Câu chuyện về hacker từng đánh sập internet của cả một quốc gia

SkylerNew

Chuyên viên tin tức
Thành viên BQT
Câu chuyện của Kaye cho thấy sức tàn phá của một cuộc tấn công mạng có thể khủng khiếp đến mức nào và hối thúc cộng đồng an ninh mạng tìm cách đối phó với nó.

Đó là vào tháng 10 năm 2016, hơn nửa triệu camera an ninh trên toàn thế giới đồng loạt kết nối tới một vài máy chủ đang được sử dụng bởi Lonestar Cell MTN, một nhà mạng di động tại Liberia, châu Phi. Không lâu sau đó, hệ thống mạng của Lonestar bị tràn ngập và quá tải. Việc truy cập internet của 1,5 triệu khách hàng thuộc nhà mạng này bị chậm đi và cuối cùng dừng hẳn.

Kỹ thuật được sử dụng trong cuộc tấn công này là DDoS, hay tấn công từ chối dịch vụ phân tán. Đơn giản nhưng hiệu quả, một cuộc tấn công DDoS sử dụng một đội quân các cỗ máy bị xâm nhập và điều khiển, còn gọi là botnet, để đồng thời kết nối tới một điểm trực tuyến duy nhất.

Đối với riêng Liberia, một trong những quốc gia nghèo nhất Châu Phi, mạng botnet này là một trong những mạng botnet lớn nhất mà họ từng phải đối đầu. Trong khi phần lớn các cuộc tấn công DDoS chỉ kéo dài trong giây lát, cuộc tấn công vào Lonestar diễn ra trong suốt nhiều ngày.



Và do cuộc nội chiến kết thúc vào năm 2003, Liberia hoàn toàn không có đường dây điện thoại cố định, một nửa quốc gia này đã bị cắt đứt khỏi các dịch vụ như giao dịch ngân hàng trực tuyến, nông dân không thể gọi điện để hỏi giá nông sản, và sinh viên cũng không thể tra cứu Google. Tại thủ đô Monrovia, bệnh viện lớn nhất của họ cũng mất kết nối trong suốt một tuần. Các chuyên gia bệnh truyền nhiễm đang phải đối phó với việc bùng phát dịch Ebola mà không thể liên lạc với các cơ quan chăm sóc sức khỏe quốc tế khác.

Không lâu sau đó, cuộc tấn công bắt đầu lan rộng.

Đến ngày 27 tháng 11, hãng viễn thông Deutsche Telekom AG của Đức bắt đầu nhận được hàng chục nghìn cuộc gọi từ các khách hàng đang giận dữ vì dịch vụ internet của họ bị sập. Thậm chí, hệ thống máy tính trong một nhà máy nước đã mất kết nối và họ phải cho một kỹ thuật viên xuống kiểm tra thủ công từng máy bơm.



Đến lúc này, Deutsche Telekom phát hiện ra một mạng botnet khổng lồ, tương tự như cuộc tấn công ở Liberia, đang làm hỏng các router của họ. Công ty nhanh chóng triển khai một phần mềm sửa lỗi chỉ trong vài ngày, nhưng quy mô khủng khiếp của cuộc tấn công khiến cho một nhà nghiên cứu bảo mật cho rằng đây là hành động của Nga hoặc Trung Quốc.

Cho đến khi mạng botnet này hạ gục hàng chục website của hai ngân hàng Anh, Cơ quan chống Tội phạm Anh, cùng BKA (Văn phòng Cảnh sát Tội phạm Liên bang) của Đức, với sự hỗ trợ từ FBI của Mỹ đã bắt tay vào điều tra vụ việc. Cảnh sát Đức phát hiện ra một username, có liên hệ đến một email và một tài khoản Skype, cũng như trang Facebook thuộc về một người tên Daniel Kaye, công dân Anh 29 tuổi, người lớn lên tại Israel và tự xem mình như một nhà nghiên cứu bảo mật tự do.

Sáng ngày 22 tháng Hai năm 2017, Kaye bị cảnh sát Anh bắt khi đang làm thủ tục tại sân bay Luton Airport của London để chuẩn bị bay sang đảo Síp. Khám người anh ta, cảnh sát phát hiện một cọc những tờ 100 USD với trị giá khoảng 10.000 USD được giấu trong người anh ta. Thế nhưng khác với dự đoán của nhiều người, đây không phải là một điệp viên của Nga hay một tên trùm tội phạm.



Cáo trạng của tòa án cùng các báo cáo của cảnh sát về những cuộc thẩm vấn Kaye cho thấy, Kaye chỉ là một tên lính đánh thuê và là một kẻ yếu đuối với tiền sử bệnh tiểu đường nặng.



Sinh ra ở London, nhưng từ năm 6 tuổi Kaye đã theo mẹ chuyển tới Israel sau khi bố mẹ ly dị. Đến năm 14 tuổi, việc bị chuẩn đoán tiểu đường càng làm Kaye hạn chế tiếp xúc với thế giới bên ngoài, thế nhưng cậu thanh niên đã tìm thấy một thế giới khác rộng lớn hơn trên internet.

Cậu tự mình học code, tự mình ngấu nghiến các bài tập mình tìm được, và thường xuyên tham gia vào các diễn đàn web về khả năng khai thác các lỗ hổng bảo mật với nickname "spy[d]ir". Năm 2002 xuất hiện chiến tích đầu tiên của spy[d]ir với ảnh chụp màn hình cho thấy website của một công ty kỹ thuật tại Ai Cập bị deface với dòng chữ: "Hacked by spy[d]ir! LOL! This was too Easy." Trong 4 năm sau đó, hàng loạt website khu vực Trung Đông đều gặp những cuộc tấn công tương tự như vậy.



Cũng vào thời điểm này, Kaye tốt nghiệp trung học và quyết định bỏ học đại học để chọn con đường lập trình freelance. Là một người thông minh nhưng lại dễ chán nản, Kaye dường như không phù hợp với đời sống doanh nghiệp như bao nhân viên bình thường khác. Thường lúng túng khi tiếp xúc với người khác, cách trả lời câu hỏi của Kaye cũng làm anh ta trông có vẻ như đang giấu diếm điều gì đó.

Thậm chí vào năm 2011, Kaye đã từng vào đến vòng phỏng vấn cuối cùng của một công ty an ninh mạng lớn, RSA Security LLC, nhưng sau đó lại bị từ chối do những lo ngại từ phòng nhân sự. Vào độ tuổi 20, đó là thời điểm Kaye tập trung hoàn toàn cho việc làm tự do với các khách hàng cá nhân, những người biết anh ta qua các diễn đàn hack hoặc qua truyền miệng.

Không lâu sau đó, đến năm 2012, anh chuyển tới London cùng người bạn gái mà anh mới cầu hôn. Là một cựu quản trị của trường đại học, cô muốn tiếp tục theo đuổi sự nghiệp của mình tại Anh, còn Kaye thì muốn một khởi đầu mới.





Đến năm 2014, Kaye nghe được từ một người bạn về một doanh nhân đang chào mời một công việc tự do cho người thành thạo về kỹ thuật hack tại Israel. Người bạn này giới thiệu Kaye với một doanh nhân thành đạt tên Avi đang có nhu cầu tìm kiếm sự trợ giúp về an ninh mạng. Lúc đó doanh nhân này đang có công việc kinh doanh tại Liberia – và câu chuyện bắt đầu.

Vị doanh nhân Avi này, hay Avishai "Avi" Marziano, lúc đó đang là CEO của Cellcom, nhà mạng viễn thông lớn thứ hai Liberia. Được thành lập vào năm 2004, nhà mạng này đã tăng trưởng bùng nổ trong nhiều năm nhờ hàng loạt các chiến dịch quảng bá mạnh mẽ, như tặng xe máy cho người trúng thưởng, tài trợ các cuộc thi hoa hậu, cũng như liên tục công kích đối thủ số một của họ - nhà mạng Lonestar – trong các đoạn phim quảng cáo.

Nhưng bất chấp các nỗ lực đó, thị phần của Cellcom vẫn chỉ dậm chân ở vị trí số hai tại thị trường Liberia. Dù hoạt động kinh doanh thu hẹp trong năm 2014 do dịch Ebola, nhưng CEO của Cellcom tuyên bố, giai đoạn phát triển đã qua, giờ là lúc lên ngôi thống trị. Kế hoạch của ông ta bắt đầu bằng việc gặp gỡ Kaye. Khi không thể đánh bại đối thủ trên thương trường, ông ta sẽ dùng một cách khác để hạ gục họ.



Một trong những nhiệm vụ đầu tiên của Kaye là bảo toàn cho hệ thống cho một công ty chị em của Cellcom tại nước láng giềng Guinea. Bằng công cụ của mình, Kaye mã hóa toàn bộ dữ liệu của Cellcom để bảo vệ nó trước các biến động chính trị. Nhờ vậy, Kaye được Marziano trả 50.000 USD cùng hàng nghìn USD tiền thưởng cho mỗi bài kiểm tra. Nhưng nhiệm vụ tiếp theo lại không nhân từ như vậy.

Marziano ra lệnh cho Kaye hack vào hệ thống mạng của Lonestar để tìm kiếm bằng chứng về hối lộ hoặc các hoạt động phi pháp khác. Chẳng tìm được điều gì bất thường trong hệ thống của Lonestar, Kaye tải xuống toàn bộ cơ sở dữ liệu khách hàng của nhà mạng này và gửi nó cho Marziano – đây mới là mục đích thật sự của nhiệm vụ lần này. Nó cho phép Cellcom có thể gửi tin nhắn mời các khách hàng chuyển mạng. Nhưng như vậy vẫn chưa đủ.

Năm 2015, Kaye và Marziano cùng bàn bạc tìm cách tấn công DDoS và làm chậm dịch vụ internet của Lonestar để thuyết phục khách hàng chuyển mạng. Một thách thức thật sự về kỹ thuật. Không dễ DDoS một nhà mạng lớn như Lonestar ngay cả với hạ tầng internet yếu kém của Liberia.

Đến năm 2016, vận may đều đang mỉm cười với bộ đôi này. Cellcom được nhà mạng khổng lồ của Pháp, Orange hỏi mua vào tháng Một năm 2016 và Marziano vẫn được giữ lại làm CEO. Còn vận may của Kaye lại đến từ một sự kiện khác. Năm 2016, internet toàn cầu dậy sóng vì một loại phần mềm mã độc khét tiếng có tên Mirai. Mirai lây lan qua các webcam, router không dây, và các thiết bị bảo mật kém khác để tạo nên mạng botnet lớn nhất từng ghi nhận và sử dụng nó để tấn công DDoS vào game thủ Minecraft.

Dựa trên những dòng code Mirai được chia sẻ lại trên diễn đàn hacker, Kaye – lúc này đang an nhàn trên đảo Síp – đã có công cụ trời cho mà mình đang tìm kiếm. Bằng cách tinh chỉnh các dòng code trong đó, Kaye có thể nhắm tới các camera an ninh của Trung Quốc, vốn bảo mật kém và ngăn các dạng Mirai khác chiếm quyền điều khiển mạng botnet của mình.

Phấn khích trước sức mạnh của mạng botnet mà Kaye đang sở hữu, Marziano đồng ý trả cho anh ta 10.000 USD mỗi tháng để được sử dụng "dự án" này. Giờ là lúc bắt tay vào kế hoạch của Marziano.



Hạ tầng internet vốn yếu kém của Liberia chỉ có duy nhất một đường cáp quang ngầm dưới biển để kết nối với thế giới bên ngoài. Đối mặt với nửa triệu cỗ máy đồng thời gửi dữ liệu về, máy chủ của Lonestar nhanh chóng dừng hoạt động. Trong thời gian từ tháng 10 năm 2016 đến tháng 2 năm 2017, Kaye liên tục tấn công thêm ít nhất 266 lần nữa. Mỗi lần cuộc tấn công diễn ra, một nửa đất nước ở châu Phi này, vốn là khách hàng của Lonestar lại rơi vào tình trạng mất liên lạc với bên ngoài.

Tuyên bố từ nhiều năm nay của Cellcom về việc là nhà mạng nhanh nhất Liberia đã trở thành sự thật. Khó có từ nào để mô tả được sự hài lòng của Marziano. Ông ta thậm chí còn chụp lại tựa đề bài báo với dòng tít "Bị tê liệt vì tấn công mạng: Liberia cầu cứu Mỹ, Anh", để gửi cho Kaye.



Trái với niềm vui của Marziano, Kaye bắt đầu cảm thấy nguy hiểm khi có dấu hiệu cho thấy nhiều nhà nghiên cứu bảo mật đang chú ý tới hoạt động tấn công này, do sự tương đồng của nó với malware khét tiếng Mirai.

Không lâu sau đó, mạng botnet của Kaye bắt đầu mất kiểm soát và lan sang Đức. Các thiết bị nhiễm mã độc liên tục tìm kiếm thiết bị mới, bắt chúng phải tải xuống phần mềm mã độc. Vì vậy, chúng làm sập các router của nhà mạng Deutsche Telekom khi chúng không chịu tham gia vào mạng botnet này – một thiệt hại ngoài dự kiến của cuộc tấn công, như sau này Kaye thú nhận. Và thế là lực lượng cảnh sát Đức bắt tay vào cuộc. Lúc này Kaye hoảng sợ thật sự.



Để đánh lạc hướng hoạt động điều tra khỏi các vụ tấn công của mình tại Liberia, Kaye quyết định chia sẻ mạng botnet – hay nói cách khác, đem chúng đi tấn công thuê cho người khác – để được thanh toán bằng Bitcoin (từ 2.000 USD cho đến 20.000 USD tùy quy mô). Trong khi nhiều khách hàng là game thủ, muốn sử dụng nó để tấn công đối thủ, nhiều khách hàng khác tham vọng hơn thế.

Một kẻ mang biệt danh "Ibrham Sahil" đã tận dụng mạng botnet này cho các vụ tấn công đòi tiền chuộc. Hậu quả là website của 2 ngân hàng Lloyds Bank Plc và Barclays Bank Plc – hai nhà cho vay lớn tại Anh – bị đánh sập bởi hàng chục cuộc tấn công DDoS, do không chịu trả tiền theo lời đe dọa của kẻ tấn công. Để kiềm chế các cuộc tấn công và duy trì hoạt động của website, mỗi ngân hàng đã phải tiêu tốn khoảng 150.000 Bảng Anh – tương đương số tiền mà kẻ tấn công đòi mỗi ngân hàng.



Những cuộc tấn công này chỉ chấm dứt khi Marcus Hutchins, một nhà nghiên cứu bảo mật Anh, mầy mò được máy chủ điều khiển cuộc tấn công và liên lạc với người điều khiển nó, một người có mật danh "Popopret" – một biệt danh khác của Kaye.

Không chỉ đăng tải các bằng chứng về hậu quả của cuộc tấn công mạng, Hutchins còn cảnh báo về việc các cơ quan tình báo sẽ vào cuộc do hệ thống ngân hàng được xem là cơ sở hạ tầng thiết yếu của đất nước. Lúc này các cuộc tấn công vào ngân hàng mới ngừng lại. Còn các cuộc tấn công tại Liberia vẫn tiếp tục.

Một vài tuần sau đó, Kaye bay từ đảo Síp tới London để gặp Marziano và nhận nốt số tiền thưởng dành cho mình. Cả hai đều mang theo gia đình của mình tới cuộc gặp mặt. (Dường như gia đình của họ không hề biết về những việc làm phi pháp của bọ đôi này). Ở một phần nào đó, bộ đôi kỳ quặc này đã trở thành bạn của nhau hơn là mối quan hệ hợp tác kinh doanh thông thường.

Nhận được 10.000 USD tiền mặt từ Marziano, Kaye ra sân bay Luton Airport để lên máy bay về đảo Síp. Đây chính là nơi cảnh sát Anh đón lõng và bắt được Kaye khi đang làm thủ tục.



Ban đầu dĩ nhiên Kaye phủ nhận toàn bộ. Chỉ đến khi bị dẫn độ sang Đức và phòng mật mã của BKA bẻ khóa được điện thoại di động của Kaye, tìm ra các tin nhắn WhatsApp giữa Kaye và Marziano, ảnh chụp các loại camera an ninh sử dụng trong mạng botnet tấn công Liberia, cũng như đoạn video cho thấy ai đó đang điều khiển mạng botnet khổng lồ gây ra vụ tấn công, Kaye mới chịu thú nhận.

Suốt một năm rưỡi sau đó là thời gian tranh cãi giữa nhóm pháp lý của Kaye và các công tố viên. Trong khoảng thời gian đó, Kaye phải nộp tiền bảo lãnh để không phải ngồi tù và bị quản thúc tại nhà của bố cũng như không được rời nước Anh.



Kaye bị tuyên án vào ngày 11 tháng Một năm 2019 tại tòa án Blackfriars Crown ở Nam London. Thoát khỏi bị truy tố án hình sự, cuộc tấn công mạng của Kaye tại Liberia chỉ bị xem như một "hành vi tấn công được thúc đẩy bởi lợi ích tài chính vào một doanh nghiệp hợp pháp." Cuối cùng, Kaye bị tuyên án 32 tháng tù giam không ân xá.

Về phần Marziano, ông ta bị cảnh sát Anh bắt vào tháng Tám năm 2017, không lâu sau khi Kaye xuất hiện tại phòng xử án ở London. Nhưng ông ta cũng nhanh chóng được thả mà không có cáo buộc nào. Trong năm 2017, ông ta cũng rời khỏi Liên doanh Orange Cellcom và cắt đứt mọi liên lạc kể từ đó. Thậm chí vợ cũ của ông ta cũng không biết Marziano đi đâu.

Năm 2018, nhà mạng Lonestar Cell đệ đơn kiện Orange và Cellcom tại London vì cáo buộc liên quan đến vụ tấn công mạng. Cả hai nhà mạng trên đều đưa ra tuyên bố phủ nhận cáo buộc và cho rằng họ không hề biết các hoạt động của Marziano cũng như không được hưởng lợi từ các cuộc tấn công này.



Còn tại Liberia, nhiều người cho rằng các cuộc tấn công vào Lonestar mang động cơ chính trị, không phải lợi nhuận kinh tế. Chủ tịch của Lonestar trong thời gian đó là Benoni Urey, người đứng đầu đảng All Liberian Party, từng chạy đua chức Tổng thống năm 2017. Trong khi đó, Cellcom luôn công khai ủng hộ một trong các đối thủ của ông Urey, cựu Tổng thống Sirleaf, người đã nắm quyền ở đất nước này từ năm 2006 đến 2018.

Vào đầu năm 2020, Kaye sẽ được thả. Đến lúc đó, anh sẽ phải đối mặt với lệnh hạn chế sử dụng điện thoại, máy tính và phần mềm bảo mật, cho dù anh vẫn hy vọng có thể tiếp tục làm công việc về an ninh mạng. Cho đến khi đó, anh ta vẫn cặm cụi thái rau trong bếp của Belmarsh, nhà tù có an ninh tối đa chuyên giam giữ những kẻ giết người, hiếp dâm, và khủng bố.

Theo Genk​
 

lanscape

Member
Marcus Hutchins là người đã ngăn chặn wannacry nhưng cuối cùng cũng bị FBI tóm
 

lanscape

Member
Lời tự thú của hacker từng 'cứu' Internet
Ở tuổi 23, Marcus Hutchins được coi là người hùng khi một mình ngăn vụ tấn công mạng nghiêm trọng nhất trong lịch sử - WannaCry. Nhưng rồi cậu bị FBI bắt.

Một sáng tháng 8/2017, hacker 23 tuổi với mái tóc xoăn nâu bước ra khỏi tòa nhà Airbnb ở Las Vegas, nơi cậu ở trong một tuần rưỡi, để nhận bánh mì kẹp và khoai tây chiên McDonald's đã đặt. Khi đứng trước sảnh, Hutchins thấy chiếc SUV đen đỗ bên đường, trông rất bí ẩn kiểu FBI.

Cậu nhìn chằm chằm chiếc xe, đầu vẫn lơ mơ vì thiếu ngủ, tự hỏi: "Cuối cùng điều đó cũng đến ư?" Rồi cậu lập tức gạt đi, tự nhủ FBI chẳng bao giờ lộ liễu như vậy.

Hutchins nhận đồ ăn, quay vào trong tận hưởng bữa sáng, rồi gói ghém hành lý, bắt Uber ra sân bay với tấm vé hạng nhất về Anh. Cậu vừa trải qua một tuần bận rộn tại Defcon, một trong những hội thảo hacker lớn nhất thế giới, nơi cậu được ca tụng như người hùng.

hack-1-7524-1589950919.jpg

Marcus Hutchins. Ảnh: Wired.

Chưa đầy ba tháng trước đó, Hutchins cứu Internet khỏi một cuộc tấn công mạng được đánh giá là tồi tệ nhất lịch sử: mã độc tống tiền WannaCry. Mã độc này hoành hành từ ngày 12/5/2017, lây lan tại hơn 150 nước và phá hủy dữ liệu trên hàng trăm nghìn máy tính. Hutchins phát hiện tính năng giống như "công tắc" (kill-switch) ẩn trong đoạn mã, có thể ngừng mối đe dọa WannaCry.

Cậu tạo nên câu chuyện hấp dẫn khó cưỡng trên truyền thông: Hutchins, chàng hacker trẻ tuổi và rụt rè, một mình chống lại "quái vật" đe dọa thế giới số. Hình ảnh cậu ngồi trước màn hình máy tính trong phòng ngủ, nơi cậu sống cùng bố mẹ ở miền tây nước Anh xa xôi, thật bí ẩn.

Ngập trong những lời tán tụng, Hutchins không nghĩ nhiều khi thấy chiếc SUV. Hồ sơ tại tòa sau này cho thấy, chiếc SUV đen đã bám theo Hutchins suốt thời gian cậu ở Las Vegas.

Khi Hutchins ngồi trong phòng chờ và viết dở thông điệp lên Twitter, ba người tiến lại gần, đề nghị cậu theo họ tới một lối đi riêng. Tại đó, cậu bị còng tay bởi người đàn ông có mái tóc đỏ. Cảm thấy sốc, Hutchins điểm qua những hoạt động trái phép có thể khiến hải quan để mắt tới. Chắc chắn, cậu nghĩ, không thể là "thứ đó", bởi nó đã xảy ra vài năm trước và chưa từng được nhắc đến. Hay cậu để quên cần sa trong túi?

Với giọng thân thiện, những người này, tự giới thiệu là đến từ FBI, hỏi cậu về quá trình học tập và Kryptos Logic, công ty bảo mật cậu đang làm việc. Rồi họ hỏi cậu về một chương trình có tên Kronos.

"Kronos. Tôi biết", cậu trả lời, cảm thấy tê cóng và hiểu rằng từ đây, cậu không thể trở về nhà.

Hành trình sa lầy trong thế giới tội phạm mạng

14 năm trước đó, rất lâu trước khi Marcus Hutchins trở thành anh hùng hay kẻ xấu trong mắt mọi người, bố mẹ cậu - Janet và Desmond - chuyển tới vùng Devon hẻo lánh ở Anh. Hutchins, lúc đó 9 tuổi, không hòa hợp với đám trẻ ở đây. Nhưng điều khiến cậu nổi bật là sự đam mê với máy tính so với lứa tuổi. Cha cậu thường phát cáu khi thấy con trai tháo rời chiếc máy tính Dell hoặc cài đầy chương trình lạ hoắc lên đó. Cậu sớm nhận thấy lập trình là "cánh cửa để làm bất cứ điều gì bạn muốn".

Sinh nhật 13 tuổi, sau nhiều lần "đấu tranh", cha mẹ cũng đồng ý mua cho cậu máy tính riêng. Bà Janet lo con trai quá mê đắm trong thế giới số nên cài công cụ kiểm soát vào máy tính nhưng cậu dễ dàng chiếm lại quyền admin. "Chẳng có cách nào quản được Marcus bởi nó luôn thông minh hơn chúng tôi", Janet nói.

Khi lang thang trên các diễn đàn, Hutchins thấy một hacker tạo sâu MSN ẩn dưới bức ảnh JPEG. Khi ai đó mở ra, sâu sẽ tự gửi tới mọi người trong danh sách chat. Hutchins không biết sâu đó ra đời với mục đích gì, nhưng cậu đặc biệt ấn tượng và muốn tạo ra một thứ như vậy. Một năm sau, Hutchins chia sẻ thành quả đầu tiên lên forum: một công cụ đánh cắp mật khẩu mà người dùng lưu trên web. Mã độc đầu tiên của Hutchins được khen ngợi, dù cậu không biết dùng mật khẩu đánh cắp vào việc gì, đơn giản nó rất "ngầu".

Năm 15 tuổi, gia đình Hutchins chuyển tới một căn nhà mới. Cùng khoảng thời gian này, cậu tham gia cộng đồng HackForums, nơi đầy rẫy chia sẻ về botnet - mạng lưới máy tính bị nhiễm mã độc, chuyên dùng để tấn công từ chối dịch vụ DDoS. Hutchins cũng tự tạo botnet đầu tiên với 8.000 máy tính ma. Cậu cũng bắt đầu "sự nghiệp" cung cấp dịch vụ web hosting cho các trang web bất hợp pháp.

hack-2-6424-1589950919.jpg

Hutchins dành hàng giờ trước máy tính để chơi game và tạo mã độc. Ảnh: Wired.

Trong một lần đăng đoạn mã độc thử nghiệm, một thành viên HackForums tỏ ra ấn tượng và đề nghị cậu viết chương trình chống các phần mềm diệt virus. Cậu được trả 200 USD. Khách hàng tiếp theo trả 800 USD để tạo rootkit ăp cắp mật khẩu web. Hutchins bắt đầu nổi danh và khi 16 tuổi, cậu có một khách hàng nghiêm túc hơn, biệt danh Vinny.

Vinny muốn một rootkit đa chức năng để bán trên các chợ đen của hacker. Thay vì trả trọn gói, ông ta sẽ chia sẻ một nửa lợi nhuận trong việc kinh doanh rootkit. Họ thường trao đổi ẩn danh, không lưu lại cuộc trò chuyện. Một lần, Hutchins ca thán không mua được loại "cỏ" chất lượng ở quê mình. Vinny nói sẽ gửi cho cậu từ trang thương mại mới thành lập Silk Road. Silk Road thực chất là chợ ma túy trực tuyến mới ra đời năm 2011. Vinny hỏi địa chỉ và ngày sinh của Hutchins. Trong ngày sinh nhật 17 tuổi, một bưu kiện được gửi tới nhà cậu, bên trong đầy "cỏ", nấm gây ảo giác và thuốc lắc.

Hutchins hoàn thành rootkit UPAS Kit trong 9 tháng và tới hè 2012, mã độc này bắt đầu được rao bán. Vinny trả cho cậu hàng nghìn USD dưới dạng bitcoin. Hutchins bỏ học, nói với cha mẹ rằng cậu đang tham gia dự án lập trình riêng.

Sau đó, Vinny đề nghị nâng cấp lên UPAS Kit 2.0 với công cụ keylogger ghi lại mọi hoạt động mà nạn nhân gõ từ bàn phím, khả năng nhìn thấy màn hình của họ và quan trọng hơn, ông muốn chèn nội dung vào trang mà nạn nhân đang xem, kỹ thuật gọi là web inject.

Yêu cầu cuối khiến Hutchins thấy khó chịu. Web inject có mục đích rất rõ ràng: để thực hiện các vụ lừa đảo qua ngân hàng. Đa số ngân hàng đòi hỏi hai lớp bảo mật khi thực hiện giao dịch chuyển tiền. Hệ thống sẽ gửi tin nhắn chứa mã số tới điện thoại của khách hàng và yêu cầu nhập mã vào trang web để xác thực. Web inject giúp hacker qua mặt lớp bảo mật này.

Trong vài năm, Hutchins đã từng bước tiến vào đường hầm của tội phạm online. Nhưng đề nghị của Vinny khiến cậu không chấp nhận, bởi những người vô tội sẽ bị lấy đi những khoản tiết kiệm. "Tôi không viết trojan ngân hàng", cậu trả lời.

Người này liền nhắc nhở, với giọng điệu vừa đùa cợt vừa đe dọa, rằng ông ta biết rõ danh tính và địa chỉ nhà cậu. Nếu mối quan hệ kinh doanh của họ chấm dứt, ông ta sẽ gửi thông tin cho FBI. Hoảng sợ và giận dữ, nhưng Hutchins vẫn từ chối bởi cậu biết rõ Vinny cần kỹ năng của mình. Cuối cùng, hai bên thỏa thuận nâng cấp UPAS Kit mà không có tính năng web inject.

Sau 9 tháng, phiên bản mới của UPAS Kit đã sẵn sàng. Ngay khi nhận được code, Vinny tiết lộ đã thuê người khác tạo web inject. Hutchins sững sờ và hiểu cậu không thể chống lại Vinny. Mã độc đã viết xong. Và nói chung, cậu là tác giả của nó. Hutchins muốn dừng hợp tác, nhưng Vinny nói đằng nào ông ta cũng đã có mọi thứ cần thiết cho một trojan ngân hàng dù cậu có tham gia hay không. Mã độc vẫn được bán, trong khi cậu tốn công sức mà không được đồng nào.

Tức giận vì rơi vào bẫy, Hutchins đành tiếp tục nâng cấp công cụ cho Vinny. Cậu biết rõ sớm muộn FBI cũng xuất hiện với lệnh bắt giữ. Cũng từ đó, cậu nhận ra tình yêu lập trình đã hoàn toàn biến mất.

Lúc đó, Zeus là một trong những trojan ngân hàng khét tiếng, nên Vinny quyết định đổi tên UPAS Kit thành Kronos - cha của Zeus trong thần thoại Hy Lạp.

Năm 19 tuổi, gia đình Hutchins chuyển nhà lần nữa. Rồi cậu quen qua diễn đàn một người tên Randy. Sau khi đề nghị viết mã độc ngân hàng nhưng bị từ chối, người này nhờ cậu viết một số ứng dụng doanh nghiệp và giáo dục. Randy tỏ ra là người hào phóng và còn hỏi địa chỉ để gửi iMac làm quà. Dĩ nhiên cậu đồng ý vì những gì họ làm hoàn toàn hợp pháp.

Không như Vinny, Randy rất cởi mở về cuộc sống cá nhân. Hai người trở nên thân thiết, thậm chí gọi điện video với nhau. Randy tin tưởng Hutchins đến mức gửi cậu số tiền ảo giá trị hơn 10.000 USD để nhờ giao dịch giúp. Một sáng mùa hè 2015, Hutchins tỉnh dậy và phát hiện nhà mất điện khiến máy tính bị tắt và mất trắng giao dịch 5.000 USD tiền bitcoin

Hutchins gọi cho Randy, thú nhận đã làm mất tiền của ông. Để bù đắp, cậu tiết lộ mình là tác giả Kronos. Do Randy từng nói muốn mã độc ngân hàng trước đây, cậu đề nghị cung cấp cho ông một bản miễn phí và Randy đồng ý. Một lần nữa, Hutchins nhận ra mình mắc một sai lầm ghê gớm. Chắc chắn, sẽ có ngày Randy bị bắt khi sử dụng mã độc và cậu sẽ bị cảnh sát hỏi thăm.

Thời gian này, Hutchins dừng hợp tác với Vinny, chấm dứt những năm tháng đen tối trong thế giới tội phạm mạng.

Giai đoạn 'hậu Kronos'

Hutchins mở lại blog MalwareTech lập từ năm 2013 và chia sẻ các kỹ thuật liên quan tới mã độc, thu hút cả khách "mũ trắng" và "mũ đen". Cậu cũng dịch ngược mã nguồn và phân tích các botnet lớn như Kelihos hay Necurs.

Không lâu sau, Salim Neino, CEO của hãng bảo mật Kryptos Logic (Mỹ), gửi email cho MalwareTech đề nghị cậu làm việc cho họ: xây dựng hệ thống theo dõi các botnet để cảnh báo nạn nhân nếu địa chỉ IP của họ xuất hiện trong mạng máy tính ma. Neino trả Hutchins 10.000 USD.

Sau khi hoàn thành công việc đầu tiên, Hutchins phát triển công cụ theo dõi botnet thứ hai. Kryptos Logic mời cậu về làm với mức lương lên tới sáu chữ số. Hutchins tưởng Neino đang đùa: "Gì cơ? Ông định trả cho tôi ngần này tiền mỗi tháng?".

"Xét về nghiên cứu botnet, cậu ấy là một trong những người giỏi nhất thế giới. Chỉ trong khoảng 3-4 tháng, chúng tôi đã theo dõi mọi botnet toàn cầu", Neino nói.

Hutchins vẫn đăng bài trên MalwareTech và Twitter. Ngoài Kryptos Logic và vài bạn thân, không ai biết danh tính người đứng sau MalwareTech.

Mùa thu 2016, mã độc Mirai xuất hiện, lây lan trên thiết bị IoT và tạo ra những cuộc tấn công DDoS với mức độ "khủng khiếp", khiến Internet tại Mỹ và châu Âu ngưng trệ, hay đánh gục hạ tầng mạng quốc gia của Liberia. Trong các cuộc DDoS lớn nhất trước đó, botnet có thể tạo lưu lượng truy cập vài trăm gigabit/giây, còn với Mirai, nạn nhân bị tấn công với lưu lượng lên đến 1,1 terabit mỗi giây. Tháng 1/2017, một cuộc tấn công tương tự nhằm vào ngân hàng lớn nhất nước Anh Lloyds, khiến hệ thống không thể truy cập nhiều lần trong vài ngày.

Hutchins lần theo cơn sóng thần Mirai và phát hiện thông tin liên lạc của hacker đứng sau. Cậu nhanh chóng liên hệ, chia sẻ cho hacker về tình cảnh của khách hàng Lloyds khi không thể vào được tài khoản, một số mắc kẹt ở nước ngoài mà không có tiền. Cậu cũng khuyến cáo ngân hàng là cơ sở hạ tầng quan trọng nên cơ quan tình báo Anh sẽ sớm tìm ra kẻ điều khiển botnet.

Các cuộc DDoS ngân hàng dừng lại. Hutchins kể lại câu chuyện trên Twitter, nói cậu không ngạc nhiên khi hacker lắng nghe. "Rất ít người thực sự xấu xa, đa số chỉ là xa rời nỗi khổ của nạn nhân, không cảm nhận được hậu quả. Cho tới khi ai đó kết nối với họ", cậu nói.

Người hùng diệt WannaCry

Ngày 12/5/2017, Hutchins bắt đầu kỳ nghỉ kéo dài một tuần.

Hôm ấy, Henry Jones, bác sĩ gây mê ở Bệnh viện Hoàng gia London cách đó hơn 300 km, bắt đầu thấy điều gì đó không ổn. Ông và đồng nghiệp không thể đăng nhập vào hệ thống email. Thực ra, họ đã quen với việc này vì máy tính của họ vẫn đang chạy Windows XP, hệ điều hành đã gần 20 năm tuổi.

Sau đó, chuyên gia IT tới và giải thích một virus đang lan khắp mạng lưới bệnh viện nước Anh. Một PC trong phòng khởi động lại và Jones thấy thông điệp rằng các file đã bị mã hóa, cần trả số bitcoin trị giá 3.000 USD để chuộc lại.

Jones được thông báo mọi ca phẫu thuật bị hoãn vì máy tính dừng hoạt động. Trong vài giờ, virus mã hóa dữ liệu tại phòng khám của hơn 600 bác sĩ, khiến 20.000 cuộc hẹn bị hủy, cũng như làm ngưng trệ hoạt động ở hàng chục bệnh viện. "Có bệnh nhân có thể phải chết vì việc này", Jones nghĩ.

Các chuyên gia bảo mật gọi mã độc là WannaCry (Muốn khóc). Nó nguy hiểm bởi có thể làm biến mất toàn bộ dữ liệu và có tốc độ lây lan còn nhanh hơn các đại dịch lớn trong lịch sử. WannaCry khai thác lỗ hổng EternalBlue trên hệ điều hành Windows. Không chỉ hệ thống y tế Anh, nó ảnh hưởng tới hãng đường sắt Deutsche Bahn (Đức), nhà sản xuất ôtô Renault, Nissan, Honda, các sở cảnh sát ở Ấn Độ, hãng viễn thông Tây Ban Nha Telefónica, hãng chuyển phát FedEx và cả Boeing... Mức độ thiệt hại, ước tính trong buổi chiều hôm đó, là từ 4 tỷ đến 8 tỷ USD.

14h30, Marcus Hutchins mở máy tính và thấy thế giới Internet đang hoảng loạn. "Tôi chọn đúng tuần quái quỷ để nghỉ ngơi", cậu viết trên Twitter.

Trong vài phút, một người bạn hacker có tên Kafeine gửi Hutchins đoạn sao chép mã WannaCry. Cậu phát hiện trước khi mã hóa file, mã độc gửi lệnh tới trang web có địa chỉ như được gõ bừa iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Khi một mã độc kết nối tới domain như vậy, thường có nghĩa nó đang liên lạc với một máy chủ điều khiển và ra lệnh từ xa. Hutchins chép địa chỉ vào trình duyệt và ngạc nhiên thấy site không tồn tại. Cậu lập tức vào dịch vụ đăng ký tên miền Namecheap và mua tên miền này với giá 10,69 USD. Hutchins hy vọng có thể kiểm soát một phần những máy tính nhiễm WannaCry từ tác giả mã độc, hay ít nhất có thể theo dõi số lượng và vị trí của máy tính bị nhiễm. Hành động này được giới bảo mật gọi là kỹ thuật sinkhole.

Ngay sau khi thiết lập tên miền trên cụm máy chủ của Kryptos Logic, nó bị dội về hàng nghìn kết nối từ những thiết bị "dính" WannaCry trên toàn cầu. Hutchins chia sẻ điều này lên Twitter và lập tức nhận hàng trăm email từ các nhà nghiên cứu, nhà báo, quản trị hệ thống...

Trong khoảng bốn giờ tiếp theo, cậu dựng bản đồ theo dõi lượt lây nhiễm mới, như cậu từng làm với botnet Kelihos, Necurs... Trước khi mã hóa file, mã độc kết nối tới địa chỉ web của Hutchin. Nếu không kết nối được, nó sẽ phá hủy nội dung trên máy tính. Nói cách khác, nếu tên miền của Hutchins tiếp tục hoạt động, các ca nhiễm mới vẫn lan rộng nhưng không gây thiệt hại vì mã độc đã bị cô lập. Hutchins đã tìm ra "công tắc" tắt mã độc.

"Nếu tên miền sập, khủng hoảng WannaCry sẽ được tái khởi động", cậu nói

Ngay sau đó, một trong những botnet của mã độc Mirai mở cuộc tấn công DDoS với mục tiêu kéo sập tên miền Hutchins đang nắm giữ. Thậm chí, cảnh sát Pháp hiểu lầm tên miền sinkhole này thuộc về những tên tội phạm đứng sau WannaCry nên đã thu giữ hai máy chủ của công ty Kryptos. Trong một tuần, Hutchin gần như không ngủ để giữ "công tắc" tắt WannaCry không bị đụng tới.

Trong lúc đó, danh tính của Hutchins cũng bị phát hiện. Sáng 14/5/2017, một nhà báo xuất hiện trước cửa nhà Hutchins bởi cô nhận ra cậu qua một bức ảnh trên Facebook với chú thích MalwareTech. Báo chí Anh bắt đầu đăng loạt bài về "người dùng cứu thế giới từ phòng ngủ". Hutchins thậm chí phải nhảy qua tường rào sau nhà để tránh phóng viên. Để không bị làm phiền, cậu chỉ đồng ý trả lời phỏng vấn AP, thậm chí căng thẳng tới mức còn đọc sai họ của mình.

Hutchins căng thẳng bởi lo ngại kẻ đứng đằng sau sẽ tung ra phiên bản mới của WannaCry để loại bỏ "công tắc" của cậu. Nhưng điều đó không xảy ra. Khi mối nguy hiểm qua đi, "sếp" Neino cảm thấy lo lắng cho tình trạng sức khỏe của Hutchins. Một tuần sau khi WannaCry bùng phát, cậu được trả hơn 1.000 USD cho mỗi giờ ngủ.

Hutchins thu hút hơn 100.000 người theo dõi trên Twitter. Những người lạ cũng nhận ra và mời cậu đồ uống để cảm ơn vì cứu Internet. Nhưng phải tới hội thảo hacker Defcon ba tháng sau đó, Hutchins mới thực sự cảm nhận cậu là "ngôi sao nhạc rock" của thế giới bảo mật.

Đã ba năm trôi qua kể từ vụ Kronos, cuộc sống vẫn tốt đẹp. Cậu cho phép mình quên đi nỗi lo rằng hành động phạm pháp của mình sẽ phải trả giá. Cho tới ngày cuối ở Las Vegas, khi cậu nhìn thấy chiếc SUV màu đen.

hack-3-4325-1589950920.jpg

Hutchins bị bắt chỉ ba tháng sau khi nổi tiếng. Ảnh: Wired.

Hutchins thú nhận với FBI rằng cậu tạo một phần mã độc Kronos nhưng đã dừng phát triển nó trước khi 18 tuổi. Nhưng mọi hy vọng tiêu tan khi các điều tra viên cho cậu xem bản in đoạn chat với Randy khi cậu đã qua tuổi 20, trong đó cậu nói sẽ gửi Randy bản sao của Kronos.

"Thành thật mà nói, Marcus, chuyện này không dính dáng tới WannaCry", Lee Chartier, điều tra viên với mái tóc đỏ, nói và rút ra lệnh bắt giữ Hutchins. Đêm đầu tiên bị tạm giam ở nơi cách xa quê hương hơn 8.000 km là khoảng thời gian cô đơn nhất trong đời hacker 23 tuổi.

"Người hùng diệt WannaCry bị bắt tại Mỹ" là tiêu đề của hàng loạt bài báo vào ngày hôm sau. Những cuộc tranh cãi nổ ra trên mạng và trong giới bảo mật. Nhiều người ủng hộ Hutchins, nhưng cũng nhiều người tìm lại các hoạt động phạm pháp của cậu trên HackForums. Hutchins sau đó được tại ngoại với số tiền bảo lãnh 30.000 USD.

Tháng 4/2019, Hutchins đồng ý với một thỏa thuận rằng cậu sẽ nhận hai tội danh để các công tố viên giảm 8 tội danh khác. Với mỗi tội, Hutchins đối mặt 5 năm tù giam và khoản tiền phạt 250.000 USD.

"Tôi nhận hai tội liên quan tới việc viết mã độc nhiều năm trước khi tham gia công việc bảo mật. Tôi hối hận về hành động này và chịu mọi trách nhiệm cho lỗi lầm của mình", Hutchins viết trên website.

Tuy nhiên, trong phiên tòa ở Milwaukee (Mỹ) tháng 7/2019, Hutchins được thả tự do, được phép trở lại Anh dưới sự giám sát và không bị phạt bất cứ khoản tiền nào.

"Tôi không muốn là người chặn WannaCry hay người viết mã Kronos. Tôi chỉ muốn là ai đó có thể giúp mọi thứ tốt đẹp hơn", Hutchins, nhìn lên những ngọn đồi ở Malibu, nói.
 
Bên trên