L’abilità di Nixon nel guardare avanti in questo modo gli è stata molto utile per tutta la sua carriera. In molte occasioni un hacker o un gruppo di hacker attirerà la sua attenzione – ad esempio, per aver utilizzato un nuovo approccio di hacking in qualche piccola operazione – e lei inizierà a monitorare i loro post e le loro chat online con la convinzione che alla fine riusciranno a fare qualcosa di importante con quella capacità.
Di solito lo facevano. Quando in seguito hanno fatto notizia con qualche operazione appariscente o impressionante, ad altri è sembrato che questi hacker fossero apparsi dal nulla, mandando ricercatori e forze dell’ordine a cercare di capire chi fossero. Ma Nixon aveva già compilato un dossier su di loro e, in alcuni casi, aveva addirittura svelato la loro vera identità. La Lizard Squad ne è un esempio. Il gruppo è venuto alla ribalta con una serie di campagne DDoS di alto profilo nel 2014 e nel 2015, ma Nixon e i suoi colleghi nel posto di lavoro in cui lavorava all’epoca ne osservavano già da tempo i membri come individui. Quindi l’FBI ha chiesto il suo aiuto per identificarlo.
“Il problema di questi giovani hacker è che… vanno avanti finché non vengono arrestati, ma ci vogliono anni prima che vengano arrestati”, dice. “Quindi un aspetto importante della mia carriera si basa semplicemente su queste informazioni su cui non è stato (ancora) dato seguito.”
Fu durante gli anni della Lizard Squad che Nixon iniziò a sviluppare strumenti per acquisire e registrare le comunicazioni degli hacker online, anche se ci vollero diversi anni prima che iniziasse a utilizzare questi concetti per acquisire chatroom e forum COM. Questi canali contenevano dati abbondanti che potrebbero non sembrare utili durante la fase iniziale della carriera di un hacker, ma potrebbero rivelarsi importanti in seguito, quando le forze dell’ordine si preparano a indagare su di essi; Tuttavia c’era sempre il rischio che i contenuti venissero rimossi dai membri di com o dalle forze dell’ordine che sequestravano siti web e canali di chat.
Il lavoro di Nixon è unico perché interagisce con gli attori negli spazi di chat per ottenere da loro informazioni che “non sarebbero altrimenti normalmente disponibili”.
Nel corso degli anni, ha esplorato e preservato ogni chatroom su cui ha indagato. Ma è stato solo all’inizio del 2020, quando si è unita all’Unità 221B, che ha avuto la possibilità di esplorare i canali Telegram e Discord di Com. Ha aggregato tutti questi dati in una piattaforma ricercabile che altri ricercatori e forze dell’ordine potevano utilizzare. L’azienda ha assunto due ex hacker per contribuire a costruire gli strumenti di scraping e l’infrastruttura per questo lavoro; Il risultato è eWitness, una piattaforma guidata dalla comunità e solo su invito. Inizialmente è stato combinato solo con i dati raccolti da Nixon dopo essere arrivato nell’Unità 221B, ma da allora è stato arricchito con dati che anche altri utenti della piattaforma hanno rimosso dallo spazio sociale Com, alcuni dei quali non esistono più nei forum pubblici.
Brogan dell’FBI afferma che si tratta di uno strumento incredibilmente prezioso, creato con il contributo di Nixon. Anche altre società di sicurezza esplorano gli spazi criminali online, ma raramente condividono il materiale con estranei, e Brogan afferma che il lavoro di Nixon è unico perché si connette con gli attori negli spazi di chat per ottenere da loro informazioni che “non sarebbero altrimenti normalmente disponibili”.
Il progetto di conservazione che ha iniziato quando è arrivata all’Unità 221B non avrebbe potuto essere al momento migliore, poiché coincideva con la pandemia, un’impennata di nuovi abbonati COM e l’emergere di due rami COM in difficoltà, CVLT e 764. Non appena questi gruppi sono apparsi per la prima volta, è stata in grado di catturare le loro chat; Questo contenuto è andato offline dopo che le forze dell’ordine hanno arrestato i leader dei gruppi e preso il controllo dei server su cui venivano pubblicate le loro chat.
Secondo quanto riferito, CVLT – pronunciato “setta” – è stato fondato intorno al 2019 con un focus sulla sextortion e sul materiale pedopornografico. 764 è emerso dal CVLT ed è stato introdotto da un ragazzo di 15 anni in Texas di nome Bradley Cadenhead, che lo ha chiamato in onore delle prime cifre del suo codice postale. Il suo focus era l’estremismo e la violenza.
