Twitter Hackerları Nasıl Yakalandı, Saldırıyı Nasıl Gerçekleştirdi?
15 Temmuz 2020 tarihinde gerçekleştirilen ve tarihin en büyük twitter dolandırıcılığı olarak bilinen olayla ilgili olarak 17,19 ve 22 yaşlarındaki üç kişi tutuklanmıştı. Mahkeme dokümanlarının yayımlanmasından sonra olay ve faillerin yakalanma süreci ile ilgili detaylar da ortaya çıkmaya başladı.
Olayla ilgili tutuklanan üç kişinin isimleri ve kullandıkları nickname’ler şu şekilde:
Nima Fazeli 22 yaşında nickname, “Rolex”.
Mason Sheppard, 19 yaşında “Chaewon” nickname’i kullanıyor.
Graham Ivan Clark, 17 yaşında nickname, “Kirk”.
Mahkeme dokümanlarına göre saldırı 3 Mayıs 2020 tarihinde başlıyor ve saldırının arkasındaki beyin olarak bilinen 17 yaşındaki Clark Twitter networküne ilk erişimi sağlıyor. 3 Mayıs ile 15 Temmuz arasındaki süreç çok belirgin olmasa da Clark’in ilk yetkisiz Twitter erişiminde, istediği yönetim panellerine ulaşamadığı anlaşılıyor.
New York Times’ın raporuna göre Clark önce şirket içi Slack kanallarından birine erişim sağlıyor. Bu Slack kanalları üzerinden de şirket içi yönetim araçlarından birinin erişim bilgilerine ulaşıyor. Bu yönetim aracının ekran görüntüleri daha önce reddit tarafından yayımlanmıştı.
Fakat bu araca ait erişim bilgilerine ulaşmak, hesapları yönetebilmek için yeterli değildi. Twitter’ın daha önce bir blog yazısında da belirttiği gibi yönetici panellerine erişim için iki faktörlü kimlik doğrulama kullanılıyordu (2FA) ve onun da aşılması gerekecekti. Clark için 2FA adımını aşmasının ne kadar sürdüğü belli değil. Fakat Twitter aynı araştırmada bunun için telefon üzerinden hedef kişilere sosyal mühendislik saldırısı yapılarak yönetim paneline erişimi olan Twitter çalışanlarının kandırıldığı ve 2FA engelinin de bu şekilde aşıldığını belirtiyor.
FBI’ın elde ettiği Discord uygulamasına ait yazışmalarda Clark’ın “Kirk#5270” kullanıcı adı ile önce Discord’da “Rolex#037” kullanıcı adını kullanan Fazeli ve “anxious#0001” kullanıcı adını kullanan Sheppard ile irtibata geçip kendini Twitter çalışanı olarak tanıttığı ve herhangi bir twitter hesabına ücret karşılığı erişim verebileceği konsunda Fazeli ve Sheppard’ı ikna ettiği görülüyor. Clark’ın ikna ettiği kullanıcılardan Fazeli, OGUsers isimli sosyal medya hesaplarının satıldığı forum sitesi üzerinden bir duyuru yaparak Clark’ın sağladığı Twitter hesaplarının satılması imkanını sağlıyor.
Clark’ın ilanının forumlarda yayımlanmasından sonra birçok kişinin bu hesap erişimlerini satın aldığı düşünülüyor.
Yetkililerin açıklamasına göre 15 Temmuz günü yapılan saldırıda kullanılan Barrack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Apple, Uber, Kanye West, Kim Kardashian, Floyd Mayweather, Michael Bloomberg gibi ünlülere ait hesaplar da forum üzerinden satın alınan hesaplar arasında.
Saldırganların izlerinin sürülmesi
Saldırganların yakalanması sürecinde FBI, Discord uygulamasında yapılan konuşma kayıtları, daha önce Nisan ayında hacklenen ve veritabanı sızdırılan OGUsers formuna ait veritabanı kayıtları ve Coinbase’den alınan bitcoin adreslerinden gelen verileri birleştirip iz sürerek saldırganların kimliklerini tespit etmeyi başardı.
Saldırganların kimliklerini gizlemek konusunda gözden kaçırdıkları bazı noktalar da yakalanmalarını kolaylaştırdı. Örnek olarak Fazali’nin Discord kullanıcı adı ile OGUsers kullanıcı adı birbiri ile bağlantılıydı. Fazali buna ilave olarak @foreign isimli Twitter hesabını hacklemek için kullandığı mail adresi ile OGUsers forumunda kullandığı mail adreslerini Coinbase hesabı açmak için de kullandı. Coinbase hesap doğrulaması için de sürücü belgesinde bulunan fotoğrafı kullanınca kimliği deşifre oldu. Bütün bunların üzerine Fazali, Discord, Coinbase ve OGUsers hesaplarına erişim için kendi evindeki bağlantıyı kullanınca kendi evine ait ip adres bilgilerini de bu servislerin sunucu loglarına bırakmış oldu ve yakalanması kolaylaştı.
Sheppard isimli saldırganın da Fazili gibi Discord ve OGUsers kullanıcı adları saldırı günü kullanılan bitcoin hesabının hareketleri takip edilerek eşleştirilebildi. Sheppard’da bitcoin hesabını doğrulama için sürücü belgesini kullandığı için kimliği açığa çıkmış oldu.
Saldırının arkasındaki beyin olarak nitelendirilen ve Discord’da “Kirk#5270” kullanıcı adını kullanan Clark’in kimliği direk Discord üzerinden deşifre edilemese de farklı bilgiler değerlendirilerek adres ve kimlik tespiti yapılıp yakalanması sağlandı.