了那些待售账户。
最后,他们卖掉的账户包括@dark、@w、@l、@50和@vague等等。
Kirk发送给顾客的截图,显示为Twitter账户@R9的控制后台
他们的顾客之一是另一个在倒卖用户名圈子里较为出名的黑客。这个人叫“PlugWalkJoe”。在安全记者布莱恩·克雷布斯(Brian Krebs)周四发布的文章里,PlugWalkJoe是主角。克雷布斯称,PlugWalkJoe是Twitter黑客攻击事件中的主要人物。
但是Discord的日志显示,PlugWalkJoe仅仅是从“ever so anxious”那里购买了用户名为@6的Twitter账户,稍稍个性化设置后,再没有参与其中。PlugWalkJoe,自称真实姓名为约瑟夫·奥康纳(Joseph O’Connor),在采访中,他说,事件发生时,他正在西班牙自己家附近做按摩。
奥康纳自称是自己是英国人,21岁。他说:“我不在乎。他们可以来抓我。不过我什么都没做,我会嘲笑他们。”
奥康纳还说,其他黑客告诉他,Kirk黑入了Twitter的内部Slack消息频道,然后看到他们发布在那里的凭证,还看到了给他访问Twitter服务器权限的某一个服务。调查该事件的调查人员说,这和他们目前了解到的情况一致。一名Twitter发言人拒绝发表评论。
“lol”和“ever so anxious”参与的交易全都发生在大规模攻击发生之前。但是下午3点半刚过,大型加密货币公司如Coinbase等发布推文,呼吁大家向cryptoforhealth.com捐赠比特币。
Kirk在控制了Coinbase的Twitter账户后,立马在Discord上告诉“lol”说,“我们刚刚拿下了cb。”(cb即Coinbase。)
三名调查人员说,比特币交易公共分类账显示,为建立cryptoforhealth.com付款的比特币钱包也是Kirk当天早晨一直在使用的比特币钱包。
周三早晨的其他通讯信息显示,“ever so anxious”说自己得补会觉,因为他在英格兰,时间已经很晚了。大规模攻击发动前夕,他给女友发了一条短信“睡觉时间”,然后就从Discord上下线了。
但是Kirk继续把动静越搞越大,控制名人坎耶·韦斯特和科技巨头杰夫·贝索斯等人的账户发布信息称:把比特币发送到指定账户,你就会收到双倍的回报。
下午6点刚过,Twitter似乎控制了局面,诈骗消息消停了。但该公司不得不中止大量用户的访问权限。几天过去了,Twitter仍在梳理整个事件。
Twitter在一篇博客文章中说,黑客攻击了130个账户,并获得了其中45个账户的访问权限,同时借这45个账户发送垃圾信息。该公司称,他们可以从其中8个账户下载数据。
“我们很快意识到我们对使用我们服务的用户以及整个社会负有责任,”文章写道,“我们很尴尬,也很失望,最重要的是,我们十分抱歉。”
在英国,当“ever so anxious”一觉醒来看到发生的一切后,他给同伴“lol”发了一条非常失望的信息。
“我真是又生气又难过。他才赚了20个比特币,”他说,指的是Kirk从骗局中一共才获利20个比特币,价值约1.8万美元。
Kirk,无论他的真实身份是什么,再也没有回复他的中间人,从此人间蒸发。