Hacker 20 tuổi chia sẻ cách tấn công hàng loạt tài khoản Twitter nổi tiếng

Hacker 20 tuổi kể chuyện tấn công Twitter

Vụ xâm nhập tài khoản Twitter của hàng loạt người nổi tiếng bắt đầu từ một tin nhắn khiêu khích giữa hai hacker trên nền tảng Discord.

"Này anh bạn. Tôi làm việc ở Twitter, đừng cho ai xem cái này, thật đấy", tài khoản có tên Kirk viết trong tin nhắn. Anh này sau đó chứng minh mình có thể kiểm soát tài khoản Twitter của những người nổi tiếng, điều chỉ thực hiện nếu có quyền tiếp cận hệ thống máy tính nội bộ của tập đoàn này.

Hacker nhận tin nhắn, có biệt danh là "lol", nghĩ Kirk không thực sự làm việc tại Twitter vì hành động trên gây hại cho chính tổ chức Kirk đang làm việc. Tuy nhiên, Kirk rõ ràng có quyền tiếp cận các công cụ nhạy cảm nhất của mạng xã hội này, cho phép anh ta kiểm soát gần như mọi tài khoản, kể cả của cựu tổng thống Mỹ Barack Obama, ứng viên tổng thống đảng Dân chủ Joe Biden, tỷ phú Elon Musk và nhiều người nổi tiếng khác.

Trụ sở Twitter tại thành phố San Francisco.

Chi tiết về cuộc tấn công, như thủ phạm và cách thức xâm nhập, vẫn là một bí ẩn. Giới chức Mỹ vẫn đang trong giai đoạn đầu của cuộc điều tra và chưa có kết luận cụ thể. Dù vậy, bốn người tham gia vụ tấn công đã tiết lộ nhiều đoạn chat và ảnh chụp màn hình, cho thấy vai trò của họ trước và sau khi vụ hack tài khoản được công khai. Họ được xác nhận liên quan sau khi trưng số ví Bitcoin trùng khớp với thông điệp trên loạt tài khoản bị xâm nhập.

Thông tin cho thấy vụ tấn công không được thực hiện bởi chính phủ nước ngoài hay một nhóm hacker đông đảo. Nó là "tác phẩm" của một nhóm thanh niên quen nhau qua mạng và có chung sở thích giành những tên tài khoản khác người như @y hoặc @6.

Kirk đóng vai trò trung tâm trong vụ tấn công, đảm nhận việc lấy tiền từ tài khoản Bitcoin, theo phân tích của công ty nghiên cứu tiền ảo Chainalysis.

Danh tính, động cơ và lý do Kirk chia sẻ quyền tiếp cận hệ thống Twitter vẫn là bí ẩn với ngay cả những đồng phạm. Hiện chưa rõ Kirk đã tận dụng khả năng xâm nhập đến mức nào, và liệu các tin nhắn riêng tư của người nổi tiếng có rơi vào tay hacker này hay không.

Hai hacker "lol" và "ever so anxious" lên tiếng để chứng tỏ họ chỉ giành quyền kiểm soát một số tài khoản Twitter ít người biết. Cả hai đã cắt đứt liên hệ với Kirk khi người này bắt đầu xâm nhập những tài khoản nổi tiếng hôm 15/7.

"Tôi muốn chia sẻ câu chuyện để làm rõ một số thông tin về chúng tôi", hacker "lol" cho biết. Anh ta không tiết lộ danh tính nhưng ám chỉ mình sống ở bờ biển phía tây nước Mỹ và ngoài 20 tuổi, trong khi "ever so anxious" mới 19 tuổi và đang sống ở miền nam nước Anh với mẹ đẻ.

Các nhà điều tra cho biết nhiều thông tin do nhóm hacker cung cấp trùng khớp với những gì họ đã tìm hiểu được, bao gồm cả vai trò của Kirk trong loạt vụ tấn công tài khoản người nổi tiếng.

New York Times liên hệ được với "lol" và "ever so anxious" qua nhà nghiên cứu an ninh mạng Haseeb Awan ở bang California. Ông cho biết nhóm hacker từng nhắm vào mình và công ty trong lĩnh vực Bitcoin mà ông từng sở hữu. Họ cũng gặp thất bại khi định xâm nhập Efani, công ty cung cấp điện thoại an ninh do Awan vận hành.

Kirk không có tiếng tăm trong giới hacker trước vụ tấn công. Tài khoản Discord của người này mới chỉ được tạo hôm 7/7. Nhưng "lol" và "ever so anxious" đã gây dựng danh tiếng trên trang OGusers, nơi các hacker mua bán tên tài khoản có giá trị cao trên mạng xã hội từ nhiều năm nay.

Kirk liên lạc với "lol" và "ever so anxious" trong ngày 14/7 và15/7, đề nghị họ làm trung gian để rao bán các tài khoản Twitter trên OGusers. Cả hai sẽ được nhận hoa hồng sau mỗi giao dịch.

Một trong những giao dịch đầu tiên chứng kiến "lol" đạt thỏa thuận bán tên tài khoản @y trên Twitter với giá 1.500 USD. Số tiền này chuyển vào ví Bitcoin được Kirk dùng trong vụ tấn công tài khoản người nổi tiếng sau đó. Họ cũng đăng quảng cáo bán tên người dùng Twitter để đổi lấy Bitcoin.

"Tôi thấy thật thú vị khi sở hữu username mà người khác muốn", hacker "ever so anxious" cho biết.

Một tài khoản bị Kirk chiếm quyền kiểm soát.

Sáng 15/7, ngày càng có nhiều khách hàng và mức giá đề xuất của Kirk liên tục gia tăng. Anh ta thể hiện quyền tiếp cận hệ thống Twitter, bao gồm nhanh chóng thay đổi tùy chọn an ninh ở các tài khoản bất kỳ và đăng ảnh chụp giao diện nội bộ của Twitter.

Nhóm hacker bán được hàng loạt tên tài khoản như @dark, @w, @l, @50 và @vague. Một trong những người mua là PlugWalkJoe, hacker có tiếng trong lĩnh vực mua bán tên tài khoản. Các cuộc trao đổi trên Discord cho thấy người này có mua cái tên @6 qua "ever so anxious", nhưng không tham gia vào vụ tấn công.

"Tôi không quan tâm. Họ có thể bắt tôi và tôi vẫn cười nhạo họ. Tôi không làm gì cả", PlugWalkJoe, tên thật là Joseph O'Connor, công dân Anh 21 tuổi đang sống tại Tây Ban Nha, cho biết trong một cuộc phỏng vấn.

O'Connor nói các hacker khác thông báo vụ Kirk truy cập được hệ thống Twitter thông qua kênh nhắn tin nội bộ Slack, cùng dịch vụ cho phép người này xâm nhập máy chủ Twitter. Các nhà điều tra cho biết thông tin tương đồng với những gì họ thu được, trong khi phát ngôn viên Twitter từ chối bình luận.

Mọi giao dịch liên quan đến "lol" và "ever so anxious" diễn ra trước khi thế giới biết tới vụ tấn công. Không lâu sau đó, các dòng tweet từ những công ty tiền ảo lớn nhất thế giới như Coinbase bắt đầu kêu gọi đóng góp Bitcoin cho trang Cryptoforhealth.

"Chúng ta vừa tập kích cb", Kirk gửi tin nhắn cho "lol" chỉ một phút sau khi chiếm quyền kiểm soát Twitter của Coinbase. Ví Bitcoin dùng để thành lập trang Cryptoforhealth cũng là ví được Kirk sử dụng suốt ngày 15/7, ba nhà điều tra giấu tên cho biết.

Kirk nhanh chóng đẩy mạnh vụ tấn công, nhằm vào tài khoản của những người nổi tiếng như rapper Kanye West và tỷ phú Jeff Bezos, kêu gọi người dùng Twitter gửi Bitcoin vào một tài khoản nhất định và nhận lại số tiền gấp đôi.

Gần 3 tiếng sau, Twitter dường như đã đuổi kịp kẻ tấn công và các thông điệp đề nghị chuyển Bitcoin chấm dứt. Tuy nhiên, họ cũng phải chặn quyền truy cập của lượng lớn người dùng và vẫn chưa xác định được chuyện gì xảy ra sau nhiều ngày.

Twitter cho biết hacker đã tấn công 130 tài khoản và đăng thông báo từ 45 trong số đó. Họ đã tải được dữ liệu từ 8 tài khoản. "Chúng tôi hiểu rõ trách nhiệm của mình với người dùng và cộng đồng. Chúng tôi rất xấu hổ, thất vọng và hơn hết là rất lấy làm tiếc", bài viết trên blog của Twitter có đoạn.

Hacker "ever so anxious" phát hiện tình hình sau đó vài tiếng và gửi thông điệp đầy thất vọng đến "lol". "Tôi không buồn, mà khó chịu nhiều hơn. Anh ta chỉ lấy được 20 bitcoin", hacker này cho biết.

Số tiền trên tương đương 180.000 USD. Kirk đã cắt liên lạc với những người trung gian và biến mất ngay sau đó.