Mọi thứ bắt đầu bằng tin nhắn giữa 2 hacker trên Discord tối 14/7.
"Này anh bạn", người dùng tên Kirk mở đầu cuộc trò chuyện.
"Tôi làm ở Twitter. Đừng đưa tin nhắn này cho ai nhé. Nghiêm túc đấy".
Sau đó, người này chứng minh khả năng kiểm soát các tài khoản Twitter giá trị - hành động chỉ thực hiện được khi bạn có quyền truy cập vào mạng nội bộ của Twitter.
Hacker nhận tin nhắn ấy (tên người dùng là lol) lúc đầu cho rằng Kirk không phải nhân viên Twitter bởi anh ta quá hứng thú với việc đánh sập Twitter.
Tuy nhiên, những gì diễn ra trên màn hình cho thấy Kirk có thể truy cập công cụ nhạy cảm nhất của Twitter để điều khiển tài khoản của Barack Obama, Joe Biden, Elon Musk và hàng loạt nhân vật nổi tiếng.
Vụ tấn công có sự tham gia của những chàng trai trẻ, không phải quốc gia hay nhóm hacker khét tiếng nào. Ảnh: New York Times. |
Những hacker 20 tuổi tham gia tấn công Twitter
3 trong số 4 người liên quan đến vụ hack đã đồng ý chia sẻ câu chuyện với New York Times, gồm ảnh chụp màn hình các tin nhắn mà họ trao đổi trong ngày 14/7 và 15/7.
Có thể khẳng định vụ hack không được thực hiện bởi các nhóm tin tặc khét tiếng hoặc một quốc gia, thay vào đó là những chàng thanh niên còn rất trẻ (một người đang sống ở nhà với mẹ). Họ biết đến nhau vì cùng có mơ ước sở hữu các nickname độc lạ trên Internet, thường chỉ có một chữ cái hoặc con số (như @y hoặc @6).
New York Times xác nhận họ là những người liên quan đến vụ hack sau khi đối chiếu tài khoản mạng xã hội và ví tiền điện tử với mã số ví hiện trên những đoạn tweet.
Kirk được xem là nhân tố quan trọng nhất, người đã nạp và rút tiền khỏi ví tiền điện tử. Dù vậy, thông tin cá nhân và động cơ tấn công chính xác của Kirk vẫn là điều bí ẩn. Chưa rõ ngoài các tweet lừa nạp tiền, Kirk còn sử dụng các tài khoản bị hack (của Joe Bden, Barack Obama...) để ăn cắp thông tin hay chia sẻ cho người khác hay không.
lol và một người khác (tên hiển thị là ever so anxious) nói rằng họ chỉ liên quan đến một số tài khoản Twitter khi cuộc tấn công diễn ra sáng sớm 15/7 (giờ địa phương), và không còn liên lạc khi Kirk tấn công các tài khoản nổi tiếng vào khoảng 3h30 chiều cùng ngày.
Chia sẻ một chút về bản thân, lol nói rằng anh khoảng 20 tuổi, sống ở bờ Tây nước Mỹ còn ever so anxious mới 19 tuổi, sống tại phía Nam nước Anh với mẹ.
Nhiều chính trị gia, công ty và người nổi tiếng bị hack Twitter vào chiều 15/7 (giờ Mỹ). Ảnh: NDTV Gadgets. |
Mục đích ban đầu của vụ hack là gì?
Thông tin được chia sẻ bởi lol và ever so anxious trùng khớp kết quả điều tra trước đó nói rằng Kirk có liên quan đến 2 vụ tấn công, một vụ nhắm vào các tài khoản nổi tiếng vào cuối ngày và một vụ nhắm đến tài khoản ít nổi tiếng hơn vào đầu ngày.
Cái tên Kirk dường như không có tiếng tăm trong giới hacker. Tài khoản của người này trên Discord chỉ mới tạo vào ngày 7/7. Trong khi đó, lol và ever so anxious được biết đến khá nhiều trên OGusers.com, website mua bán tài khoản mạng xã hội có nickname giá trị.
Đoạn tin nhắn giữa Kirk và ever so anxious về một giao dịch bán nickname Twitter quý giá. Ảnh: New York Times. |
Đối với game thủ, người dùng mạng xã hội (như Twitter) và hacker, những nickname chỉ có một chữ cái, một từ hoặc một con số được săn lùng rất nhiều. Chúng được đăng ký bởi những người tham gia mạng xã hội từ rất sớm, còn gọi là "original gangsters" (OG).
Một số người tham gia mạng xã hội trễ rất muốn sở hữu những nickname ấy, sẵn sàng trả hàng nghìn USD để hacker ăn cắp chúng.
Kirk đã kết nối với lol trong tối 14/7 và ever so anxious trên Discord từ sáng 15/7 để làm trung gian mua bán những tài khoản Twitter do Kirk đánh cắp và sẽ được chia hoa hồng.
Một trong những giao dịch, lol đã bán tài khoản Twitter có nickname @y với giá 1.500 USD (đổi ra Bitcoin). Số tiền được chuyển vào cùng địa chỉ ví mà Kirk đưa lên các tweet lừa đảo. Riêng ever so anxious cũng có được @anxious, nickname mà anh mơ ước từ bấy lâu nay.
Sáng 15/7, khách liên lạc mua nickname nhiều khiến Kirk muốn trò chơi của mình vui hơn.
Kirk gửi ảnh màn hình giao diện nội bộ của Twitter để chứng minh quyền truy cập của mình. Nhóm 4 người của Kirk đã bán các tài khoản với nickname @dark, @w, @l, @50, @vague và một số tài khoản khác.
Một trong những khách hàng của Kirk cũng là hacker nổi tiếng trong giới buôn bán nickname quý có tên PlugWalkJoe. Tin nhắn trên Discord cho thấy PlugWalkJoe đã mua được tài khoản Twitter @6 từ ever so anxious. Anh chia sẻ tên thật là Joseph O’Connor, nằm trong tiệm massage gần nhà riêng tại Tây Ban Nha khi vụ hack diễn ra.
Ngày 16/7, nhà báo trong lĩnh vực bảo mật, Brian Krebs đăng bài viết tố O’Connor là nhân vật chủ chốt trong vụ hack, nhưng anh tỏ ra không đoái hoài.
"Họ cứ đến bắt tôi để tôi cười vào mặt. Tôi chẳng làm gì cả", O’Connor chia sẻ.
Tài khoản Twitter có tên @R9 được Kirk giao cho khách hàng sau khi đánh cắp. Ảnh: New York Times. |
Mọi thứ diễn ra trong vài tiếng
Tất cả giao dịch mua bán nickname do lol và ever so anxious chịu trách nhiệm diễn ra trước vụ hack khiến cả thế giới biết đến lúc 3h30 chiều 15/7 (giờ Mỹ). Trước thời điểm ấy, Twitter của hàng loạt công ty tiền điện tử đã đăng bài viết kêu gọi quyên góp tiền Bitcoin cho website cryptoforhealth.com.
"Chúng ta vừa tấn công vào cb (Coinbase)", Kirk nhắn cho lol một phút trước khi chiếm quyền truy cập Twitter của công ty này.
Còn với ever so anxious, các tin nhắn trong sáng 15/7 cho thấy anh rất buồn ngủ. Trước khi vụ tấn công lớn diễn ra, ever so anxious nhắn tin cho bạn gái "ngủ trưa đây" rồi lặn khỏi Discord.
Từ 3h30 chiều trở đi, Kirk nhanh chóng chiếm quyền truy cập Twitter của các nhân vật nổi tiếng, từ ca sĩ Kayne West đến các CEO công nghệ như Jeff Bezos. Tất cả đăng tweet với nội dung lừa công chúng tham lam chuyển tiền Bitcoin đến một địa chỉ ví để nhận lại gấp đôi.
Kirk là nhân vật chủ chốt trong vụ tấn công loạt tài khoản Twitter người nổi tiếng. Ảnh: The New Daily. |
Đến 6h chiều, Twitter đã biết chuyện gì xảy ra nên không có tweet nào xuất hiện nữa. Tuy nhiên công ty phải tắt quyền truy cập của một số người dùng, sau đó mở cuộc điều tra.
Trên trang blog chính thức, Twitter nói rằng kẻ tấn công nhắm đến 130 tài khoản, truy cập thành công 45, riêng 8 tài khoản có thể đã bị ăn cắp dữ liệu.
Khi thức dậy vào 2h30 sáng hôm sau, ever so anxious mới biết chuyện gì xảy ra. Anh nhắn tin cho lol tỏ vẻ thất vọng.
"Tôi không buồn nữa đâu, nhưng anh ta (Kirk) đã kiếm được 20 Bitcoin", ever so anxious nói rằng số tiền Bitcoin mà Kirk kiếm được từ vụ tấn công tương đương 180.000 USD.
Còn bản thân Kirk, người rủ rê lol và ever so anxious tham gia vụ tấn công (ở giai đoạn đầu), biến mất không dấu vết. Ngay cả Twitter cũng không thể biết được đó có phải là cựu nhân viên của mình hay không, hay vẫn còn lẩn trốn đâu đó trong nội bộ.