نیما فاضلی و دو هکر دیگر توییتر چگونه شناسایی و دستگیر شدند؟

دادستانی ایالات متحده از شناسایی سه فرد متهم‌به هک بزرگ توییتر خبر می‌دهد که یکی از آن‌ها نوجوانی ۲۲ ساله به‌نام نیما فاضلی است و یکی دیگر ۱۷ سال سن دارد. هکرهای توییتر چگونه دست‌شان رو شد؟

«من کارمند توییتر هستم، می‌توانم کنترل هر نامی [=حساب کاربری] که بخواهی را به‌دست بیاورم؛ اگر مایل به همکاری هستی خبرم کن». این، جمله‌ای بود که طبق اسناد منتشرشده توسط دادگاه آمریکا، یکی از کاربران دیسکورد با نام مستعار Kirk#5270 روز پانزدهم ژوئیه ۲۰۲۰ (۲۵ تیر ۱۳۹۹) خطاب به کاربری دیگر نوشت. اطلاعاتی که دادگاه ایالات متحده در روز جمعه‌ی گذشته منتشر کرده نشان می‌دهد همه‌چیز از گفت‌و‌گویی به‌‌ظاهر ساده آغاز شده؛ گفت‌و‌گویی که چند ساعت بعد،‌ به بزرگ‌ترین هک شناخته‌شده‌ی توییتر در تاریخ تبدیل شد. حدودا دو هفته بعد، دادگاه ایالات متحده‌ی آمریکا علیه سه نفر اعلام جرم کرد. دادگاه می‌گوید این سه نفر در هک بزرگ توییتر و کلاه‌برداری ازطریق حساب کاربری افراد سرشناسی چون بیل گیتس، ایلان ماسک، باراک اوباما و شرکت‌هایی مثل اپل دست داشته‌اند. بررسی‌ها نشان می‌دهد این سه هکر در جریان هک توییتر توانستند بالغ‌بر ۱۲۰٬۰۰۰ دلار در قالب بیت‌کوین کلاه‌برداری کنند. 

در یکی از روزهای عادی، ناگهانی توییتی روی بسیاری از حساب‌های کاربری محبوب منتشر شد. این توییت ادعا می‌کرد که اگر مبلغ مشخصی به کیف‌پول بیت‌کوین پرداخت کنید، پس از مدتی دوبرابر آن به شما بازمی‌گردد. توییت موردبحث روی حساب‌های کاربری بسیار بزرگ و محبوبی منتشر شد و همین موضوع باعث شد برخی افراد فریب بخورند. توییتر به‌سرعت دست‌به‌کار شد و دسترسی هکرها به سیستم را سلب کرد. بااین‌حال در همین زمان نسبتا کوتاه، هکرها توانستند کنترل حساب‌های کاربری زیادی را در دست بگیرند. ظاهرا آن‌ها کار خود را با حساب‌های کاربری معمولی شروع کرده و سپس سراغ حساب‌های بزرگ‌تر رفته‌اند. هکرها در ابتدا قصد داشتند نام‌های کاربری معروف توییتر را در وب‌سایتی خاص به‌فروش برسانند. بااین‌حال کم‌کم سراغ هک حساب‌های بزرگ هم رفتند.نیما فاضلی، میسون شپرد و گراهام ایوان کلارک در هک بزرگ توییتر دست داشته‌اند

عصر جمعه وزارت دادگستری ایالات متحده‌ی آمریکا نتایج تحقیقات گسترده‌ در رابطه‌ با هک بزرگ توییتر را متشر کرد. در این تحقیقات مهم، اداره‌ی تحقیقات فدرال (FBI)، سازمان خدمات درآمدهای داخلی آمریکا (IRS) و سرویس مخفی ایالات متحده‌ی آمریکا مشارکت داشتند.

دادگستری ایالات متحده‌ی آمریکا اعلام کرد که سه نفر در این هک بزرگ شرکت کردند که یکی از آن‌ها میسون شپرد، ساکن بریتانیا است، دومی نیما فاضلی است که در اورلاندو حضور دارد و سومی با نام گراهام ایوان کلارک شناخته می‌شود که تنها ۱۷ سال سن دارد. گراهام ایوان کلارک که «مغز متفکر» هک بزرگ توییتر لقب می‌گیرد ساکن شهرستان هیلزبرو ایالت فلوریدا است. کلارک به‌صورت جداگانه مرتکب ۳۰ فقره جرم شده‌ که شامل ۱۷ فقره کلاه‌برداری در حوزه‌ی ارتباطات می‌شود. شکایات ثبت‌شده علیه این سه هکر باعث شده جزئیات کامل روزی که توییتر هک شد، دردسترس قرار بگیرد. آن‌طور که بررسی‌ها نشان می‌دهد، این سه هکر به‌شکلی بسیار ناشیانه ردپای خود را پاک کرده‌اند. تمامی سه هکر توییتر، ازجمله‌ گراهام ایوان کلارکِ ۱۷ ساله اکنون در بازداشت هستند.

Kirk#5270 برخلاف ادعاهایی که صبح روز ۱۵ ژوئیه مطرح کرد، کارمند توییتر نبود و هیچ ارتباطی هم به این شرکت نداشت. بااین‌حال Kirk#5270 توانسته بود به ابزارهای مدیریتی داخلی توییتر دسترسی پیدا کند که اتفاقی عجیب است. این فرد برای اثبات ادعای خود، اسکرین‌شات حساب‌هایی با نام‌های کاربری bumblebee@ و sc@ و vague@ و R9@ را برای هم‌دستانش فرستاده بود (نام‌های کاربری کوتاه در بین جوامع هکری بسیار محبوب هستند. هکرها با تصاحب حساب‌های دارای نام کاربری منحصربه‌فرد، آن‌ها را در ازای دریافت مبلغی خاص به‌فروش می‌رسانند). کاربر دیگری در دیسکورد که یکی از هم‌دستان Kirk#5270 است، از نام کاربری ever so anxious#0001 استفاده می‌کند. او با استفاده از نفوذی که در بین هکرها داشت توانست به‌سرعت علاقه‌مندان به خرید نام‌های کاربری را پیدا کند. Kirk#5270 آدرس یک کیف‌پول بیت‌کوین را دراختیار ever so anxious#0001 قرار می‌داد تا معاملات ازطریق آن انجام بگیرد. هکرها می‌گویند توانسته‌اند نام کاربری xx@ را به‌قیمت ۵٬۰۰۰ دلار بفروشند. 

هکر با مودی مشکی پشت لپ تاپ در حال هک / Hacker

در صبح همان روز، فردی با نام کاربری Chaewon در انجمن بزرگ OGUsers که محفلی برای گردهمایی هکرها به‌حساب می‌آید مدعی شد به تمامی حساب‌های کاربری توییتر دسترسی دارد. این فرد مطلبی با عنوان «تغییر دادن ایمیل هر یک از حساب‌های توییتر / انجام درخواست‌های دیگر» منتشر کرد و گفت در ازای دریافت ۲۵۰ دلار، ایمیل هر حساب کاربری توییتر که بخواهید را تغییر می‌دهد. درضمن Chaewon گفت هر فردی که تمایل دارد دسترسی کامل به حساب کاربری پیدا کند باید حداکثر ۳٬۰۰۰ دلار پول بدهد. این مقاله، کاربران را مستقیما به حساب ever so anxious#0001 در دیسکورد منتقل می‌کرد. براساس اسناد منتشرشده توسط دادگاه، ever so anxious#0001 و Kirk#5270 در مدت‌زمان هفت ساعت که از ساعت ۷:۱۶ صبح به‌وقت منطقه‌ی زمانی شرقی (۱۵:۴۶ به‌وقت تهران) آغاز شد، درباره‌ی تصاحب ۵۰ نام کاربری توییتر با یکدیگر گفت‌و‌گو کرده‌اند. در همان چت دیسکورد، ever so anxious#0001 به‌صراحت گفت نام کاربری OGUsers او‌ Chaewon است. این یعنی ever so anxious#0001 و Chaewon یک نفر بوده‌اند.

بررسی‌های دادگاه همچنین نشان می‌دهد Kirk#5270 کمک مشابهی ازسوی یکی دیگر از کاربران دیسکورد با نام مستعار Rolex#0373 دریافت کرده است؛ بااین‌حال ظاهرا این فرد برخلاف ever so anxious#0001، در ابتدا به Kirk#5270 شک داشته و حرف‌هایش را باور نکرده است. براساس متنِ استخراج‌شده از چت دیسکورد که با حکم قضایی به دست آمده، Rolex#0373 گفته «ادعاهایت برای حقیقی‌بودن، بیش از حد خوب به‌نظر می‌رسند». Kirk#5270 برای اثبات حرف‌های خود، ایمیل یکی از حساب‌های توییتر با نام کاربری foreign@ را با یکی از ایمیل‌های Rolex#0373 عوض کرده است. Rolex#0373 همچون Chaewon موافقت کرد که به Kirk#5270 برای فروش حساب‌های کاربری در OGUsers کمک کند و در ازای این کار حساب توییتری foreign@ را برای خودش نگه دارد (نام کاربری او در وب‌سایت موردبحث، Rolex بود). Rolex#0373 در پستی که منتشر کرد گفت برای دسترسی به حساب‌های کاربری دزدیده‌شده می‌توانید مبغ پایه‌ی ۲٬۵۰۰ دلار پرداخت کنید. هکرهای توییت ازجمله‌ گراهام ایوان کلارک ۱۷ ساله اکنون در بازداشت به‌سر می‌برند

براساس جزئیات شکایت‌های انجام‌شده، تا ساعت تقریبا ۱۴:۰۰ روز ۱۵ ژوئیه به‌وقت منطقه‌ی زمانی شرقی (۲۲:۳۰ به‌وقت تهران) حداقل ۱۰ حساب کاربری توییتر به‌سرقت رفتند. در آن ساعات هکرها بیشتر تلاش کردند روی حساب‌های دارای نام کاربری کوتاه یا جذاب نظیر @drug و xx@ و vampire@ متمرکز باشند و اصلا به‌فکر هک حساب سلبریتی‌ها و بزرگان حوزه‌ی فناوری نبودند. همچنین این هکرها حساب‌های دزدیده‌شده را برای خودشان برمی‌داشتند و در آن زمان خبری از کلاه‌برداری ازطریق بیت‌کوین نبود. آن‌طور که داده‌ها نشان می‌دهند معاملات انجام‌شده توسط Chaewon باعث شده بالغ‌بر ۳۳٬۰۰۰ دلار بیت‌کوین به حساب Kirk#5270 واریز شود. Chaewon همچنین مبلغ ۷٬۰۰۰ دلار را برای خود برداشته است.

FBI معتقد است که حساب کاریری Rolex به نیما فاضلی تعلق دارد و به‌همین دلیل او را به یک فقره جرم که از آن به‌عنوان «کمک و همکاری در دسترسی عمدی به رایانه‌‌ای حفاظت‌شده» یاد می‌کند، متهم کرده است. FBI همچنین حساب کاربری Chaewon را به میسون شپرد نسبت می‌دهد و علیه او جرم‌هایی شامل «فعالیت متقلبانه‌ی الکترونیکی»، «پول‌شویی» و «دسترسی عمدی به رایانه‌‌ای حفاظت‌شده» اعلام کرده است. 

شکایت‌های کیفری ثبت‌شده علیه فاضلی و شپرد در همین‌جا به‌پایان می‌رسند. هیچ‌یک از شکایت‌های یادشده به‌طور واضح به هویت فردی که در پشت حساب کاربری Kirk#5270 حضور داشته اشاره نمی‌کند. به‌علاوه این شکایت‌‌ها حساب موردبحث را به‌صراحت به هیچ نامی پیوند نمی‌دهند. بنابراین تا این‌جای کار، بزرگ‌ترین راز ماجرا که مهم‌ترین راز هم لقب می‌گیرد، شناسایی فردی است که حساب Kirk#5270 را دراختیار داشته. اسناد دادگاه مربوط به گراهام ایوان کلارک اعلام می‌کنند این نوجوان ۱۷ ساله توانسته به سیستم‌های مدیریتی توییتر دسترسی پیدا کند. همین نوجوان ۱۷ ساله چند ساعت بعد، کنترل حساب‌های کاربری بزرگ توییتر شامل ایلان ماسک و بیل گیتس را دراختیار گرفت و ازطریق آن‌ها کلاه‌برداری انجام داد. دادگاه ایالات متحده، پرونده‌ی کلارک را به دفتر دادستانی ایالتی هیلزبرو ارجاع داده است. در وب‌سایت رسمی این دفتر دادستانی می‌خوانیم که کلارکِ ۱۷ ساله اکنون تحت پیگرد قانونی قرار دارد. در وب‌سایت موردبحث آمده: «قوانین ایالت فلوریدا به ما اجازه می‌دهد در پرونده‌های کلاه‌برداری مالی نظیر آنچه برای توییتر اتفاق افتاد، درصورت صلاح‌دید خودمان، با افراد خردسال به‌عنوان بزرگ‌سال برخورد کنیم». 

هکر ناشناس / Hacker با هودی مشکی

اندرو وارن، بازپرس قضایی دفتر دادستانی هیلزبرو، جمعه‌ی گذشته در کنفرانسی ویدئویی گفت: «او با سوءاستفاده از یکی از کارمندان، به حساب‌های توییتر و ابزارهای کنترلیِ داخلی این شرکت دسترسی پیدا کرد. این فرد دسترسی به حساب‌های دزدیده‌شده را در ازای دریافت پول،‌ فروخت. او سپس از هویت افراد برجسته برای درخواست پول در قالب بیت‌کوین استفاده کرد و گفت هرمقدار بیت‌کوین به کیف‌پولِ اعلام‌شده واریز کنید دو برابر آن را به شما برمی‌گرداند». اسناد منتشرشده ازسوی دادگاه نشان می‌دهند درمجموع ۴۱۵ بار به کیف‌پول بیت‌کوین هکر توییتر پول واریز شده که مبلغ ۱۷۷٬۰۰۰ دلار را شامل می‌شود. 

همان‌طور که توییتر هفته‌ی گذشته اعلام کرد، مجموعا ۱۳۰ حساب کاربری در هک بزرگ، هدف قرار گرفتند. مهاجمین توانستند با موفقیت در ۴۵ حساب کاربری، توییت بنویسند و همچنین به پیام‌های خصوصی ۳۶ حساب کاربری دسترسی پیدا کردند. ظاهرا این افراد همچنین داده‌های هفت حساب کاربری را به‌طور کامل دانلود کرده‌اند. عصر پنج‌شنبه، توییتر ابعاد جدیدی از هک بزرگ را تشریح کرد. آن‌طور که توییتر می‌نویسد هکرها ازطریق حملات فیشینگ به ابزار مدیریتی دسترسی پیدا کرده‌اند. در این حملات، کارمندان توییتر هدف قرار گرفتند. اسناد دادگاه جزئیاتی بیشتر دردسترس ما قرار نمی‌دهد و صرفا این را اضافه می‌کند که حملات فیشینگ کلارک حدودا روز ۳ مه ۲۰۲۰ (۱۴ اردیبهشت ۱۳۹۹) انجام شده‌اند.به‌طور دقیق مشخص نیست که بازرسان چگونه گراهام ایوان کلارک، مغز متفکر هک توییتر را شناسایی کرده‌اند

به‌علاوه هنوز به‌طور دقیق نمی‌دانیم که بازرسان چگونه موفق‌به احراز هویت کلارک شده‌اند. بااین‌حال سرنخ‌هایی که نهایتا باعث شناسایی شدن فاضلی و شپرد برای FBI شدند جزئیات بسیار جالب‌تری دارند. در روز ۲ آوریل ۲۰۲۰ (۱۴ فروردین ۱۳۹۹) مدیر وب‌سایت OGUsers به‌صورت رسمی اعلام کرد که این انجمن هک شده است. اسناد دادگاه می‌گویند پس از گذر چند روز، یک گروه هکریِ رقیب لینک دانلود دیتابیس حاوی اطلاعات کاربران وب‌سایت OGUsers را برای دانلود دردسترس قرار داده است. بررسی‌ها نشان می‌داد این دیتابیس اطلاعات بسیار ارزشمندی در خود دارد و نه‌تنها حساب‌های کاربری و پست‌های عمومی بلکه پیام‌های خصوصی ردوبدل‌شده بین کاربران را نیز شامل می‌شده است. افزون بر این‌ها، در دیتابیس فاش‌شده آدرس IP و حتی آدرس ایمیل کاربران هم وجود داشت. FBI می‌گوید روز ۹ آوریل ۲۰۲۰ (۲۱ فروردین ۱۳۹۹) نسخه‌ای از این دیتابیس را دریافت کرده.

به‌نظر می‌رسد از آنجا به بعد، همه‌چیز به‌شکلی سریع انجام گرفته است. بازرسان می‌گویند پیام‌های خصوصی Chaewon در OGUsers نشان می‌دهند این فرد در ماه فوریه‌ی ۲۰۲۰ (بهمن و اسفند ۱۳۹۸) به‌منظور تهیه‌ی یک بازی ویدئویی، مبلغ مشخصی بیت‌کوین را به یک آدرس ارسال کرده است. بازرسان فعالیت‌هایی را که روز بعد در آن کیف‌پول بیت‌کوین انجام شدند ردیابی کردند تا اینکه به مجموعه‌ای از آدرس‌های بیت‌کوین رسیدند که ماه‌ها بعد توسط ever so anxious#0001 در تعاملاتش با Kirk#5270 از آن‌ها استفاده شد.

بازرسان همچنین از دیتابیس فاش‌شده‌ی وب‌سایت OGUsers به‌منظور پیدا کردن ارتباط بین Chaewon و یکی دیگر از نام‌های کاربری OGUsers یعنی Mas استفاده کردند. دیتابیس فاش‌شده نشان می‌دهد هر دو حساب کاربری یادشده با یک آدرس IP و در یک روز، در OGUsers ثبت‌نام کرده‌اند. بازرسان همچنین متوجه شده‌اند در بین روزهای ۱۱ تا ۱۵ فوریه‌ی ۲۰۲۰ (۲۲ تا ۲۶ بهمن ۱۳۹۸)، حساب Chaewon پست‌هایی با این عنوان منتشر کرده است: «!@IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS». این پیام که عبارت «من Mas هستم» در آن دیده می‌شود به‌صورت غیرمستقیم تأیید می‌کند یک فرد در پشت دو حساب Chaewon و Mas نشسته بوده است. 

هک

آن‌طور که بازرسان می‌گویند حساب کاریری Mas با ایمیل masonhppy@gmail.com همگام‌سازی شده است. این ایمیل به یکی از حساب‌های کاربری سایت Coinbase با نام میسون شپرد (Mason Sheppard) تعلق دارد. آدرس‌های بیت‌کوین مرتبط‌به Chaewon نیز چندین معامله در صرافی Binance انجام داده‌اند؛ سوابق این معاملات نشان می‌دهند که تمامی آدرس‌های بیت‌کوین موردبحث به میسون شپرد ارتباط دارند. درنهایت اسناد دادگاه می‌گویند یک نوجوان ناشناس که ظاهرا در روند تحقیقات به بازرسان کمک گرده گفته که آن‌ها Chaewon را با نام میسون می‌شناخته‌اند. تمامی این شواهد دست‌به‌دست هم می‌دهند تا هویت واقعی یکی از هکرها را برملا کنند.

بازرسان با اتکا بر آدرس‌های بیت‌کوین و آدرس IP موفق شدند حساب کاربری Rolex#0373 را به نیما فاضلی ارتباط دهند. بازرسان به معامله‌ای که در بیت‌کوین فاضلی در تاریخ ۳۰ اکتبر ۲۰۱۸ (۸ آبان ۱۳۹۷) انجام گرفته و در انجمن OGUsers  به آن ارجاع شده اشاره می‌کنند. ظاهرا حساب Coinbase مرتبط‌به به آن معامله متعلق‌به فردی بوده که نام «Nim F» را به‌همراه آدرس ایمیل damniamevil20@gmail.com برای حساب خود انتخاب کرده؛ این، همان آدرس ایمیلی است که از آن برای ایجاد حساب Rolex در سایت OGUsers استفاده شده است. ظاهرا حساب نیما فاضلی در Coinbase با یک گواهینامه‌ی رانندگی متعلق‌به ایالت فلوریدا تأیید شده که به فردی با نام Nima Fazeli تعلق دارد. در این اسناد حتی شماره پروانه‌ی گواهی‌نامه‌ی نیما فاضلی نیز ذکر شده است. اسناد دادگاه می‌گویند با گذر زمان فاضلی از گواهی‌نامه‌ی رانندگی واقعی خود برای تأیید سه حساب کاربری در Coinbase استفاده کرده است. سومین حساب کاربری ایجاد‌شده ازطریق گواهی‌نامه‌ی نیما فاضلی همان حسابی است که از آدرس IP حساب Rolex#0373 در دیسکورد و آدرس IP حساب Rolex در OGUsers، به‌صورت منظم به آن مراجعه شده. 

توییتر با انتشار بیانیه‌ای جدید می‌گوید: «ما قدردان اقدامات سریع نهادهای مجری قانون در این تحقیقات هستیم و هرچه پرونده بیشتر جلو برود، به همکاری خود با بازرسان ادامه خواهیم داد». دفتر FBI در سان فرانسیسکو جمعه‌ی گذشته بیانیه‌ای جدید منتشر و اعلام کرد که روند تحقیقات هنوز به پایان نرسیده است. 

مقاله‌های مرتبط:

گرچه طی چند وقت اخیر، هک بزرگ توییتر در صدر بسیاری از اخبار قرار داشت و توجهات زیادی را جلب کرد، بااین‌حال دلیل اصلی بروز این اتفاق یعنی حملات فیشینگ چیز جدیدی نیست. این حملات که در دسته‌ی حملات مهندسی اجتماعی جای می‌گیرند به‌وفور رخ می‌دهند. آلیسون نیکسون،‌ مدیر ارشد تحقیقات در شرکت امنیت سایبری Unit 221B که با FBI همکاری کرده، می‌گوید: «ورود غیرقانونی به شرکت‌ها و استفاده از ابزار کارمندان برای انجام کلاه‌برداری، چیز جدیدی نیست و این افراد همواره چنین کاری انجام می‌دهند. دقیقا همین نوع حمله‌ی فیشینگ سال‌ها پیش از اتفاقی که برای توییتر افتاد، برای شرکت‌های حوزه‌ی تلفن رخ داده بود». 

نیکسون می‌گوید حمله‌ی مهندسی اجتماعی به‌کاررفته برای هک توییتر به‌نوعی بوده که از ورود نهادهای قانونی برای نظارت دقیق روی پرونده جلوگیری می‌کند زیرا در دسته‌ی حمله‌های سایبری سطح پایین جای می‌گیرد. بدیهی است که وقتی فهرست هدف شما شامل رئیس‌جمهور سابق ایالات متحده و دو نفر از ثروتمندترین افراد کره‌ی زمین می‌شود، حمله از نوع سطح پایین نیست. به‌طور دقیق نمی‌دانیم دست‌گیری سه هکر توییتر در بلندمدت تا چه حد از بروز اتفاقات مشابه جلوگیری خواهد کرد؛ به‌خصوص با درنظرگرفتن پیشرفت‌هایی که هکرها طی سال‌های اخیر به‌خود دیده‌اند. جزئیاتی که در شکایت‌های کیفری اعلام شده‌اند خودشان می‌توانند در نقش راهنما برای هک‌های آینده ظاهر شوند. 

نیکسون می‌گوید: «تک‌تک جزئیات این پرونده به آن‌ها آموزش می‌دهد تا [هکرهایی] بهتر باشند. زیرا آن‌ها می‌توانند شواهد علیه‌شان و نحوه‌ی دستگیر شدن‌شان را ببینند».