نیما فاضلی و دو هکر دیگر توییتر چگونه شناسایی و دستگیر شدند؟
«من کارمند توییتر هستم، میتوانم کنترل هر نامی [=حساب کاربری] که بخواهی را بهدست بیاورم؛ اگر مایل به همکاری هستی خبرم کن». این، جملهای بود که طبق اسناد منتشرشده توسط دادگاه آمریکا، یکی از کاربران دیسکورد با نام مستعار Kirk#5270 روز پانزدهم ژوئیه ۲۰۲۰ (۲۵ تیر ۱۳۹۹) خطاب به کاربری دیگر نوشت. اطلاعاتی که دادگاه ایالات متحده در روز جمعهی گذشته منتشر کرده نشان میدهد همهچیز از گفتوگویی بهظاهر ساده آغاز شده؛ گفتوگویی که چند ساعت بعد، به بزرگترین هک شناختهشدهی توییتر در تاریخ تبدیل شد. حدودا دو هفته بعد، دادگاه ایالات متحدهی آمریکا علیه سه نفر اعلام جرم کرد. دادگاه میگوید این سه نفر در هک بزرگ توییتر و کلاهبرداری ازطریق حساب کاربری افراد سرشناسی چون بیل گیتس، ایلان ماسک، باراک اوباما و شرکتهایی مثل اپل دست داشتهاند. بررسیها نشان میدهد این سه هکر در جریان هک توییتر توانستند بالغبر ۱۲۰٬۰۰۰ دلار در قالب بیتکوین کلاهبرداری کنند.
در یکی از روزهای عادی، ناگهانی توییتی روی بسیاری از حسابهای کاربری محبوب منتشر شد. این توییت ادعا میکرد که اگر مبلغ مشخصی به کیفپول بیتکوین پرداخت کنید، پس از مدتی دوبرابر آن به شما بازمیگردد. توییت موردبحث روی حسابهای کاربری بسیار بزرگ و محبوبی منتشر شد و همین موضوع باعث شد برخی افراد فریب بخورند. توییتر بهسرعت دستبهکار شد و دسترسی هکرها به سیستم را سلب کرد. بااینحال در همین زمان نسبتا کوتاه، هکرها توانستند کنترل حسابهای کاربری زیادی را در دست بگیرند. ظاهرا آنها کار خود را با حسابهای کاربری معمولی شروع کرده و سپس سراغ حسابهای بزرگتر رفتهاند. هکرها در ابتدا قصد داشتند نامهای کاربری معروف توییتر را در وبسایتی خاص بهفروش برسانند. بااینحال کمکم سراغ هک حسابهای بزرگ هم رفتند.
نیما فاضلی، میسون شپرد و گراهام ایوان کلارک در هک بزرگ توییتر دست داشتهاند
عصر جمعه وزارت دادگستری ایالات متحدهی آمریکا نتایج تحقیقات گسترده در رابطه با هک بزرگ توییتر را متشر کرد. در این تحقیقات مهم، ادارهی تحقیقات فدرال (FBI)، سازمان خدمات درآمدهای داخلی آمریکا (IRS) و سرویس مخفی ایالات متحدهی آمریکا مشارکت داشتند.
دادگستری ایالات متحدهی آمریکا اعلام کرد که سه نفر در این هک بزرگ شرکت کردند که یکی از آنها میسون شپرد، ساکن بریتانیا است، دومی نیما فاضلی است که در اورلاندو حضور دارد و سومی با نام گراهام ایوان کلارک شناخته میشود که تنها ۱۷ سال سن دارد. گراهام ایوان کلارک که «مغز متفکر» هک بزرگ توییتر لقب میگیرد ساکن شهرستان هیلزبرو ایالت فلوریدا است. کلارک بهصورت جداگانه مرتکب ۳۰ فقره جرم شده که شامل ۱۷ فقره کلاهبرداری در حوزهی ارتباطات میشود. شکایات ثبتشده علیه این سه هکر باعث شده جزئیات کامل روزی که توییتر هک شد، دردسترس قرار بگیرد. آنطور که بررسیها نشان میدهد، این سه هکر بهشکلی بسیار ناشیانه ردپای خود را پاک کردهاند. تمامی سه هکر توییتر، ازجمله گراهام ایوان کلارکِ ۱۷ ساله اکنون در بازداشت هستند.
Kirk#5270 برخلاف ادعاهایی که صبح روز ۱۵ ژوئیه مطرح کرد، کارمند توییتر نبود و هیچ ارتباطی هم به این شرکت نداشت. بااینحال Kirk#5270 توانسته بود به ابزارهای مدیریتی داخلی توییتر دسترسی پیدا کند که اتفاقی عجیب است. این فرد برای اثبات ادعای خود، اسکرینشات حسابهایی با نامهای کاربری bumblebee@ و sc@ و vague@ و R9@ را برای همدستانش فرستاده بود (نامهای کاربری کوتاه در بین جوامع هکری بسیار محبوب هستند. هکرها با تصاحب حسابهای دارای نام کاربری منحصربهفرد، آنها را در ازای دریافت مبلغی خاص بهفروش میرسانند). کاربر دیگری در دیسکورد که یکی از همدستان Kirk#5270 است، از نام کاربری ever so anxious#0001 استفاده میکند. او با استفاده از نفوذی که در بین هکرها داشت توانست بهسرعت علاقهمندان به خرید نامهای کاربری را پیدا کند. Kirk#5270 آدرس یک کیفپول بیتکوین را دراختیار ever so anxious#0001 قرار میداد تا معاملات ازطریق آن انجام بگیرد. هکرها میگویند توانستهاند نام کاربری xx@ را بهقیمت ۵٬۰۰۰ دلار بفروشند.
در صبح همان روز، فردی با نام کاربری Chaewon در انجمن بزرگ OGUsers که محفلی برای گردهمایی هکرها بهحساب میآید مدعی شد به تمامی حسابهای کاربری توییتر دسترسی دارد. این فرد مطلبی با عنوان «تغییر دادن ایمیل هر یک از حسابهای توییتر / انجام درخواستهای دیگر» منتشر کرد و گفت در ازای دریافت ۲۵۰ دلار، ایمیل هر حساب کاربری توییتر که بخواهید را تغییر میدهد. درضمن Chaewon گفت هر فردی که تمایل دارد دسترسی کامل به حساب کاربری پیدا کند باید حداکثر ۳٬۰۰۰ دلار پول بدهد. این مقاله، کاربران را مستقیما به حساب ever so anxious#0001 در دیسکورد منتقل میکرد. براساس اسناد منتشرشده توسط دادگاه، ever so anxious#0001 و Kirk#5270 در مدتزمان هفت ساعت که از ساعت ۷:۱۶ صبح بهوقت منطقهی زمانی شرقی (۱۵:۴۶ بهوقت تهران) آغاز شد، دربارهی تصاحب ۵۰ نام کاربری توییتر با یکدیگر گفتوگو کردهاند. در همان چت دیسکورد، ever so anxious#0001 بهصراحت گفت نام کاربری OGUsers او Chaewon است. این یعنی ever so anxious#0001 و Chaewon یک نفر بودهاند.
بررسیهای دادگاه همچنین نشان میدهد Kirk#5270 کمک مشابهی ازسوی یکی دیگر از کاربران دیسکورد با نام مستعار Rolex#0373 دریافت کرده است؛ بااینحال ظاهرا این فرد برخلاف ever so anxious#0001، در ابتدا به Kirk#5270 شک داشته و حرفهایش را باور نکرده است. براساس متنِ استخراجشده از چت دیسکورد که با حکم قضایی به دست آمده، Rolex#0373 گفته «ادعاهایت برای حقیقیبودن، بیش از حد خوب بهنظر میرسند». Kirk#5270 برای اثبات حرفهای خود، ایمیل یکی از حسابهای توییتر با نام کاربری foreign@ را با یکی از ایمیلهای Rolex#0373 عوض کرده است. Rolex#0373 همچون Chaewon موافقت کرد که به Kirk#5270 برای فروش حسابهای کاربری در OGUsers کمک کند و در ازای این کار حساب توییتری foreign@ را برای خودش نگه دارد (نام کاربری او در وبسایت موردبحث، Rolex بود). Rolex#0373 در پستی که منتشر کرد گفت برای دسترسی به حسابهای کاربری دزدیدهشده میتوانید مبغ پایهی ۲٬۵۰۰ دلار پرداخت کنید.
هکرهای توییت ازجمله گراهام ایوان کلارک ۱۷ ساله اکنون در بازداشت بهسر میبرند
براساس جزئیات شکایتهای انجامشده، تا ساعت تقریبا ۱۴:۰۰ روز ۱۵ ژوئیه بهوقت منطقهی زمانی شرقی (۲۲:۳۰ بهوقت تهران) حداقل ۱۰ حساب کاربری توییتر بهسرقت رفتند. در آن ساعات هکرها بیشتر تلاش کردند روی حسابهای دارای نام کاربری کوتاه یا جذاب نظیر @drug و xx@ و vampire@ متمرکز باشند و اصلا بهفکر هک حساب سلبریتیها و بزرگان حوزهی فناوری نبودند. همچنین این هکرها حسابهای دزدیدهشده را برای خودشان برمیداشتند و در آن زمان خبری از کلاهبرداری ازطریق بیتکوین نبود. آنطور که دادهها نشان میدهند معاملات انجامشده توسط Chaewon باعث شده بالغبر ۳۳٬۰۰۰ دلار بیتکوین به حساب Kirk#5270 واریز شود. Chaewon همچنین مبلغ ۷٬۰۰۰ دلار را برای خود برداشته است.
FBI معتقد است که حساب کاریری Rolex به نیما فاضلی تعلق دارد و بههمین دلیل او را به یک فقره جرم که از آن بهعنوان «کمک و همکاری در دسترسی عمدی به رایانهای حفاظتشده» یاد میکند، متهم کرده است. FBI همچنین حساب کاربری Chaewon را به میسون شپرد نسبت میدهد و علیه او جرمهایی شامل «فعالیت متقلبانهی الکترونیکی»، «پولشویی» و «دسترسی عمدی به رایانهای حفاظتشده» اعلام کرده است.
شکایتهای کیفری ثبتشده علیه فاضلی و شپرد در همینجا بهپایان میرسند. هیچیک از شکایتهای یادشده بهطور واضح به هویت فردی که در پشت حساب کاربری Kirk#5270 حضور داشته اشاره نمیکند. بهعلاوه این شکایتها حساب موردبحث را بهصراحت به هیچ نامی پیوند نمیدهند. بنابراین تا اینجای کار، بزرگترین راز ماجرا که مهمترین راز هم لقب میگیرد، شناسایی فردی است که حساب Kirk#5270 را دراختیار داشته. اسناد دادگاه مربوط به گراهام ایوان کلارک اعلام میکنند این نوجوان ۱۷ ساله توانسته به سیستمهای مدیریتی توییتر دسترسی پیدا کند. همین نوجوان ۱۷ ساله چند ساعت بعد، کنترل حسابهای کاربری بزرگ توییتر شامل ایلان ماسک و بیل گیتس را دراختیار گرفت و ازطریق آنها کلاهبرداری انجام داد. دادگاه ایالات متحده، پروندهی کلارک را به دفتر دادستانی ایالتی هیلزبرو ارجاع داده است. در وبسایت رسمی این دفتر دادستانی میخوانیم که کلارکِ ۱۷ ساله اکنون تحت پیگرد قانونی قرار دارد. در وبسایت موردبحث آمده: «قوانین ایالت فلوریدا به ما اجازه میدهد در پروندههای کلاهبرداری مالی نظیر آنچه برای توییتر اتفاق افتاد، درصورت صلاحدید خودمان، با افراد خردسال بهعنوان بزرگسال برخورد کنیم».
اندرو وارن، بازپرس قضایی دفتر دادستانی هیلزبرو، جمعهی گذشته در کنفرانسی ویدئویی گفت: «او با سوءاستفاده از یکی از کارمندان، به حسابهای توییتر و ابزارهای کنترلیِ داخلی این شرکت دسترسی پیدا کرد. این فرد دسترسی به حسابهای دزدیدهشده را در ازای دریافت پول، فروخت. او سپس از هویت افراد برجسته برای درخواست پول در قالب بیتکوین استفاده کرد و گفت هرمقدار بیتکوین به کیفپولِ اعلامشده واریز کنید دو برابر آن را به شما برمیگرداند». اسناد منتشرشده ازسوی دادگاه نشان میدهند درمجموع ۴۱۵ بار به کیفپول بیتکوین هکر توییتر پول واریز شده که مبلغ ۱۷۷٬۰۰۰ دلار را شامل میشود.
همانطور که توییتر هفتهی گذشته اعلام کرد، مجموعا ۱۳۰ حساب کاربری در هک بزرگ، هدف قرار گرفتند. مهاجمین توانستند با موفقیت در ۴۵ حساب کاربری، توییت بنویسند و همچنین به پیامهای خصوصی ۳۶ حساب کاربری دسترسی پیدا کردند. ظاهرا این افراد همچنین دادههای هفت حساب کاربری را بهطور کامل دانلود کردهاند. عصر پنجشنبه، توییتر ابعاد جدیدی از هک بزرگ را تشریح کرد. آنطور که توییتر مینویسد هکرها ازطریق حملات فیشینگ به ابزار مدیریتی دسترسی پیدا کردهاند. در این حملات، کارمندان توییتر هدف قرار گرفتند. اسناد دادگاه جزئیاتی بیشتر دردسترس ما قرار نمیدهد و صرفا این را اضافه میکند که حملات فیشینگ کلارک حدودا روز ۳ مه ۲۰۲۰ (۱۴ اردیبهشت ۱۳۹۹) انجام شدهاند.
بهطور دقیق مشخص نیست که بازرسان چگونه گراهام ایوان کلارک، مغز متفکر هک توییتر را شناسایی کردهاند
بهعلاوه هنوز بهطور دقیق نمیدانیم که بازرسان چگونه موفقبه احراز هویت کلارک شدهاند. بااینحال سرنخهایی که نهایتا باعث شناسایی شدن فاضلی و شپرد برای FBI شدند جزئیات بسیار جالبتری دارند. در روز ۲ آوریل ۲۰۲۰ (۱۴ فروردین ۱۳۹۹) مدیر وبسایت OGUsers بهصورت رسمی اعلام کرد که این انجمن هک شده است. اسناد دادگاه میگویند پس از گذر چند روز، یک گروه هکریِ رقیب لینک دانلود دیتابیس حاوی اطلاعات کاربران وبسایت OGUsers را برای دانلود دردسترس قرار داده است. بررسیها نشان میداد این دیتابیس اطلاعات بسیار ارزشمندی در خود دارد و نهتنها حسابهای کاربری و پستهای عمومی بلکه پیامهای خصوصی ردوبدلشده بین کاربران را نیز شامل میشده است. افزون بر اینها، در دیتابیس فاششده آدرس IP و حتی آدرس ایمیل کاربران هم وجود داشت. FBI میگوید روز ۹ آوریل ۲۰۲۰ (۲۱ فروردین ۱۳۹۹) نسخهای از این دیتابیس را دریافت کرده.
بهنظر میرسد از آنجا به بعد، همهچیز بهشکلی سریع انجام گرفته است. بازرسان میگویند پیامهای خصوصی Chaewon در OGUsers نشان میدهند این فرد در ماه فوریهی ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) بهمنظور تهیهی یک بازی ویدئویی، مبلغ مشخصی بیتکوین را به یک آدرس ارسال کرده است. بازرسان فعالیتهایی را که روز بعد در آن کیفپول بیتکوین انجام شدند ردیابی کردند تا اینکه به مجموعهای از آدرسهای بیتکوین رسیدند که ماهها بعد توسط ever so anxious#0001 در تعاملاتش با Kirk#5270 از آنها استفاده شد.
بازرسان همچنین از دیتابیس فاششدهی وبسایت OGUsers بهمنظور پیدا کردن ارتباط بین Chaewon و یکی دیگر از نامهای کاربری OGUsers یعنی Mas استفاده کردند. دیتابیس فاششده نشان میدهد هر دو حساب کاربری یادشده با یک آدرس IP و در یک روز، در OGUsers ثبتنام کردهاند. بازرسان همچنین متوجه شدهاند در بین روزهای ۱۱ تا ۱۵ فوریهی ۲۰۲۰ (۲۲ تا ۲۶ بهمن ۱۳۹۸)، حساب Chaewon پستهایی با این عنوان منتشر کرده است: «!@IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS». این پیام که عبارت «من Mas هستم» در آن دیده میشود بهصورت غیرمستقیم تأیید میکند یک فرد در پشت دو حساب Chaewon و Mas نشسته بوده است.
آنطور که بازرسان میگویند حساب کاریری Mas با ایمیل masonhppy@gmail.com همگامسازی شده است. این ایمیل به یکی از حسابهای کاربری سایت Coinbase با نام میسون شپرد (Mason Sheppard) تعلق دارد. آدرسهای بیتکوین مرتبطبه Chaewon نیز چندین معامله در صرافی Binance انجام دادهاند؛ سوابق این معاملات نشان میدهند که تمامی آدرسهای بیتکوین موردبحث به میسون شپرد ارتباط دارند. درنهایت اسناد دادگاه میگویند یک نوجوان ناشناس که ظاهرا در روند تحقیقات به بازرسان کمک گرده گفته که آنها Chaewon را با نام میسون میشناختهاند. تمامی این شواهد دستبهدست هم میدهند تا هویت واقعی یکی از هکرها را برملا کنند.
بازرسان با اتکا بر آدرسهای بیتکوین و آدرس IP موفق شدند حساب کاربری Rolex#0373 را به نیما فاضلی ارتباط دهند. بازرسان به معاملهای که در بیتکوین فاضلی در تاریخ ۳۰ اکتبر ۲۰۱۸ (۸ آبان ۱۳۹۷) انجام گرفته و در انجمن OGUsers به آن ارجاع شده اشاره میکنند. ظاهرا حساب Coinbase مرتبطبه به آن معامله متعلقبه فردی بوده که نام «Nim F» را بههمراه آدرس ایمیل damniamevil20@gmail.com برای حساب خود انتخاب کرده؛ این، همان آدرس ایمیلی است که از آن برای ایجاد حساب Rolex در سایت OGUsers استفاده شده است. ظاهرا حساب نیما فاضلی در Coinbase با یک گواهینامهی رانندگی متعلقبه ایالت فلوریدا تأیید شده که به فردی با نام Nima Fazeli تعلق دارد. در این اسناد حتی شماره پروانهی گواهینامهی نیما فاضلی نیز ذکر شده است. اسناد دادگاه میگویند با گذر زمان فاضلی از گواهینامهی رانندگی واقعی خود برای تأیید سه حساب کاربری در Coinbase استفاده کرده است. سومین حساب کاربری ایجادشده ازطریق گواهینامهی نیما فاضلی همان حسابی است که از آدرس IP حساب Rolex#0373 در دیسکورد و آدرس IP حساب Rolex در OGUsers، بهصورت منظم به آن مراجعه شده.
توییتر با انتشار بیانیهای جدید میگوید: «ما قدردان اقدامات سریع نهادهای مجری قانون در این تحقیقات هستیم و هرچه پرونده بیشتر جلو برود، به همکاری خود با بازرسان ادامه خواهیم داد». دفتر FBI در سان فرانسیسکو جمعهی گذشته بیانیهای جدید منتشر و اعلام کرد که روند تحقیقات هنوز به پایان نرسیده است.
گرچه طی چند وقت اخیر، هک بزرگ توییتر در صدر بسیاری از اخبار قرار داشت و توجهات زیادی را جلب کرد، بااینحال دلیل اصلی بروز این اتفاق یعنی حملات فیشینگ چیز جدیدی نیست. این حملات که در دستهی حملات مهندسی اجتماعی جای میگیرند بهوفور رخ میدهند. آلیسون نیکسون، مدیر ارشد تحقیقات در شرکت امنیت سایبری Unit 221B که با FBI همکاری کرده، میگوید: «ورود غیرقانونی به شرکتها و استفاده از ابزار کارمندان برای انجام کلاهبرداری، چیز جدیدی نیست و این افراد همواره چنین کاری انجام میدهند. دقیقا همین نوع حملهی فیشینگ سالها پیش از اتفاقی که برای توییتر افتاد، برای شرکتهای حوزهی تلفن رخ داده بود».
نیکسون میگوید حملهی مهندسی اجتماعی بهکاررفته برای هک توییتر بهنوعی بوده که از ورود نهادهای قانونی برای نظارت دقیق روی پرونده جلوگیری میکند زیرا در دستهی حملههای سایبری سطح پایین جای میگیرد. بدیهی است که وقتی فهرست هدف شما شامل رئیسجمهور سابق ایالات متحده و دو نفر از ثروتمندترین افراد کرهی زمین میشود، حمله از نوع سطح پایین نیست. بهطور دقیق نمیدانیم دستگیری سه هکر توییتر در بلندمدت تا چه حد از بروز اتفاقات مشابه جلوگیری خواهد کرد؛ بهخصوص با درنظرگرفتن پیشرفتهایی که هکرها طی سالهای اخیر بهخود دیدهاند. جزئیاتی که در شکایتهای کیفری اعلام شدهاند خودشان میتوانند در نقش راهنما برای هکهای آینده ظاهر شوند.
نیکسون میگوید: «تکتک جزئیات این پرونده به آنها آموزش میدهد تا [هکرهایی] بهتر باشند. زیرا آنها میتوانند شواهد علیهشان و نحوهی دستگیر شدنشان را ببینند».