As notícias das acusações foram divulgadas logo após o Twitter revelar que os hackers obtiveram acesso aos seus sistemas e ferramentas internos, que mais tarde usavam para controlar dezenas de contas de alto perfil, usando spear-phishing por telefone . Os hackers direcionaram 130 contas, mas redefiniram as senhas de apenas 45 delas, muitas das quais foram usadas para postar tweets que faziam parte de uma fraude de bitcoin .
O Departamento de Justiça dos EUA anunciou na sexta-feira que acusou Nima Fazeli de 22 anos (também conhecida como Rolex, Rolex # 0373 e Nim F) de Orlando, Flórida, o pedreiro John Sheppard de 19 anos (também conhecido como Chaewon e “sempre ansioso # 001 ”) do Reino Unido e Graham Ivan Clark, 17 anos (aka Kirk # 5270), de Tampa, Flórida.
Acredita-se que Clark seja o mentor da operação – ele foi quem supostamente invadiu os sistemas do Twitter. Acredita-se que Fazeli e Sheppard o tenham ajudado a vender o acesso às contas do Twitter.
De acordo com documentos judiciais , um usuário com o apelido online Kirk # 5270 no serviço de bate-papo Discord alegou trabalhar no Twitter e se ofereceu para fornecer acesso a qualquer conta de usuário. Foi assim que ele conheceu Rolex e Chaewon , que o ajudaram a vender o acesso às contas do Twitter, inclusive no fórum de hackers OGUsers.com, especializado no comércio de mídias sociais e outras contas online.
No caso de Fazeli, o FBI encontrou informações em sua conta OGUsers em um banco de dados que vazou no início deste ano após a violação do site do hacker. Os investigadores perceberam que um endereço de e-mail fornecido pela Rolex para Kirk no Discord era o mesmo que o compartilhado pelo usuário Rolex para pagamentos por PayPal nos OGUsers.
O FBI procurou a Coinbase para obter informações sobre um endereço de bitcoin compartilhado pela Rolex no fórum OGUsers. Os registros da Coinbase mostraram que o endereço recebia fundos de um usuário chamado Nim F, que havia sido registrado com um endereço de e-mail que também era usado para registrar a conta Rolex nos OGUsers.
Para registrar a conta Nim F no Coinbase, o usuário precisou fornecer um ID para verificação e forneceu uma carteira de motorista com o nome Nima Fazeli.
Uma das contas da Coinbase registradas por Fazeli fez cerca de 1.900 transações, totalizando aproximadamente 21 bitcoin (no valor de US$ 230.000).
A investigação mostrou que Fazeli aparentemente acessou as contas Discord e Coinbase usando os mesmos endereços IP, que apontavam para locais na Flórida.
No caso de Sheppard, que também ajudou Clark a vender o acesso às contas do Twitter, ele usou os apelidos online Chaewon e Mas nos OGUsers e “sempre tão ansioso # 0001” no Discord.
Conta Coinbase associada
Uma análise dos registros vazados do OGUser levou à descoberta de um endereço de email que também estava associado a uma conta Coinbase. As informações obtidas da Coinbase mostraram que a conta pertencia a um Mason Sheppard, uma conta que foi verificada usando uma carteira de motorista em nome Mason John Sheppard do Reino Unido. A carteira de motorista listou o endereço de Sheppard e a data de nascimento.
Embora não esteja claro exatamente o que levou os investigadores a Clark, não seria surpreendente saber que eles também fizeram a conexão, pelo menos em parte, através da análise de contas de criptomoeda e dos endereços de email que ele usou em vários sites. Os documentos do tribunal revelaram que Clark e Sheppard discutiram se entregar após a invasão do Twitter, de acordo com o que Clark disse aos investigadores durante a entrevista.
Um juiz fixou a fiança de Clark em US$ 725.000 no sábado. Aparentemente, ele admitiu ter mais de US$ 3 milhões em bitcoin, mas seu advogado alegou que não foi obtido ilegalmente.
David Anderson, advogado do distrito norte da Califórnia, disse que Sheppard enfrenta 45 anos de prisão pelas acusações feitas contra ele, enquanto Fazeli enfrenta uma pena máxima legal de 5 anos de prisão.
Traduzido e adaptado: securityweek.com
