نيما فاضلي و دو هكر ديگر توييتر چگونه شناسايي و دستگير شدند؟
«من متخصص توييتر هستم، ميتوانم كنترل هر نامي [=حساب متخصصي] كه بخواهي را بهدست بياورم؛ اگر مايل به همكاري هستي خبرم كن». اين، جملهاي بود كه طبق اسناد منتشرشده توسط دادگاه آمريكا، يكي از متخصصان ديسكورد با نام مستعار Kirk#5270 روز پانزدهم ژوئيه ۲۰۲۰ (۲۵ تير ۱۳۹۹) خطاب به متخصصي ديگر نوشت. اطلاعاتي كه دادگاه ايالات متحده در روز جمعهي گذشته منتشر كرده نشان ميدهد همهچيز از گفتوگويي بهظاهر ساده آغاز شده؛ گفتوگويي كه چند ساعت بعد، به بزرگترين هك شناختهشدهي توييتر در تاريخ تبديل شد. حدودا دو هفته بعد، دادگاه ايالات متحدهي آمريكا عليه سه نفر اعلام جرم كرد. دادگاه ميگويد اين سه نفر در هك بزرگ توييتر و كلاهبرداري ازطريق حساب متخصصي افراد سرشناسي چون بيل گيتس، ايلان ماسك، باراك اوباما و شركتهايي مثل اپل دست داشتهاند. مطالعهها نشان ميدهد اين سه هكر در جريان هك توييتر توانستند بالغبر ۱۲۰٬۰۰۰ دلار در قالب بيتكوين كلاهبرداري كنند.
در يكي از روزهاي عادي، ناگهاني توييتي روي بسياري از حسابهاي متخصصي محبوب منتشر شد. اين توييت ادعا ميكرد كه اگر مبلغ مشخصي به كيفپول بيتكوين پرداخت كنيد، پس از مدتي دوبرابر آن به شما بازميگردد. توييت موردمباحثه روي حسابهاي متخصصي بسيار بزرگ و محبوبي منتشر شد و همين موضوع باعث شد برخي افراد فريب بخورند. توييتر بهسرعت دستبهكار شد و دسترسي هكرها به سيستم را سلب كرد. بااينحال در همين زمان نسبتا كوتاه، هكرها توانستند كنترل حسابهاي متخصصي زيادي را در دست بگيرند. ظاهرا آنها كار خود را با حسابهاي متخصصي معمولي شروع كرده و سپس سراغ حسابهاي بزرگتر رفتهاند. هكرها در ابتدا قصد داشتند نامهاي متخصصي معروف توييتر را در وبسايتي خاص بهفروش برسانند. بااينحال كمكم سراغ هك حسابهاي بزرگ هم رفتند.
نيما فاضلي، ميسون شپرد و گراهام ايوان كلارك در هك بزرگ توييتر دست داشتهاند
عصر جمعه وزارت دادگستري ايالات متحدهي آمريكا نتايج تحقيقات گسترده در رابطه با هك بزرگ توييتر را متشر كرد. در اين تحقيقات مهم، ادارهي تحقيقات فدرال (FBI)، سازمان خدمات درآمدهاي داخلي آمريكا (IRS) و سرويس مخفي ايالات متحدهي آمريكا مشاركت داشتند.
دادگستري ايالات متحدهي آمريكا اعلام كرد كه سه نفر در اين هك بزرگ شركت كردند كه يكي از آنها ميسون شپرد، ساكن بريتانيا است، دومي نيما فاضلي است كه در اورلاندو حضور دارد و سومي با نام گراهام ايوان كلارك شناخته ميشود كه تنها ۱۷ سال سن دارد. گراهام ايوان كلارك كه «مغز متفكر» هك بزرگ توييتر لقب ميگيرد ساكن شهرستان هيلزبرو ايالت فلوريدا است. كلارك بهصورت جداگانه مرتكب ۳۰ فقره جرم شده كه شامل ۱۷ فقره كلاهبرداري در حوزهي ارتباطات ميشود. شكايات ثبتشده عليه اين سه هكر باعث شده جزئيات كامل روزي كه توييتر هك شد، دردسترس قرار بگيرد. آنطور كه مطالعهها نشان ميدهد، اين سه هكر بهشكلي بسيار ناشيانه ردپاي خود را پاك كردهاند. تمامي سه هكر توييتر، ازجمله گراهام ايوان كلاركِ ۱۷ ساله اكنون در بازداشت هستند.
Kirk#5270 برخلاف ادعاهايي كه صبح روز ۱۵ ژوئيه مطرح كرد، متخصص توييتر نبود و هيچ ارتباطي هم به اين شركت نداشت. بااينحال Kirk#5270 توانسته بود به ابزارهاي مديريتي داخلي توييتر دسترسي پيدا كند كه اتفاقي عجيب است. اين فرد براي اثبات ادعاي خود، اسكرينشات حسابهايي با نامهاي متخصصي bumblebee@ و sc@ و vague@ و R9@ را براي همدستانش فرستاده بود (نامهاي متخصصي كوتاه در بين جوامع هكري بسيار محبوب هستند. هكرها با تصاحب حسابهاي داراي نام متخصصي منحصربهفرد، آنها را در ازاي دريافت مبلغي خاص بهفروش ميرسانند). متخصص ديگري در ديسكورد كه يكي از همدستان Kirk#5270 است، از نام متخصصي ever so anxious#0001 استفاده ميكند. او با استفاده از نفوذي كه در بين هكرها داشت توانست بهسرعت علاقهمندان به خريد نامهاي متخصصي را پيدا كند. Kirk#5270 آدرس يك كيفپول بيتكوين را دراختيار ever so anxious#0001 قرار ميداد تا معاملات ازطريق آن انجام بگيرد. هكرها ميگويند توانستهاند نام متخصصي xx@ را بهارزش ۵٬۰۰۰ دلار بفروشند.
در صبح همان روز، فردي با نام متخصصي Chaewon در انجمن بزرگ OGUsers كه محفلي براي گردهمايي هكرها بهحساب ميآيد مدعي شد به تمامي حسابهاي متخصصي توييتر دسترسي دارد. اين فرد مطلبي با عنوان «تغيير دادن رايانامه هر يك از حسابهاي توييتر / انجام درخواستهاي ديگر» منتشر كرد و گفت در ازاي دريافت ۲۵۰ دلار، رايانامه هر حساب متخصصي توييتر كه بخواهيد را تغيير ميدهد. درضمن Chaewon گفت هر فردي كه تمايل دارد دسترسي كامل به حساب متخصصي پيدا كند بايد حداكثر ۳٬۰۰۰ دلار پول بدهد. اين مقاله، متخصصان را مستقيما به حساب ever so anxious#0001 در ديسكورد منتقل ميكرد. براساس اسناد منتشرشده توسط دادگاه، ever so anxious#0001 و Kirk#5270 در مدتزمان هفت ساعت كه از ساعت ۷:۱۶ صبح بهوقت منطقهي زماني شرقي (۱۵:۴۶ بهوقت تهران) آغاز شد، دربارهي تصاحب ۵۰ نام متخصصي توييتر با يكديگر گفتوگو كردهاند. در همان چت ديسكورد، ever so anxious#0001 بهصراحت گفت نام متخصصي OGUsers او Chaewon است. اين يعني ever so anxious#0001 و Chaewon يك نفر بودهاند.
مطالعههاي دادگاه همچنين نشان ميدهد Kirk#5270 كمك مشابهي ازسوي يكي ديگر از متخصصان ديسكورد با نام مستعار Rolex#0373 دريافت كرده است؛ بااينحال ظاهرا اين فرد برخلاف ever so anxious#0001، در ابتدا به Kirk#5270 شك داشته و حرفهايش را باور نكرده است. براساس متنِ استخراجشده از چت ديسكورد كه با حكم قضايي به دست آمده، Rolex#0373 گفته «ادعاهايت براي حقيقيبودن، بيش از حد خوب بهانديشه متخصصين ميرسند». Kirk#5270 براي اثبات حرفهاي خود، رايانامه يكي از حسابهاي توييتر با نام متخصصي foreign@ را با يكي از رايانامههاي Rolex#0373 عوض كرده است. Rolex#0373 همچون Chaewon موافقت كرد كه به Kirk#5270 براي فروش حسابهاي متخصصي در OGUsers كمك كند و در ازاي اين كار حساب توييتري foreign@ را براي خودش نگه دارد (نام متخصصي او در وبسايت موردمباحثه، Rolex بود). Rolex#0373 در پستي كه منتشر كرد گفت براي دسترسي به حسابهاي متخصصي دزديدهشده ميتوانيد مبغ پايهي ۲٬۵۰۰ دلار پرداخت كنيد.
هكرهاي توييت ازجمله گراهام ايوان كلارك ۱۷ ساله اكنون در بازداشت بهسر ميبرند
براساس جزئيات شكايتهاي انجامشده، تا ساعت تقريبا ۱۴:۰۰ روز ۱۵ ژوئيه بهوقت منطقهي زماني شرقي (۲۲:۳۰ بهوقت تهران) حداقل ۱۰ حساب متخصصي توييتر بهسرقت رفتند. در آن ساعات هكرها بيشتر تلاش كردند روي حسابهاي داراي نام متخصصي كوتاه يا جذاب نظير @drug و xx@ و vampire@ متمركز باشند و اصلا بهفكر هك حساب سلبريتيها و بزرگان حوزهي فناوري نبودند. همچنين اين هكرها حسابهاي دزديدهشده را براي خودشان برميداشتند و در آن زمان خبري از كلاهبرداري ازطريق بيتكوين نبود. آنطور كه دادهها نشان ميدهند معاملات انجامشده توسط Chaewon باعث شده بالغبر ۳۳٬۰۰۰ دلار بيتكوين به حساب Kirk#5270 واريز شود. Chaewon همچنين مبلغ ۷٬۰۰۰ دلار را براي خود برداشته است.
FBI معتقد است كه حساب كاريري Rolex به نيما فاضلي تعلق دارد و بههمين دليل او را به يك فقره جرم كه از آن بهعنوان «كمك و همكاري در دسترسي عمدي به رايانهاي حفاظتشده» ياد ميكند، متهم كرده است. FBI همچنين حساب متخصصي Chaewon را به ميسون شپرد نسبت ميدهد و عليه او جرمهايي شامل «فعاليت متقلبانهي الكترونيكي»، «پولشويي» و «دسترسي عمدي به رايانهاي حفاظتشده» اعلام كرده است.
شكايتهاي كيفري ثبتشده عليه فاضلي و شپرد در همينجا بهپايان ميرسند. هيچيك از شكايتهاي يادشده بهطور واضح به هويت فردي كه در پشت حساب متخصصي Kirk#5270 حضور داشته اشاره نميكند. بهعلاوه اين شكايتها حساب موردمباحثه را بهصراحت به هيچ نامي پيوند نميدهند. بنابراين تا اينجاي كار، بزرگترين راز ماجرا كه مهمترين راز هم لقب ميگيرد، شناسايي فردي است كه حساب Kirk#5270 را دراختيار داشته. اسناد دادگاه مربوط به گراهام ايوان كلارك اعلام ميكنند اين نوجوان ۱۷ ساله توانسته به سيستمهاي مديريتي توييتر دسترسي پيدا كند. همين نوجوان ۱۷ ساله چند ساعت بعد، كنترل حسابهاي متخصصي بزرگ توييتر شامل ايلان ماسك و بيل گيتس را دراختيار گرفت و ازطريق آنها كلاهبرداري انجام داد. دادگاه ايالات متحده، پروندهي كلارك را به دفتر دادستاني ايالتي هيلزبرو ارجاع داده است. در وبسايت رسمي اين دفتر دادستاني ميخوانيم كه كلاركِ ۱۷ ساله اكنون تحت پيگرد قانوني قرار دارد. در وبسايت موردمباحثه آمده: «قوانين ايالت فلوريدا به ما اجازه ميدهد در پروندههاي كلاهبرداري مالي نظير آنچه براي توييتر اتفاق افتاد، درصورت صلاحديد خودمان، با افراد خردسال بهعنوان بزرگسال برخورد كنيم».
اندرو وارن، بازپرس قضايي دفتر دادستاني هيلزبرو، جمعهي گذشته در كنفرانسي ويدئويي گفت: «او با سوءاستفاده از يكي از متخصصان، به حسابهاي توييتر و ابزارهاي كنترليِ داخلي اين شركت دسترسي پيدا كرد. اين فرد دسترسي به حسابهاي دزديدهشده را در ازاي دريافت پول، فروخت. او سپس از هويت افراد برجسته براي درخواست پول در قالب بيتكوين استفاده كرد و گفت هرمقدار بيتكوين به كيفپولِ اعلامشده واريز كنيد دو برابر آن را به شما برميگرداند». اسناد منتشرشده ازسوي دادگاه نشان ميدهند درمجموع ۴۱۵ بار به كيفپول بيتكوين هكر توييتر پول واريز شده كه مبلغ ۱۷۷٬۰۰۰ دلار را شامل ميشود.
همانطور كه توييتر هفتهي گذشته اعلام كرد، مجموعا ۱۳۰ حساب متخصصي در هك بزرگ، هدف قرار گرفتند. مهاجمين توانستند با موفقيت در ۴۵ حساب متخصصي، توييت بنويسند و همچنين به پيامهاي خصوصي ۳۶ حساب متخصصي دسترسي پيدا كردند. ظاهرا اين افراد همچنين دادههاي هفت حساب متخصصي را بهطور كامل دانلود كردهاند. عصر پنجشنبه، توييتر ابعاد جديدي از هك بزرگ را تشريح كرد. آنطور كه توييتر مينويسد هكرها ازطريق حملات فيشينگ به ابزار مديريتي دسترسي پيدا كردهاند. در اين حملات، متخصصان توييتر هدف قرار گرفتند. اسناد دادگاه جزئياتي بيشتر دردسترس ما قرار نميدهد و صرفا اين را اضافه ميكند كه حملات فيشينگ كلارك حدودا روز ۳ مه ۲۰۲۰ (۱۴ ارديبهشت ۱۳۹۹) انجام شدهاند.
بهطور دقيق مشخص نيست كه بازرسان چگونه گراهام ايوان كلارك، مغز متفكر هك توييتر را شناسايي كردهاند
بهعلاوه هنوز بهطور دقيق نميدانيم كه بازرسان چگونه موفقبه احراز هويت كلارك شدهاند. بااينحال سرنخهايي كه نهايتا باعث شناسايي شدن فاضلي و شپرد براي FBI شدند جزئيات بسيار جالبتري دارند. در روز ۲ آوريل ۲۰۲۰ (۱۴ فروردين ۱۳۹۹) مدير وبسايت OGUsers بهصورت رسمي اعلام كرد كه اين انجمن هك شده است. اسناد دادگاه ميگويند پس از گذر چند روز، يك گروه هكريِ رقيب لينك دانلود ديتابيس حاوي اطلاعات متخصصان وبسايت OGUsers را براي دانلود دردسترس قرار داده است. مطالعهها نشان ميداد اين ديتابيس اطلاعات بسيار ارزشمندي در خود دارد و نهتنها حسابهاي متخصصي و پستهاي عمومي بلكه پيامهاي خصوصي ردوبدلشده بين متخصصان را نيز شامل ميشده است. افزون بر اينها، در ديتابيس فاششده آدرس IP و حتي آدرس رايانامه متخصصان هم وجود داشت. FBI ميگويد روز ۹ آوريل ۲۰۲۰ (۲۱ فروردين ۱۳۹۹) نسخهاي از اين ديتابيس را دريافت كرده.
بهانديشه متخصصين ميرسد از آنجا به بعد، همهچيز بهشكلي سريع انجام گرفته است. بازرسان ميگويند پيامهاي خصوصي Chaewon در OGUsers نشان ميدهند اين فرد در ماه فوريهي ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) بهمنظور تهيهي يك بازي ويدئويي، مبلغ مشخصي بيتكوين را به يك آدرس ارسال كرده است. بازرسان فعاليتهايي را كه روز بعد در آن كيفپول بيتكوين انجام شدند رديابي كردند تا اينكه به مجموعهاي از آدرسهاي بيتكوين رسيدند كه ماهها بعد توسط ever so anxious#0001 در تعاملاتش با Kirk#5270 از آنها استفاده شد.
بازرسان همچنين از ديتابيس فاششدهي وبسايت OGUsers بهمنظور پيدا كردن ارتباط بين Chaewon و يكي ديگر از نامهاي متخصصي OGUsers يعني Mas استفاده كردند. ديتابيس فاششده نشان ميدهد هر دو حساب متخصصي يادشده با يك آدرس IP و در يك روز، در OGUsers ثبتنام كردهاند. بازرسان همچنين متوجه شدهاند در بين روزهاي ۱۱ تا ۱۵ فوريهي ۲۰۲۰ (۲۲ تا ۲۶ بهمن ۱۳۹۸)، حساب Chaewon پستهايي با اين عنوان منتشر كرده است: «!@IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS». اين پيام كه عبارت «من Mas هستم» در آن ديده ميشود بهصورت غيرمستقيم تأييد ميكند يك فرد در پشت دو حساب Chaewon و Mas نشسته بوده است.
آنطور كه بازرسان ميگويند حساب كاريري Mas با رايانامه masonhppy@gmail.com همگامسازي شده است. اين رايانامه به يكي از حسابهاي متخصصي سايت Coinbase با نام ميسون شپرد (Mason Sheppard) تعلق دارد. آدرسهاي بيتكوين مرتبطبه Chaewon نيز چندين معامله در صرافي Binance انجام دادهاند؛ سوابق اين معاملات نشان ميدهند كه تمامي آدرسهاي بيتكوين موردمباحثه به ميسون شپرد ارتباط دارند. درنهايت اسناد دادگاه ميگويند يك نوجوان ناشناس كه ظاهرا در روند تحقيقات به بازرسان كمك گرده گفته كه آنها Chaewon را با نام ميسون ميشناختهاند. تمامي اين شواهد دستبهدست هم ميدهند تا هويت واقعي يكي از هكرها را برملا كنند.
بازرسان با اتكا بر آدرسهاي بيتكوين و آدرس IP موفق شدند حساب متخصصي Rolex#0373 را به نيما فاضلي ارتباط دهند. بازرسان به معاملهاي كه در بيتكوين فاضلي در تاريخ ۳۰ اكتبر ۲۰۱۸ (۸ آبان ۱۳۹۷) انجام گرفته و در انجمن OGUsers به آن ارجاع شده اشاره ميكنند. ظاهرا حساب Coinbase مرتبطبه به آن معامله متعلقبه فردي بوده كه نام «Nim F» را بههمراه آدرس رايانامه damniamevil20@gmail.com براي حساب خود انتخاب كرده؛ اين، همان آدرس رايانامهي است كه از آن براي ايجاد حساب Rolex در سايت OGUsers استفاده شده است. ظاهرا حساب نيما فاضلي در Coinbase با يك گواهينامهي رانندگي متعلقبه ايالت فلوريدا تأييد شده كه به فردي با نام Nima Fazeli تعلق دارد. در اين اسناد حتي شماره پروانهي گواهينامهي نيما فاضلي نيز ذكر شده است. اسناد دادگاه ميگويند با گذر زمان فاضلي از گواهينامهي رانندگي واقعي خود براي تأييد سه حساب متخصصي در Coinbase استفاده كرده است. سومين حساب متخصصي ايجادشده ازطريق گواهينامهي نيما فاضلي همان حسابي است كه از آدرس IP حساب Rolex#0373 در ديسكورد و آدرس IP حساب Rolex در OGUsers، بهصورت منظم به آن مراجعه شده.
توييتر با انتشار بيانيهاي جديد ميگويد: «ما قدردان اقدامات سريع نهادهاي مجري قانون در اين تحقيقات هستيم و هرچه پرونده بيشتر جلو برود، به همكاري خود با بازرسان ادامه خواهيم داد». دفتر FBI در سان فرانسيسكو جمعهي گذشته بيانيهاي جديد منتشر و اعلام كرد كه روند تحقيقات هنوز به پايان نرسيده است.
گرچه طي چند وقت اخير، هك بزرگ توييتر در صدر بسياري از اخبار قرار داشت و توجهات زيادي را جلب كرد، بااينحال دليل اصلي بروز اين اتفاق يعني حملات فيشينگ چيز جديدي نيست. اين حملات كه در دستهي حملات مهندسي اجتماعي جاي ميگيرند بهوفور رخ ميدهند. آليسون نيكسون، مدير ارشد تحقيقات در شركت امنيت سايبري Unit 221B كه با FBI همكاري كرده، ميگويد: «ورود غيرقانوني به شركتها و استفاده از ابزار متخصصان براي انجام كلاهبرداري، چيز جديدي نيست و اين افراد همواره چنين كاري انجام ميدهند. دقيقا همين نوع حملهي فيشينگ سالها پيش از اتفاقي كه براي توييتر افتاد، براي شركتهاي حوزهي تلفن رخ داده بود».
نيكسون ميگويد حملهي مهندسي اجتماعي بهكاررفته براي هك توييتر بهنوعي بوده كه از ورود نهادهاي قانوني براي نظارت دقيق روي پرونده جلوگيري ميكند زيرا در دستهي حملههاي سايبري سطح پايين جاي ميگيرد. بديهي است كه وقتي فهرست هدف شما شامل رئيسجمهور سابق ايالات متحده و دو نفر از ثروتمندترين افراد كرهي زمين ميشود، حمله از نوع سطح پايين نيست. بهطور دقيق نميدانيم دستگيري سه هكر توييتر در بلندمدت تا چه حد از بروز اتفاقات مشابه جلوگيري خواهد كرد؛ بهخصوص با درانديشه متخصصينگرفتن پيشرفتهايي كه هكرها طي سالهاي اخير بهخود ديدهاند. جزئياتي كه در شكايتهاي كيفري اعلام شدهاند خودشان ميتوانند در نقش راهنما براي هكهاي آينده ظاهر شوند.
نيكسون ميگويد: «تكتك جزئيات اين پرونده به آنها يادگيري ميدهد تا [هكرهايي] بهتر باشند. زيرا آنها ميتوانند شواهد عليهشان و نحوهي دستگير شدنشان را ببينند».
هم انديشي ها