Vào tháng 02/2012, một số thí sinh của cuộc thi sắc đẹp Miss Liberia đã tới thăm trụ sở của Cellcom Liberia – nhà tài trợ của cuộc thi, kiêm công ty viễn thông lớn thứ 2 toàn quốc. Trong tòa nhà, CEO của Cellcom, ông Avishai “Avi” Marziano – một người đàn ông năng nổ, hòa nhoáng, với mái tóc bôi gel màu đen, đã cầm mic và phát biểu: “Tất cả những gì chúng tôi làm là cho Liberia.”

Chủ sở hữu Cellcom là một nhóm doanh nhân tới từ Mỹ và Israel, được dẫn đầu bởi Yoram Cohen, một cựu luật sư tại Miami, và LR Group, một hãng đầu tư Châu Phi, điều hành bởi các phi công thuộc Không quân Israel. Kể từ khi thành lập vào năm 2004, Cellcom đã liên tục phát triển, và logo đỏ-trắng của hãng đã sớm xuất hiện ở mọi nơi khắp Liberia. Marziano, một kỹ sư đã qua đào tạo và có vẻ như rất thích được làm trung tâm của sự chú ý, sau khi tặng cho mỗi thí sinh một chiếc điện thoại cùng thẻ SIM mới, ông đã cười trước camera, kết thúc phát biểu bằng slogan của công ty mình: “Bạn luôn là số 1 với Cellcom.”

Tuy nhiên, xét về thị phần, thì Cellcom lại mắc kẹt ở vị trí thứ 2, theo sau Lonestar – một cựu đế chế độc quyền, được hỗ trợ bởi tổ chức viễn thông lớn nhất Châu Phi. Giám đốc kiêm trưởng hội đồng quản trị của Lonestar, ông Benoni Urey, lúc đó đang chịu lệnh trừng phạt quốc tế do có quan hệ với Charles Taylor, một phần tử kích thích chiến tranh, hiện đã nhận án giam. (Lệnh trừng phát chính thức được dừng từ 2014.) Với 40% cổ phần tại Lonestar, Urey là người giàu nhất Liberia, và là một trong những tỷ phú thực thụ tại quốc gia này.

Thị trường điện thoại di động phát triển mạng tại Châu Phi, khiến công nghệ đã lan rộng cả tới những nơi mà máy tính còn chưa phổ biến. Theo Nagbe, Bộ trưởng Thông tin Liberia, ngay từ đầu, sự cạnh tranh giữa Lonestar của Urey và Cellcom của Marziano là vô cùng khốc liệt. Hành động miễn phí cước gọi 1 tháng cho người dùng chuyển từ Lonestar sang Cellcome của công ty này đã khởi đầu một thập kỷ chiến tranh giá cước. Dưới quyền Marziano, Cellcom đã tặng tới 100 chiếc xe máy trong 100 ngày, mua một bài hát pop để quảng bá, thuê diễn viên hài làm đại diện, đồng thời liên tục chế giễu Lonestar trong các quảng cáo của hãng.

Trước những hành động này, Urey đã gửi khiếu nại lên Cơ quan Viễn thông Liberia, cũng như Tổng thống Ellen Sirleaf về sự bất công trong hoạt động quảng bá của Cellcom, song không nhận được phản hồi. Thị phần của Cellcom liên tục tăng, và tại bữa tiệc kỷ niệm của công ty vào tháng 12/2014, Marziano đã khẳng định rằng giai đoạn phát triển của công ty sẽ chính thức chấm dứt. Theo ông, đây là kỷ nguyên của sự chiếm lĩnh. “Mục tiêu của chúng tôi là dẫn đầu thị trường viễn thông trong năm 2015,” Marziano phát biểu.

Và một phần kế hoạch chiếm lĩnh này lại dựa vào một người chưa từng đặt chân tới Liberia: Daniel Kaye. Hai người đã gặp mặt lần đầu tại London vào năm 2014, và tạo nên một kết hợp kỳ lạ. Cụ thể, Marziano dành hàng giờ để tập gym, có một cơ thể cơ bắp, và thích thuật lại các phát ngôn về quản trị của Henry Ford. Ông cũng tham gia vào các cuộc thi thể hình, và chụp những bức ảnh khoe cơ thể trong những chiếc quần lót thiếu vải. Trong khi đó, Kaye hút cỏ và chơi Skyrim – một trò chơi điện tử kỳ ảo. Và mặc cho những khác biệt đó, cả hai lại đạt được thỏa thuận với nhau: Kaye tìm thấy một tương lai ổn định, những hợp đồng dài hạn, cũng như một công việc toàn phần ở Marziano; còn Marziano lại thấy rằng, Kaye là một người sẽ giải quyết các vấn đề một các kín tiếng. Anh sẽ làm việc trực tiếp với tôi, Marziano nói với Kaye.

Một trong những công việc đầu tiên của Kaye là đảm bảo hệ thống cho công ty chị em của Cellcom tại Guinae. Trong đó, Kaye đã làm ra một công cụ có thể mã hóa các dữ liệu của Cellcom theo lệnh để đề phòng khả năng xảy ra bất ổn chính trị. Marziano đã trả 50.000 USD cho công cụ này, đồng thời trả thêm vài nghìn USD để thực hiện kiểm tra bảo mật thường niên. Tuy nhiên, các công trình sau đó của Kaye lại có hại hơn nhiều. Cụ thể, Marziano lệnh cho Kaye hack vào mạng lưới của Lonestar để tìm kiếm các vi phạm pháp luật hoặc hành vi hối lội. Do không thể tìm thấy hành vi nào, Kaye đã tải về một bộ dữ liệu khách hàng của Lonestar và gửi cho Marziano, và ông ta đã vô cùng hứng thú. “Cảm giác như tôi đang ở trong phim vậy,” ông nói với Kaye.

Vào năm 2015, Kaye và Marziano đã thảo luận về việc dùng DDoS để làm chậm kết nối Internet của Lonestar, khiến các khách hàng của nhà mạng này muốn chuyển đổi. Đầu tiên, Kaye bắt đầu nhỏ, anh sử dụng một trang web mang tên “VDos Stresser”, với khả năng tấn công vào các trang khác khi trả một khoản phí. Trong các tin nhắn bị rò rỉ từ dữ liệu của VDos, một người với biệt danh “bestbuy” – khả năng cao là chính Kaye hoặc người liên quan, đã hỏi về việc sử dụng dịch vụ này. “Tôi cần nhiều sức mạnh hơn,” bestbuy đã viết.

Lúc này, Kaye đã kiếm được đủ tiền từ Cellcom và các công việc khác để chuyển tới Cyprus và thuê một căn hộ hướng ra biển với bể bơi. Nếu mình có thể làm việc ở đâu cũng được, miễn là có Internet, vậy thì tại sao không chọn một nơi có nhiều nắng? – Kaye nghĩ. Bạn gái, lúc này đã là hôn thê, đã quyết định đi cùng anh.

Tương lai của Marzian thì lại đang tương sáng hơn. Vào tháng 01/2016, Orange SA, một nhà cung cấp thiết bị không dây của Pháp, chính thức công bố rằng hãng đang mua lại Cellcom Liberia. Tổng danh thu bán hàng của Orange lúc này là 45,6 tỷ USD, và đâu là một công ty khổng lồ, được sở hữu một phần bởi chính phủ Pháp. Tuy rằng các điều khoản hợp đồng và danh tính người bán không được công bố, song ta đều biết, Cohen và các cổ đông đều sẽ thu lời lớn. Sau thương vụ, Marziano vẫn giữ cương vị CEO của Cellcom.

Tuy nhiên, thỏa thuận này không làm giảm căng thẳng giữa Cellcom và Lonestar. Chỉ vài tuần sau đó trong một buổi họp báo, Lonestar đã cáo buộc rằng Cellcom đã nhắn tin cho khách hàng một cách bất hợp pháp về các chương trình khuyến mại của hãng. Trước cáo buộc này, phát ngôn viên của Cellcom đã phản hồi: “Lonestar là một tên mít ướt khổng lồ, chỉ muốn lợi dụng người dân Liberia.”

Vào năm 2016, một làn sóng phần mềm độc mang tên Mirai, theo tên một nhân vật hoạt hình Nhật Bản, đã được các game thủ tạo ra để đấu lại các game thủ khác, chủ yếu là trong trò chơi Minecraft.

Mirai có khả năng càn quét các webcam, ổ mạng không dây, cũng như những thiết bị bảo mật kém khác, giúp tạo lỗ hổng cho tấn công DDoS nhằm vào người chơi Minecraft. Đồng thời, phần mềm này cũng có thể tìm kiếm các mục tiêu mới một cách bán tự động, qua đó tự lan truyền mà không cần tới con người. Trong mùa hè năm 2016, Mirai đã có thể nhân đôi số lượng máy bị ảnh hưởng sau mỗi 76 phút, và chỉ tốn vài ngày để có số botnet lớn nhất lịch sử.

Người viết ra Mirai là một nhóm sinh viên Đại học Mỹ, và trước khi bị bắt giữ đã kịp tung nó lên các diễn đàn hack, tạo tiền đề cho vô số các vụ tấn công tương tự. Kaye, người đang tìm một botnet có sức mạnh lớn đã thấy rằng, Mirai chính là những gì anh cần. Vì vậy, Kaye đã chỉnh sửa code của Mirai, nhắm vào một lỗ hổng trong các máy quay an ninh được sản xuất tại Trung Quốc. Sau đó, anh đảm bảo rằng phần mềm độc này có khả năng chặn mọi dạng Mirai khác để không ai có thể kiểm soát botnet của mình. Và tới tháng 09/2016, Kaye đã sử dụng botnet này.

“Nếu nó hoạt động, tôi sẽ truy cập và sử dụng được 5 triệu camera,” Kaye nói với Marziano thông qua một dịch vụ tin nhắn mã hóa, và Marziano đã đồng ý trả cho Kaye 10.000 USD mỗi tháng cho “dự án” này. Sau đó, vào cuối tháng 9, ông đã bảo Kaye thử nghiệm botnet này trên một trang web của đối thủ, trong đó cung cấp dịch vụ gọi quốc tế giá rẻ, bởi lẽ nó đang làm giảm lượng người dùng quốc tế của Cellcom.

Do chính Kaye cũng không biết cụ thể sức mạnh botnet của mình, nên anh đã thử nó trên một trang web đo lượng người sử dụng. Trên biểu đồ đo lường, sức mạnh của botnet này thật đáng kinh ngạc: nó có thể điều khiển khoảng 500 GB dữ liệu – ngang với lượng dữ liệu dùng để tải Avengers: Endgame dưới định dạng UHD 50 lần liên tiếp – trên mỗi giây. Như vậy, botnet này có khả năng phá hủy hoàn toàn đối thủ, nhất là khi cơ sở hạ tầng Internet của Liberia vẫn còn rất hạn chế. Cụ thể, toàn bộ hạ tầng đều dựa vào một hệ thống cáp quang dưới biển duy nhất, và sẽ không thể chịu được sức nặng của nửa triệu máy tính gửi dữ liệu cùng một lúc. Và Kaye đã liên tục tấn công, thực hiện tổng cộng 266 phi vụ từ tháng 10/2016 tới tháng 02/2017. Anh cũng giữ liên lạc với một nhà phân tích dưới trướng Marziano để theo dõi ảnh hưởng của các vụ tấn công này tại Liberia, đồng thời hỏi về tình trạng mạng của Lonestar. Khi nhà phân tích này phản hồi là “Gần chết rồi” vào hồi tháng 11, Kaye đã trả lời: “Thật hả? Tốt đó.”

Suốt nhiều năm, công ty của Marziano luôn tự xưng là mạng nhanh nhất Liberia, và điều này giờ đây đã không còn có thể chối cãi. Vào ngày 09/11, Marziano, lúc này đang vô cùng thỏa mãn, đã gửi ảnh của một bài báo cho Kaye, với tiêu đề “Sau những vụ tấn công mạng nặng nề: Liberia yêu cầu trợ giúp từ Mỹ và Anh.”

Tuy nhiên, khi nhận được tin này, Kaye lại hoảng sợ. Trước đó, anh cho rằng chẳng ai quan tới một công ty tại Liberia, và không quá cẩn trọng trong những phi vụ của mình. Trong khi đó, các nhà nghiên cứu lại để ý tới sức mạnh của botnet của Kaye, và đặt cho nó cái tên là Mirai#14. Sau đó, Marcus Hutchins, một nhà phân tích bảo mật người Anh, đã post lên tài khoản MalwareTech trên Twitter về ghi nhận các mục tiêu của botnet này. Trang Twitter này sao đó đã bị đánh sập bởi một phiên bản Mirai, như một lời cảnh báo rằng Hutchins nên tránh xa vụ này. Khi Kevin Beaumont, một nhà nghiên cứu người Anh khác, tweet về botnet, anh cũng bắt đầu nhận được các tin nhắn đe dọa. (Kaye sau đó đã phủ nhận tấn công Hutchins và Beaumont.) “Mọi thứ đã vượt ngoài tầm kiểm soát,” Kaye viết cho một người bạn tại Israel.

Vụ việc này nhanh chóng lan tới Đức: các camera bị nhiễm Mirai#14 liên tục lan truyền phần mềm này tới các thiết bị khác. Nhưng thay vì gia nhập vào botnet, các cục kết nối của Deutsche Telekom đơn giản là ngừng hoạt động. Tuy rằng ta không biết liệu rằng Kaye đang muốn mở rộng botnet hay đang chủ động tấn công vào Đức, có một điều là chắc chắn: anh không mong muốn các thiết bị ngừng hoạt động. Khác với Liberia, nơi hầu như không có luật pháp về tội phạm máy tính, cảnh sát Đức lại có một phòng ban công nghệ vô cùng phát triển. Lúc này, Kaye đã biết mình sẽ gặp rắc rối. Vào ngày 27/11, người bạn tại Israel của Kaye đã phản hồi: “Chuyện gì đang xảy ra đó?” Tôi đã làm hỏng Internet và hiện đang rất sợ hãi, nhưng còn lại thì ổn thôi,” Kaye trả lời.

Trong nỗ lực điều hướng sự chú ý ra khỏi các hành động tại Liberia, Kaye đã quyết định sẽ chia sẻ botnet của mình, tương tự như những gì chủ sở hữu của Mirai từng làm. Thông qua người quen trên các diễn đàn hack, Kaye đã gửi những tin nhắn spam, hứa hẹn sẽ cung cấp tiền truy cập khi được trả khoảng 2.000 tới 20.000 USD qua Bitcoin. Một số khách hàng đầu tiên là game thủ, những người muốn sử dụng chúng lên các game thủ khác. Trong khi đó, một số khách hàng khác lại có những mục đích đáng lo hơn.

Vào ngày 11/01/2017, các nhân viên tại Ngân hàng Lloyd, Anh Quốc, đã nhận được email từ một người dưới tên “Ibrham Sahil”, trong đó nêu rằng trang web của ngân hàng sẽ bị đánh sập nếu ngân hàng này không trả một khoản “phí tư vấn” trị giá 90.000 USD, và sẽ tăng lên 180.000 USD nếu không trả sau 2 ngày. Và chỉ 20 phút sau, trang web của Lloyd đã ngừng trợ bởi 18 vụ tấn công DDoS trong vòng 19 tiếng.

Cùng ngày hôm đó, Sahil đã liên lạc tới Ngân hàng Barclays. Trong thư viết rằng, vụ việc của Lloyds hoàn toàn không phải là ngẫu nhiên, và Barclays cũng sẽ chịu số phận tương tự nếu không trả 75 Bitcoin trong vòng 18 tiếng. “Đừng để chúng tôi lấy tiền từ giá cổ phiếu của ngân hàng,” Sahil viết, đồng thời đe dọa là sẽ ép giảm giá cố phiếu của ngân hàng trừ khi Barclays tuân theo đúng chỉ thị. Kết quả là, Barclays cũng từ chối trả tiền, và cũng phải chịu tấn công trong vài ngày sau đó. Barclays và Lloyds đã phải chi trả khoảng 180.000 USD để sửa chữa các ảnh hưởng của vụ tấn công cũng như duy trì trang web của họ.

Hutchins đã quan sát các vụ tấn công này, hiện tại, ông đang làm tại Kryptos Logic, với nhiệm vụ là tìm kiếm các phần mềm độc nguy nhất trên Internet. Ông đã thành công theo dõi Mirai#14 tới một máy chủ và tìm được liên hệ tới người điều hành nó, lúc này đang dùng biệt danh “popopret”.

Hutchins không thể làm gì nhiều từ xa, và vì vậy ông thử xem liệu popopret có ngừng tấn công nếu được yêu cầu vậy hay không. Cụ thể, ông đã soạn một tin nhắn đánh vào lương tâm của hacker này, đồng thời thêm vào các tweet của những khách hàng không thể sử dụng tiền do vụ tấn công vào Barclays và Lloyds. Ngạc nhiên thay, ông đã nhận được phản hồi tích cực. Lúc này, Hutchins đang trao đổi trực tiếp với Kaye – người vẫn nắm quyền kiểm soát cao nhất với botnet này, cho dù anh có cho người khác thuê để sử dụng nó.

Tuy nhiên, vào ngày tiếp theo, các ngân hàng vẫn tiếp tục bị tấn công. “Cái quái gì vậy?” Hutchins gửi tin nhắn tới popopret, và nhận được phản hồi là người này đang được một khách hàng trả rất nhiều tiền để dùng botnet. Vì vậy, Hutchins tiếp tục thuyết phục popopret về tầm quan trọng của các ngân hàng với Anh Quốc, đồng thời nhấn mạnh rằng, nếu popopret không ngừng làm việc với vị khách hàng này, anh sẽ có thể bị theo đuôi bởi cảnh sát. Lần này, Hutchins đã thuyết phục thành công, và các vụ tấn công nhằm vào ngân hàng tại Anh đã ngừng lại. Tuy nhiên, những vụ tấn công ở Liberia thì vẫn tiếp tục.

Một vài tuần sau lời cảnh báo của Hutchins, Kaye đã bay từ Cyprus tới London để gặp gỡ Marziano cũng như lấy khoản lương tháng mới nhất. Marziano đã đưa theo vợ và con, còn Kaye thì đã đưa hôn thê của mình tới ăn trưa tại một nhà hàng tapas gần Piccadilly Circus. (Không có bằng chứng cho thấy gia đình của cả hai biết về hành vi phạm luật của hai người này.) Sau khi uống rượu, Kaye chúc mừng Marziano về thỏa thuận với Orange, còn Marziano thì trả cho Kaye 10.000 USD bằng tiền mặt. Rồi sau đó, họ chia tay như bạn bè.

Kaye tới sân bay Luton để bay về Cyprus, và tại đây, anh đã bị tìm thấy bởi cảnh sát.

Còn tiếp

FPT TechInsight
Theo Bloomberg

Tin liên quan: