Twitter黑客攻击嫌犯被抓获,年仅17岁面临30项重罪指控
上周五,美国执法部门锁定并指控三人策划了本月对Twitter的史诗性攻击,并通过劫持政客、高管和名人的账户实施比特币骗局,获取了超过10万美元的收益。
旧金山的联邦检察官指控17岁的格雷厄姆·伊万·克拉克(Graham Ivan Clark,主犯)策划并实施了7月15日的Twitter攻击行为,其中17岁的克拉克被指控30项重罪。参与攻击的另外两名嫌犯——19岁的梅森·谢泼德(Sheppard)和22岁的尼玛·法泽利(Fazili)也被起诉。
根据法院文件,整个黑客攻击始于5月3日,当时来自坦帕市但居住在加利福尼亚州的青少年克拉克(Clark)可以访问Twitter网络的一部分。目前尚不清楚5月3日至7月15日,即实际的黑客攻击日之间发生了什么,但是目前看来Clark没能立即从最初的攻击入口渗透到Twitter管理工具,后者被用来接管并劫持Twitter账户。
在Twitter遭到黑客攻击后几天,《纽约时报》的报道表明,克拉克最初获得了访问Twitter内部Slack工作区之一的权限,而不是Twitter本身。《纽约时报》记者援引黑客社区的消息来源称,黑客在Twitter公司的某个Slack频道中发现了Twitter技术支持工具的账户凭证。
但是,此工具的账户凭据不足以访问Twitter后端,根据Twitter调查,黑客使用“鱼叉式电话钓鱼攻击”来骗取部分Twitter员工的账户访问权限,并“顺利通过了Twitter的双因素认证。”
Twitter的后续调查发现,Clark在访问Twitter管理工具的同时与130个账户进行了交互,为45个用户发起了密码重置,并为36个用户访问了私人消息。
获取Twitter管理工具访问权限的Clark随后在社交媒体账户交易论坛Discord上联系上Sheppard和Fazili,声称自己是Twitter员工并展示了自己修改任意Twitter账户设置的能力。聊天记录样本如下:
在取得Sheppard和Fazili的信任后,三人达成合作协议在OGUser论坛发布广告推广销售其Twitter账户劫持服务,吸引了大量买家。根据美国律师执行办公室在YouTube上发布的一条消息,他们仍在调查参与该黑客攻击的多个(买家)用户。至少其中一位买家对7月15日的多个Twitter名人账户被劫持实施比特币诈骗负责。
Twitter遭遇攻击的第二天,Twitter向当局提出正式的刑事诉讼,联邦调查局和特勤局也开始了调查。
根据法院文件,FBI使用社交媒体和新闻媒体共享的数据从社交媒体账户交易论坛Discord获取聊天记录和用户详细信息。
由于某些黑客广告已发布在OGUsers上,因此FBI还使用了OGUsers论坛数据库的副本,该数据库于今年4月因黑客攻击在线泄漏。该数据库包含有关注册论坛用户的详细信息,例如电子邮件和IP地址,以及私人消息。
当局在IRS的帮助下,还从Coinbase获得了黑客相关的比特币地址数据,以及过去三位黑客在Discord聊天和OGUsers论坛帖子中使用和提及的比特币地址。
通过将来自三个来源的数据进行关联,FBI能够跟踪三个站点上的黑客身份,并将其链接到电子邮件和IP地址。
例如,在Fazili(Discord代号Rolex)从他的OGUsers页面链接了他的Discord用户名之后,当局就对其进行了追踪,这是一个明显的操作安全性(OpSec)错误。
Fazili在掩饰真实身份方面还犯了其他多个低级错误。首先,他使用damniamevil20@gmail.com地址在OGUsers论坛上注册了一个账户,并使用了chancelittle10@gmail.com这个电子邮件地址来劫持@foreign Twitter账户。
遗憾的是,Fazili注册Coinbase账户时也使用了上述两个邮件地址,验证个人信息时还用了本人驾照照片。
此外,Fazili还使用其家庭网络来访问三个站点上的账户,将其家庭IP地址保留在所有三个服务(Discord、Coinbase和OGUsers)的访问日志中。
Sheppard也是同样的问题,他以Chaewon身份加入OGUsers。调查人员说,由于他在黑客当天在网站上发布的广告,他们能够将Sheppard的Discord用户与其OGUsers角色联系起来,但他们还通过OGUsers泄漏的数据库得到了确认,他们在该数据库中发现Chaewon购买视频游戏时,使用了与Twitter攻击事件相同的比特币地址。
就像Fazili一样,Sheppard在Coinbase中的账户验证,也使用了真实的驾驶执照。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
新华三安全生态合作战略升至3.0阶段,与合作伙伴“共生共赢”
【51CTO.com原创稿件】2020年,中国信息安全产业的发展挑战重重——新冠疫情带来多重工作新形态,安全边界愈发模糊;企业数字化转型进程不断被按下加速键,安全却不允许滞后;当业务的连续性和合规性要求越来越高,大大小小的安全细分领域协作水平却大打折扣……破局的关键在哪里?答案只有两个字:生态。只有构建出一个繁荣健康的安全生态,才能守望相助互补不足,将安全“危机”变“良机”。幸运的是,早有企业敏锐地意识到这一点,并开始迅速行动起来。 前不久,新华三集团举办了一场以“共生·共赢”为主题的安全生态合作战略发布会,对外发布“新华三安全生态合作战略3.0”。新华三集团高级副总裁、中国区总裁张力表示,新华三将继续精耕细作主流产品与技术,并加大产业生态的建设,广泛联合生态伙伴的智慧力量,朝着共同支撑客户业务安全应用的目标,打造主动安全体系,助力客户构建安全的数字大脑。 新华三集团高级副总裁、中国区总裁张力 从1.0到3.0,新华三安全生态将发力产品、渠道、服务三大领域 熟悉新华三的业内人士可能会比较清楚,其实新华三做生态已经好多年了,2017年前后是一个非常明显的分水岭。2017年之前,新华三与合...
- 下一篇
Coredns+Nodelocaldns cache解决Coredns域名解析延迟
目前18.6版本和之前的coredns都会出现超时5s的情况,那么为什么会出现coredns超时的情况发生? 背景 在Kubernetes中,Pod访问DNS服务器(kube-dns)的最常见方法是通过服务抽象。 因此,在尝试解释问题之前,了解服务的工作原理以及因此在Linux内核中如何实现目标网络地址转换(DNAT)至关重要。 服务是如何工作的? 在iptables模式下(默认情况下),每个服务的kube-proxy在主机网络名称空间的nat表中创建一些iptables规则。让我们考虑在集群中具有两个DNS服务器实例的kube-dns服务。 相关规则如下: (1) -A PREROUTING -m comment --comment "kubernetes service portals" -j KUBE-SERVICES <...> (2) -A KUBE-SERVICES -d 10.96.0.10/32 -p udp -m comment --comment "kube-system/kube-dns:dns cluster IP" -m udp --dport 5...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Red5直播服务器,属于Java语言的直播服务器
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Hadoop3单机部署,实现最简伪集群
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2更换Tomcat为Jetty,小型站点的福音