نيما فاضلي و دو هكر ديگر توييتر چگونه شناسايي و دستگير شدند؟

«من متخصص توييتر هستم، مي‌توانم كنترل هر نامي [=حساب متخصصي] كه بخواهي را به‌دست بياورم؛ اگر مايل به همكاري هستي خبرم كن». اين، جمله‌اي بود كه طبق اسناد منتشرشده توسط دادگاه آمريكا، يكي از متخصصان ديسكورد با نام مستعار Kirk#5270 روز پانزدهم ژوئيه ۲۰۲۰ (۲۵ تير ۱۳۹۹) خطاب به متخصصي ديگر نوشت. اطلاعاتي كه دادگاه ايالات متحده در روز جمعه‌ي گذشته منتشر كرده نشان مي‌دهد همه‌چيز از گفت‌و‌گويي به‌‌ظاهر ساده آغاز شده؛ گفت‌و‌گويي كه چند ساعت بعد،‌ به بزرگ‌ترين هك شناخته‌شده‌ي توييتر در تاريخ تبديل شد. حدودا دو هفته بعد، دادگاه ايالات متحده‌ي آمريكا عليه سه نفر اعلام جرم كرد. دادگاه مي‌گويد اين سه نفر در هك بزرگ توييتر و كلاه‌برداري ازطريق حساب متخصصي افراد سرشناسي چون بيل گيتس، ايلان ماسك، باراك اوباما و شركت‌هايي مثل اپل دست داشته‌اند. مطالعه‌ها نشان مي‌دهد اين سه هكر در جريان هك توييتر توانستند بالغ‌بر ۱۲۰٬۰۰۰ دلار در قالب بيت‌كوين كلاه‌برداري كنند. 

در يكي از روزهاي عادي، ناگهاني توييتي روي بسياري از حساب‌هاي متخصصي محبوب منتشر شد. اين توييت ادعا مي‌كرد كه اگر مبلغ مشخصي به كيف‌پول بيت‌كوين پرداخت كنيد، پس از مدتي دوبرابر آن به شما بازمي‌گردد. توييت موردمباحثه روي حساب‌هاي متخصصي بسيار بزرگ و محبوبي منتشر شد و همين موضوع باعث شد برخي افراد فريب بخورند. توييتر به‌سرعت دست‌به‌كار شد و دسترسي هكرها به سيستم را سلب كرد. بااين‌حال در همين زمان نسبتا كوتاه، هكرها توانستند كنترل حساب‌هاي متخصصي زيادي را در دست بگيرند. ظاهرا آن‌ها كار خود را با حساب‌هاي متخصصي معمولي شروع كرده و سپس سراغ حساب‌هاي بزرگ‌تر رفته‌اند. هكرها در ابتدا قصد داشتند نام‌هاي متخصصي معروف توييتر را در وب‌سايتي خاص به‌فروش برسانند. بااين‌حال كم‌كم سراغ هك حساب‌هاي بزرگ هم رفتند.

دادگستري ايالات متحده‌ي آمريكا اعلام كرد كه سه نفر در اين هك بزرگ شركت كردند كه يكي از آن‌ها ميسون شپرد، ساكن بريتانيا است، دومي نيما فاضلي است كه در اورلاندو حضور دارد و سومي با نام گراهام ايوان كلارك شناخته مي‌شود كه تنها ۱۷ سال سن دارد. گراهام ايوان كلارك كه «مغز متفكر» هك بزرگ توييتر لقب مي‌گيرد ساكن شهرستان هيلزبرو ايالت فلوريدا است. كلارك به‌صورت جداگانه مرتكب ۳۰ فقره جرم شده‌ كه شامل ۱۷ فقره كلاه‌برداري در حوزه‌ي ارتباطات مي‌شود. شكايات ثبت‌شده عليه اين سه هكر باعث شده جزئيات كامل روزي كه توييتر هك شد، دردسترس قرار بگيرد. آن‌طور كه مطالعه‌ها نشان مي‌دهد، اين سه هكر به‌شكلي بسيار ناشيانه ردپاي خود را پاك كرده‌اند. تمامي سه هكر توييتر، ازجمله‌ گراهام ايوان كلاركِ ۱۷ ساله اكنون در بازداشت هستند.

Kirk#5270 برخلاف ادعاهايي كه صبح روز ۱۵ ژوئيه مطرح كرد، متخصص توييتر نبود و هيچ ارتباطي هم به اين شركت نداشت. بااين‌حال Kirk#5270 توانسته بود به ابزارهاي مديريتي داخلي توييتر دسترسي پيدا كند كه اتفاقي عجيب است. اين فرد براي اثبات ادعاي خود، اسكرين‌شات حساب‌هايي با نام‌هاي متخصصي bumblebee@ و sc@ و vague@ و R9@ را براي هم‌دستانش فرستاده بود (نام‌هاي متخصصي كوتاه در بين جوامع هكري بسيار محبوب هستند. هكرها با تصاحب حساب‌هاي داراي نام متخصصي منحصربه‌فرد، آن‌ها را در ازاي دريافت مبلغي خاص به‌فروش مي‌رسانند). متخصص ديگري در ديسكورد كه يكي از هم‌دستان Kirk#5270 است، از نام متخصصي ever so anxious#0001 استفاده مي‌كند. او با استفاده از نفوذي كه در بين هكرها داشت توانست به‌سرعت علاقه‌مندان به خريد نام‌هاي متخصصي را پيدا كند. Kirk#5270 آدرس يك كيف‌پول بيت‌كوين را دراختيار ever so anxious#0001 قرار مي‌داد تا معاملات ازطريق آن انجام بگيرد. هكرها مي‌گويند توانسته‌اند نام متخصصي xx@ را به‌ارزش ۵٬۰۰۰ دلار بفروشند. 

در صبح همان روز، فردي با نام متخصصي Chaewon در انجمن بزرگ OGUsers كه محفلي براي گردهمايي هكرها به‌حساب مي‌آيد مدعي شد به تمامي حساب‌هاي متخصصي توييتر دسترسي دارد. اين فرد مطلبي با عنوان «تغيير دادن رايانامه هر يك از حساب‌هاي توييتر / انجام درخواست‌هاي ديگر» منتشر كرد و گفت در ازاي دريافت ۲۵۰ دلار، رايانامه هر حساب متخصصي توييتر كه بخواهيد را تغيير مي‌دهد. درضمن Chaewon گفت هر فردي كه تمايل دارد دسترسي كامل به حساب متخصصي پيدا كند بايد حداكثر ۳٬۰۰۰ دلار پول بدهد. اين مقاله، متخصصان را مستقيما به حساب ever so anxious#0001 در ديسكورد منتقل مي‌كرد. براساس اسناد منتشرشده توسط دادگاه، ever so anxious#0001 و Kirk#5270 در مدت‌زمان هفت ساعت كه از ساعت ۷:۱۶ صبح به‌وقت منطقه‌ي زماني شرقي (۱۵:۴۶ به‌وقت تهران) آغاز شد، درباره‌ي تصاحب ۵۰ نام متخصصي توييتر با يكديگر گفت‌و‌گو كرده‌اند. در همان چت ديسكورد، ever so anxious#0001 به‌صراحت گفت نام متخصصي OGUsers او‌ Chaewon است. اين يعني ever so anxious#0001 و Chaewon يك نفر بوده‌اند.

مطالعه‌هاي دادگاه همچنين نشان مي‌دهد Kirk#5270 كمك مشابهي ازسوي يكي ديگر از متخصصان ديسكورد با نام مستعار Rolex#0373 دريافت كرده است؛ بااين‌حال ظاهرا اين فرد برخلاف ever so anxious#0001، در ابتدا به Kirk#5270 شك داشته و حرف‌هايش را باور نكرده است. براساس متنِ استخراج‌شده از چت ديسكورد كه با حكم قضايي به دست آمده، Rolex#0373 گفته «ادعاهايت براي حقيقي‌بودن، بيش از حد خوب به‌انديشه متخصصين مي‌رسند». Kirk#5270 براي اثبات حرف‌هاي خود، رايانامه يكي از حساب‌هاي توييتر با نام متخصصي foreign@ را با يكي از رايانامه‌هاي Rolex#0373 عوض كرده است. Rolex#0373 همچون Chaewon موافقت كرد كه به Kirk#5270 براي فروش حساب‌هاي متخصصي در OGUsers كمك كند و در ازاي اين كار حساب توييتري foreign@ را براي خودش نگه دارد (نام متخصصي او در وب‌سايت موردمباحثه، Rolex بود). Rolex#0373 در پستي كه منتشر كرد گفت براي دسترسي به حساب‌هاي متخصصي دزديده‌شده مي‌توانيد مبغ پايه‌ي ۲٬۵۰۰ دلار پرداخت كنيد. 

FBI معتقد است كه حساب كاريري Rolex به نيما فاضلي تعلق دارد و به‌همين دليل او را به يك فقره جرم كه از آن به‌عنوان «كمك و همكاري در دسترسي عمدي به رايانه‌‌اي حفاظت‌شده» ياد مي‌كند، متهم كرده است. FBI همچنين حساب متخصصي Chaewon را به ميسون شپرد نسبت مي‌دهد و عليه او جرم‌هايي شامل «فعاليت متقلبانه‌ي الكترونيكي»، «پول‌شويي» و «دسترسي عمدي به رايانه‌‌اي حفاظت‌شده» اعلام كرده است. 

شكايت‌هاي كيفري ثبت‌شده عليه فاضلي و شپرد در همين‌جا به‌پايان مي‌رسند. هيچ‌يك از شكايت‌هاي يادشده به‌طور واضح به هويت فردي كه در پشت حساب متخصصي Kirk#5270 حضور داشته اشاره نمي‌كند. به‌علاوه اين شكايت‌‌ها حساب موردمباحثه را به‌صراحت به هيچ نامي پيوند نمي‌دهند. بنابراين تا اين‌جاي كار، بزرگ‌ترين راز ماجرا كه مهم‌ترين راز هم لقب مي‌گيرد، شناسايي فردي است كه حساب Kirk#5270 را دراختيار داشته. اسناد دادگاه مربوط به گراهام ايوان كلارك اعلام مي‌كنند اين نوجوان ۱۷ ساله توانسته به سيستم‌هاي مديريتي توييتر دسترسي پيدا كند. همين نوجوان ۱۷ ساله چند ساعت بعد، كنترل حساب‌هاي متخصصي بزرگ توييتر شامل ايلان ماسك و بيل گيتس را دراختيار گرفت و ازطريق آن‌ها كلاه‌برداري انجام داد. دادگاه ايالات متحده، پرونده‌ي كلارك را به دفتر دادستاني ايالتي هيلزبرو ارجاع داده است. در وب‌سايت رسمي اين دفتر دادستاني مي‌خوانيم كه كلاركِ ۱۷ ساله اكنون تحت پيگرد قانوني قرار دارد. در وب‌سايت موردمباحثه آمده: «قوانين ايالت فلوريدا به ما اجازه مي‌دهد در پرونده‌هاي كلاه‌برداري مالي نظير آنچه براي توييتر اتفاق افتاد، درصورت صلاح‌ديد خودمان، با افراد خردسال به‌عنوان بزرگ‌سال برخورد كنيم». 

اندرو وارن، بازپرس قضايي دفتر دادستاني هيلزبرو، جمعه‌ي گذشته در كنفرانسي ويدئويي گفت: «او با سوءاستفاده از يكي از متخصصان، به حساب‌هاي توييتر و ابزارهاي كنترليِ داخلي اين شركت دسترسي پيدا كرد. اين فرد دسترسي به حساب‌هاي دزديده‌شده را در ازاي دريافت پول،‌ فروخت. او سپس از هويت افراد برجسته براي درخواست پول در قالب بيت‌كوين استفاده كرد و گفت هرمقدار بيت‌كوين به كيف‌پولِ اعلام‌شده واريز كنيد دو برابر آن را به شما برمي‌گرداند». اسناد منتشرشده ازسوي دادگاه نشان مي‌دهند درمجموع ۴۱۵ بار به كيف‌پول بيت‌كوين هكر توييتر پول واريز شده كه مبلغ ۱۷۷٬۰۰۰ دلار را شامل مي‌شود. 

همان‌طور كه توييتر هفته‌ي گذشته اعلام كرد، مجموعا ۱۳۰ حساب متخصصي در هك بزرگ، هدف قرار گرفتند. مهاجمين توانستند با موفقيت در ۴۵ حساب متخصصي، توييت بنويسند و همچنين به پيام‌هاي خصوصي ۳۶ حساب متخصصي دسترسي پيدا كردند. ظاهرا اين افراد همچنين داده‌هاي هفت حساب متخصصي را به‌طور كامل دانلود كرده‌اند. عصر پنج‌شنبه، توييتر ابعاد جديدي از هك بزرگ را تشريح كرد. آن‌طور كه توييتر مي‌نويسد هكرها ازطريق حملات فيشينگ به ابزار مديريتي دسترسي پيدا كرده‌اند. در اين حملات، متخصصان توييتر هدف قرار گرفتند. اسناد دادگاه جزئياتي بيشتر دردسترس ما قرار نمي‌دهد و صرفا اين را اضافه مي‌كند كه حملات فيشينگ كلارك حدودا روز ۳ مه ۲۰۲۰ (۱۴ ارديبهشت ۱۳۹۹) انجام شده‌اند.

به‌انديشه متخصصين مي‌رسد از آنجا به بعد، همه‌چيز به‌شكلي سريع انجام گرفته است. بازرسان مي‌گويند پيام‌هاي خصوصي Chaewon در OGUsers نشان مي‌دهند اين فرد در ماه فوريه‌ي ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) به‌منظور تهيه‌ي يك بازي ويدئويي، مبلغ مشخصي بيت‌كوين را به يك آدرس ارسال كرده است. بازرسان فعاليت‌هايي را كه روز بعد در آن كيف‌پول بيت‌كوين انجام شدند رديابي كردند تا اينكه به مجموعه‌اي از آدرس‌هاي بيت‌كوين رسيدند كه ماه‌ها بعد توسط ever so anxious#0001 در تعاملاتش با Kirk#5270 از آن‌ها استفاده شد.

بازرسان همچنين از ديتابيس فاش‌شده‌ي وب‌سايت OGUsers به‌منظور پيدا كردن ارتباط بين Chaewon و يكي ديگر از نام‌هاي متخصصي OGUsers يعني Mas استفاده كردند. ديتابيس فاش‌شده نشان مي‌دهد هر دو حساب متخصصي يادشده با يك آدرس IP و در يك روز، در OGUsers ثبت‌نام كرده‌اند. بازرسان همچنين متوجه شده‌اند در بين روزهاي ۱۱ تا ۱۵ فوريه‌ي ۲۰۲۰ (۲۲ تا ۲۶ بهمن ۱۳۹۸)، حساب Chaewon پست‌هايي با اين عنوان منتشر كرده است: «!@IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS». اين پيام كه عبارت «من Mas هستم» در آن ديده مي‌شود به‌صورت غيرمستقيم تأييد مي‌كند يك فرد در پشت دو حساب Chaewon و Mas نشسته بوده است. 

آن‌طور كه بازرسان مي‌گويند حساب كاريري Mas با رايانامه masonhppy@gmail.com همگام‌سازي شده است. اين رايانامه به يكي از حساب‌هاي متخصصي سايت Coinbase با نام ميسون شپرد (Mason Sheppard) تعلق دارد. آدرس‌هاي بيت‌كوين مرتبط‌به Chaewon نيز چندين معامله در صرافي Binance انجام داده‌اند؛ سوابق اين معاملات نشان مي‌دهند كه تمامي آدرس‌هاي بيت‌كوين موردمباحثه به ميسون شپرد ارتباط دارند. درنهايت اسناد دادگاه مي‌گويند يك نوجوان ناشناس كه ظاهرا در روند تحقيقات به بازرسان كمك گرده گفته كه آن‌ها Chaewon را با نام ميسون مي‌شناخته‌اند. تمامي اين شواهد دست‌به‌دست هم مي‌دهند تا هويت واقعي يكي از هكرها را برملا كنند.

بازرسان با اتكا بر آدرس‌هاي بيت‌كوين و آدرس IP موفق شدند حساب متخصصي Rolex#0373 را به نيما فاضلي ارتباط دهند. بازرسان به معامله‌اي كه در بيت‌كوين فاضلي در تاريخ ۳۰ اكتبر ۲۰۱۸ (۸ آبان ۱۳۹۷) انجام گرفته و در انجمن OGUsers  به آن ارجاع شده اشاره مي‌كنند. ظاهرا حساب Coinbase مرتبط‌به به آن معامله متعلق‌به فردي بوده كه نام «Nim F» را به‌همراه آدرس رايانامه damniamevil20@gmail.com براي حساب خود انتخاب كرده؛ اين، همان آدرس رايانامهي است كه از آن براي ايجاد حساب Rolex در سايت OGUsers استفاده شده است. ظاهرا حساب نيما فاضلي در Coinbase با يك گواهينامه‌ي رانندگي متعلق‌به ايالت فلوريدا تأييد شده كه به فردي با نام Nima Fazeli تعلق دارد. در اين اسناد حتي شماره پروانه‌ي گواهي‌نامه‌ي نيما فاضلي نيز ذكر شده است. اسناد دادگاه مي‌گويند با گذر زمان فاضلي از گواهي‌نامه‌ي رانندگي واقعي خود براي تأييد سه حساب متخصصي در Coinbase استفاده كرده است. سومين حساب متخصصي ايجاد‌شده ازطريق گواهي‌نامه‌ي نيما فاضلي همان حسابي است كه از آدرس IP حساب Rolex#0373 در ديسكورد و آدرس IP حساب Rolex در OGUsers، به‌صورت منظم به آن مراجعه شده. 

توييتر با انتشار بيانيه‌اي جديد مي‌گويد: «ما قدردان اقدامات سريع نهادهاي مجري قانون در اين تحقيقات هستيم و هرچه پرونده بيشتر جلو برود، به همكاري خود با بازرسان ادامه خواهيم داد». دفتر FBI در سان فرانسيسكو جمعه‌ي گذشته بيانيه‌اي جديد منتشر و اعلام كرد كه روند تحقيقات هنوز به پايان نرسيده است. 

نيكسون مي‌گويد حمله‌ي مهندسي اجتماعي به‌كاررفته براي هك توييتر به‌نوعي بوده كه از ورود نهادهاي قانوني براي نظارت دقيق روي پرونده جلوگيري مي‌كند زيرا در دسته‌ي حمله‌هاي سايبري سطح پايين جاي مي‌گيرد. بديهي است كه وقتي فهرست هدف شما شامل رئيس‌جمهور سابق ايالات متحده و دو نفر از ثروتمندترين افراد كره‌ي زمين مي‌شود، حمله از نوع سطح پايين نيست. به‌طور دقيق نمي‌دانيم دست‌گيري سه هكر توييتر در بلندمدت تا چه حد از بروز اتفاقات مشابه جلوگيري خواهد كرد؛ به‌خصوص با درانديشه متخصصينگرفتن پيشرفت‌هايي كه هكرها طي سال‌هاي اخير به‌خود ديده‌اند. جزئياتي كه در شكايت‌هاي كيفري اعلام شده‌اند خودشان مي‌توانند در نقش راهنما براي هك‌هاي آينده ظاهر شوند. 

نيكسون مي‌گويد: «تك‌تك جزئيات اين پرونده به آن‌ها يادگيري مي‌دهد تا [هكرهايي] بهتر باشند. زيرا آن‌ها مي‌توانند شواهد عليه‌شان و نحوه‌ي دستگير شدن‌شان را ببينند».