据外媒报道,社交推特(Twitter)于美国当地时间周三陷入混乱,多位全球最知名的公众人物、公司高管和名人账户开始发布与比特币骗局有关的链接。推特表示,此次黑客攻击发生是因为有人欺骗或胁迫其员工提供访问推特内部管理工具的权限所致。
本文试图列出这次袭击的时间线,并找出谁可能是幕后黑手的线索。通过多方汇总的信息显示,此次推特黑客袭击幕后的最大嫌疑人是个21岁的英国小伙,他的真名叫做约瑟夫·詹姆斯·康纳(Joseph James Connor),曾帮助劫持过推特首席执行官杰克·多西(Jack Dorsey)的账户。
黑客袭击的第一个公开迹象出现在美国东部时间下午3点左右,当时加密货币交易所Binance的Twitter账户在推特上发出了一条消息,说它已经与“CryptoForHealth”合作,向社区返还了5000枚比特币,并提供了一个链接,人们可以在那里捐款或汇款。
亚马逊创始人兼首席执行官杰夫·贝索斯的推特账号遭到黑客袭击
几分钟后,其他加密货币交易所的账户也发出了类似的推文,民主党总统候选人乔·拜登(Joe Biden)、亚马逊首席执行官杰夫·贝索斯(Jeff Bezos)、美国前总统巴拉克·奥巴马(Barak Obama)、特斯拉首席执行官埃隆·马斯克(Elon Musk)、前纽约市长迈克尔·布隆伯格(Michael Bloomberg)以及投资大亨沃伦·巴菲特(Warren Buffet)的推特账户也发出了类似链接。
虽然这听起来可能很荒谬,但真的有人被骗发送比特币来回应这些推文。对许多被黑客攻击的推特个人资料推广的比特币钱包分析显示,当地时间7月15日,该账户处理了383笔交易,并在7月15日收到了近13笔比特币,价值约合11.7万美元。
Twitter发布了一份声明,称它检测到“有些人进行了协同的社会工程攻击,他们成功地将我们的某些员工作为目标,可以访问内部系统和工具。我们知道他们使用这个访问权限来代表他们控制许多高度可见(包括经过验证)的账户和推文。我们正在调查他们可能进行了哪些其他恶意活动,或者他们可能获取了哪些信息,我们将在这里分享更多信息。”
有强有力的迹象表明,这次攻击是由传统上专门通过“SIM交换”劫持社交账户的个人实施的,“SIM交换”是一种日益猖獗的犯罪形式,包括贿赂、黑客攻击或胁迫手机和社交公司的员工提供进入目标账户的权限。 SIM交换圈内的人痴迷于劫持所谓的“OG”社交账户。OG账户是“原始黑帮”的缩写,通常是账户名较短的账户(如@B或@Joe)。拥有这些OG账户可以衡量SIM交换圈中的地位、影响力和财富,因为这样的账户在地下转售时往往可以卖到数千美元。
在周三推特遭受攻击之前的几天里,有迹象表明,SIM交换社区的某些人正在兜售更改与任何推特账户绑定的电子邮件地址的能力。一位名叫Chaewon的用户在OGuser(一个专门研究账户劫持的论坛)上发帖称,他们可以更改任何推特账户绑定的电子邮件地址,只需250美元,每个账户的直接访问费用在2000美元到3000美元之间。
OGUsers论坛用户Chaewon发帖,称可以更改绑定到任何推特账户的电子邮件地址
Chaewon在他们的销售帖子中写道:“这不是一种方法,如果你出于任何原因没有收到电子邮件地址,你将获得全额退款。然而,如果出现问题,我将不会被追究责任。”周三,在加密货币平台的推特账户或公众人物开始抨击比特币诈骗的几个小时前,攻击者似乎将注意力集中在劫持了少数几个OG账户上,其中包括“@6”。
这个推特账号以前的所有者是阿德里安·拉莫(Adrian Lamo),这位现已去世的“无家可归黑客”可能最出名的是侵入了《纽约时报》的网络,并报道了切尔西·曼宁(Chelsea Manning)窃取机密文件的事件。@6现在由拉莫的老朋友控制,他是一名安全研究员和者,在这篇报道中只要求用他在推特上的昵称“Lucky225”来代替其身份。
Lucky225说,就在美国东部时间周三下午2点之前,他通过Google Voice收到了@6 推特账户的密码重置确认码。Lucky225称自己之前已经禁用了短信通知,将其作为从推特接收多因素代码的一种手段,而是选择由移动身份验证应用程序生成一次性代码。但由于攻击者能够更改与@6账户绑定的电子邮件地址,并禁用多因素身份验证,一次性验证码被发送到他的Google Voice账户和攻击者添加的新电子邮件地址。
Lucky225指出:“此次攻击的方式是,在推特的管理工具中,显然你可以更新任何推特用户的电子邮件地址,而且它不会向用户发送任何形式的通知。因此,攻击者可以通过先更新帐户上的电子邮件地址,然后关闭多因素验证来避免被发现。”他说,他仍然无法审查自己的账户在被劫持期间是否发送了任何推文,因为他仍然无法访问。
但大约在同一时间,@6被劫持,另一个OG账户@B也被刷走。然后,有人开始在推特上发布推特内部工具面板上显示@B账户的图片。
被劫持的OG推特账户”@B的屏幕截图显示,劫持者登录到推特的内部账户工具界面
Twitter的回应是删除了其平台上包括其内部工具截图的任何推文,在某些情况下还暂时暂停了这些账户进一步发送推文的能力。
另一个Twitter账号@Shinsi也在推特上发布了推特内部工具的截图。在Twitter终止@Shinsi账号的前几分钟,有人看到其发布了一条推文,称“关注@6”,指的是从Lucky225劫持的账号。
从互联网档案馆(Internet Archive)获得的@Shinsi账号在周三推特受到攻击之前的推文缓存副本显示,@Shinsi声称拥有Instagram上的两个OG账户,即“j0e”和“Dead”。
在美国最大移动运营商从事安全工作的听说,“j0e”和“Dead”的Instagram账户与一个绰号为“PlugWalkJoe”的臭名昭著的SIM交换圈名人有关。调查人员一直在追踪PlugWalkJoe,因为他被认为在多年来参与了多起SIM交换攻击,这些攻击发生在比特币欺诈之前。
现在看看@Shinsi推特账户的另一个Archive.org索引中的个人资料图片。这张图片与上面的@Shinsi截图中包含的一张图片相同,在截图中Joseph/@Shinsi正在推特上发布该公司内部工具的图片。
推特上@Shinsi账号的存档副本显示,乔的一个OG Instagram账号是“Dead”
称,此人是昵称为“ChucklingSquad”的SIM交换者组织的关键参与者,并被认为是去年推特首席执行官杰克·多西(Jack Dorsey)推特账户被劫持事件的幕后黑手。此前有报道称,多西的账户是在攻击者对AT&T进行SIM交换攻击后被劫持的,AT&T是与多西推特账户绑定的手机号码的移动提供商。
推特首席执行官杰克·多西的账户在被劫持时发出了一条推文,向PlugWalkJoe和其他成员喊话
这位移动行业安全称,现实生活中的PlugWalkJoe是个来自英国利物浦的21岁青年,真名叫约瑟夫·詹姆斯·康纳(Joseph James Connor)。PlugWalkJoe目前身在西班牙,今年早些时候之前他一直在那里上大学。此外由于新冠疫情带来的旅行限制,PlugWalkJoe一直无法回家。
这位移动行业表示,PlugWalkJoe是一项调查的对象。在这项调查中,一名女性调查员受雇与PlugWalkJoe展开对话,并说服他同意进行视频聊天。进一步解释说,他们录制的那次聊天的一段视频显示,背景中有一个与众不同的游泳池。
根据同一消息来源,PlugWalkJoe的Instagram账户(instagram.com/j0e)上的照片中的游泳池,与他们在视频聊天中看到的游泳池完全相同。
如果PlugWalkJoe确实是推特黑客袭击事件中的关键人物,那么在一定程度上通过社会工程来确定他的身份或许是合适的。也许我们都应该庆幸这次对推特发动攻击的肇事者没有把目光投向更雄心勃勃的目标,比如扰乱选举或股市,或者试图通过发布来自世界各国领导人的虚假、煽动性的推文来挑起战争。
此外,似乎很明显,这次推特黑客攻击可能会让攻击者查看任何人在推特上的直接消息,这些信息很难定价,但却会引起从民族国家到企业间谍和勒索者等各方的极大兴趣。
