Theo các cáo trạng được Bộ Tư pháp Mỹ (DOJ) công bố hôm 1/8, ba hacker tấn công vào Twitter gồm Mason Sheppard, có biệt danh là "Chaewon", 19 tuổi, sống tại Bognor Regis (Anh); Nima Fazeli, 22 tuổi, còn được gọi là "Rolex"; và Graham Ivan Clark, 17 tuổi, biệt danh "Kirk". Fazeli và Clark số𓃲ng tại Tampa, Florida (Mỹ).
Tài liệu tòa án cho thấy, toàn bộ vụ tấn công bắt đầu vào ngày 3/5. Không biết bằng cách♓ nào, Clark có được quyền truy cập vào công cụ quản trị nội bộ của Twitter. Thế nhưng, từ lúc đó đến thời điểm Twitter bị tấn công - ngày 15/7, mọi thứ dường như "án binh bất🍸 động".
Trong khi đó, báo cáo của New York Times cho thấy, Clark tìm được thông tin truy cập hệ thống Twitter sau khi được quyền vào cuộc hội thoại Slack của nhân viên mạng xã hội này. Slack là ứng dụng chat nhóm nổi 🀅tiếng, được nhiều ngư꧅ời yêu thích vì các tính năng gửi tập tin nhanh, trò chuyện tiện lợi thông qua các kênh và được mệnh danh là "sát thủ email".
Tuy vậy, thông tin đăng nhập có được từ Slack chưa đủ để Clark truy cập vào hệ thống nội bộ củ▨a Twitter, bởi nó được bảo vệ bởi tính năng xác thực hai yếu tố (2FA). Hacker này tiếp tục thực hiện một cuộc tấn công lừa đảo khác qua điện thoại nhằm vào nhân viên Twitter, mục đích là để lấy mã 2FA và đã thành công.
Clack tham gia Discord, một nền tảng trò chuyện bằng giọng nói và văn bản, vào ngày 7/7 với tên tài khoản là "Kirk#5270". H🐈acker này đã tiếp cận với hai người khác trên kênh Discord của OGUsers, một diễn đàn dành riêng cho tin tặc bán và mua tài khoản truyền thông xã hội.
Nhật ký trò chuyện trên Discord thu thập được cho thấy, Clark đã tiếp cận hai hacker khác là Fazeli với tên tài khoản "Rolex#037" và Sheppard là "ever so anxious#0001", đồng thời cho biết mình đang làm việc tại Twitter. Để chứng minh mình có thể hack đꦕược Twitter, Clark đã vào tài khoản của Fazeli và sửa đổi một số thông tin. Đồng thời, hacker 17 tuổi này cũng bán quyền truy cập của nhiều tài khoản Twitter dạng ngắn như @xx, @dark, @vampire, @obinna hay @drug cho Sheppard.
Sau đó, Clark thuyết phục Sheppard và Fazeli cùng mình đăng quảng cáo trên OGUsers để bán các tài khoản Twitter đánh cắp được. Từ lúc này, có thể không ít tài khoản đã bị mua bán. Đây cũng chính là nguyê🦂n nhân khiến hàng loạt tài khoản của các công ty và người nổi tiếng, như Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Maওyweather, Michael Bloomberg... đăng tweet yêu cầu gửi Bitcoin đến cùng một địa chỉ vào 15/7.
Theo tài liệu của DOJ, địa chỉ Bitcoin nói trên nhận khoảng 12,83 Bitcoin, tươn🐈g đương 117.000 USD. Tuy nhiên, cuộc điều tra khác tiết lộ nền tảng trao đổi tiền điện tử Coinbase đã ngăn chặn ꦬsố Bitcoin khác gửi đến địa chỉ trên với tổng số tiền 280.000 USD.
Đến lúc này, tài kho🐬ản Twitter nội bộ mà Clack dùng để đăng tweet trên tài khoản người nổi tiếng đã bị khóa. Mạng xã hội đã điều tra và phát hiện hacker này tương tác với ít nhất 130 tài khoản qua công cụ nội bộ, thiết lập lại mật khẩu của 45 tài khoản và xem tin nhắn riêng tư của 36 tài khoản.
Một ngày sau vụ hack, Twitter gửi đơn khiếu nại hình sự lên các nhà chức trácꦯh. FBI và Sở Mật vụ Mỹ nhanh chóng vào cuộc ꦓđiều tra.
Đầu tiên, FBI đã sử dụng dữ liệu༒ được chia sẻ trên mạng xã hội và các cơ quan báo chí, sau đó thu thập nhật ký trò chuyện và thông tin người dùng từ Discord. Do đã có một số quảng cáo được hacker đওăng trên OGUsers, cộng thêm dữ liệu trên mạng khi diễn đàn này bị hack vào tháng 4, FBI nhanh chóng tìm thấy thông tin mình cần, gồm chi tiết tên người dùng, email, địa chỉ IP, thậm chí có cả tin nhắn riêng tư.
Tiếp đó, với sự giúp đỡ của Chi cục Thuế Mỹ (IRS)𝐆, cơ quan điều tra đã thu được dữ liệu liên quan đến địa chỉ Bitcoin giao dịch qua sàn Coinbase. Xâu chuỗi thông tin từ Discord, OGUsers và Coinbase, FBI nhanh chóng tìm thấy danh tính của ba hacker.
Trong số này, Fazili phạm nhiều sai lầm nhất trong việc che giấu danh tính. FBI đã thấy rằng hacker này liên kết tên người dùng và địa chỉ email trên OGUsers với Discord. Đầu tiên, Fazili dùng email [email protected] để đăng ký tài khoản trên OGUsers và dùng email [email protected] để chiếm đoạt tài khoản Twitter @foreign. Tuy nhiên, hai email này cũng được dùng để đăng ký tài khoản Coinbase, sau đó xác minh danh tính bằng ảnh trên giấy phép l𒅌ái xe của mình.
Thậm chí, Fazili còn "nghiệp dư" đến mức sử dụng luôn mạng Internet của gia đình mình để truy cập các tài khoản trên Discord, OGUsers và Coinbase mà không ẩn danh. Kết quả là, địa chỉ IP và nhật ký truy cập trêꦯn cả ba dịch vụ này đã được lưu lại.
Điều tương tự cũng xảy ra với Sheppard. FBI cho biết hacker có biệt danh "Chaewon" này đã kết nối tài khoản Discord với OGUsers và dùng nó để bán các tài khoản Twitter hack được. Thậm chí, tên này c💯òn mua một trò chơi điện tử 🌳bằng ví Bitcoin có liên kết với địa chỉ tiền ảo đã đăng trên các tài khoản bị hack vào cùng ngày 15/7.
Với trường hợp của Clark, FBI không tìm thấy mối liên hệ trực tiếp giữa tài khoản "Kirk#5270" với hai dịch vụ còn lại. Tuy nhiên, xâu chuỗi bằng chứng, các nhân viên điều tra đã dần nhận biết đây là một cá nhân và nhanh c🍒hóng truy ra tên tuổi của hacker này sau đó.
Clark được xác định là chủ mưu và giữ vai trò thiết yếu trong toàn bộ vụ tấn công Twitter, trong khi Sheppard và Fazeli đóng vai trò phụ tá. Hacker 17 tuổi sẽ đối mặt với 30 tội danh nghiêm trọng, như xâm nhập máy tính trái phép, âm mưu lừa đảo, l๊ừa đảo có tổ chức, xâm nhập máy tính bất hợp pháp... Các công tố viên cho biết Clark sẽ bị buộc tội như người trưởng thành và sớm nhận án phạt thích đáng.
Bảo Lâm (theo Zdnet)