Phá vỡ Toàn Cầu Cho Thấy Cấu Trúc của Một Chuỗi Cung Ứng Tội Phạm Trực Tuyến Hiện Đại

Trong nhiều thập kỷ qua, ngành công nghiệp an ninh đã cảnh báo rằng nền kinh tế tội phạm mạng đang phát triển một chuỗi cung ứng chuyên sâu, chuyên nghiệp của riêng mình. Nhưng chỉ khi cơ quan chức năng phá hủy một hoạt động hacker chín chặn—như họ đã làm hôm nay với nhóm mã độc Goznym toàn cầu—hình ảnh đầy đủ về từng bước liên kết trong mạng lưới tội phạm toàn cầu đó mới trở nên rõ ràng.

Vào thứ Năm, cảnh sát ở sáu quốc gia cùng với Bộ Tư pháp Hoa Kỳ và Europol công bố việc phá vỡ Goznym—liên quan đến một hoạt động khác được biết đến là Avalanche, một hoạt động tội phạm mạng liên quan mà chủ yếu đã bị phá hủy vào năm 2016—bao gồm cả việc bắt giữ năm thành viên của nó ở Bulgaria, Gruzia, Moldova và Ukraina. Năm thành viên khác được cho là đang tự do ở Nga. Tổng cộng, hoạt động này đã lây nhiễm vào 41,000 máy tính với phần mềm đánh lừa tập trung vào gian lận và cố gắng lấy cắp 100 triệu đô la từ các nạn nhân ở Hoa Kỳ, tuy nhiên không rõ họ đã thực hiện bao nhiêu thành công trong số đó.

Phát biểu tại một cuộc họp báo tại trụ sở của Europol ở The Hague, cơ quan chức năng toàn cầu đã tuyên bố việc bắt giữ là một ví dụ "chưa từng có" về sự hợp tác quốc tế. Nhưng cáo trạng cũng mô tả cụ thể làm thế nào nhiệm vụ của những hacker tập trung vào lợi nhuận đã trở nên phân tán và chuyên sâu, chủ yếu bao gồm các freelancer liên kết không chặt chẽ, mỗi người chịu trách nhiệm cho một bước duy nhất trong việc lợi dụng nạn nhân. "Bạn nhìn vào điều gì đã xảy ra ở đây. Goznym là gì? Avalanche là gì?" Steven Wilson, trưởng Trung tâm Tội phạm Mạng châu Âu, hỏi. "Đây là siêu thị của các dịch vụ tội phạm mạng. Bạn đang nhìn vào những người viết mã, những người phát triển malware, những người cung cấp dịch vụ lưu trữ an toàn, cả một loạt các dịch vụ tội phạm mạng."

Bản cáo buộc mô tả chuỗi dài của các chuyên gia tội phạm mạng:

• Một người Nga, Vladimir Gorin, bị buộc tội tạo ra, phát triển và quản lý phần mềm đánh cắp ngân hàng Goznym. Khi cài đặt trên máy tính, nó hoạt động như một keylogger và chiếm đoạt trình duyệt web của nạn nhân để chèn các trường lừa đảo vào trang web ngân hàng khi họ cố gắng đăng nhập, đánh cắp thông tin đăng nhập để kiểm soát tài khoản của họ. Phần mềm bao gồm một trường trong trình duyệt được thiết kế để đánh lừa nạn nhân nhập mã thứ hai, cũng chặn mã đó và sử dụng nó để đánh bại xác thực hai yếu tố trong thời gian thực.
• Gorin có vẻ đã thuê Goznym malware cho Alexander Konovolov, bị cáo buộc là lãnh đạo của nhóm, có trách nhiệm giám sát hoạt động và kiểm soát hàng chục nghìn máy tính nhiễm trong botnet của nó. Các quan chức nói rằng ông được Marat Kazandjian, một trợ lý kỹ thuật và quản trị viên, giúp đỡ.
• Một người Ukraina tên là Gennady Kapkanov, bị bắt giữ vào đầu năm nay, bị buộc tội cho thuê cơ sở hạ tầng cho hoạt động làm "bulletproof" hosting provider. Thực tế, mạng lưới Avalanche của ông cung cấp dịch vụ lưu trữ cho hơn 20 hoạt động malware khác nhau, theo cáo trạng. Mặc dù một phần của hoạt động đó bị gián đoạn vào năm 2016, Kapkanov trốn thoát vào thời điểm đó—mặc dù báo cáo cho biết ông đã bắn một khẩu AK-47 vào cảnh sát từ cửa sổ của mình—khi một thẩm phán thả ông ra do một sai lầm trong các tài liệu buộc tội.
• Một người Moldova tên là Eduard Malanici bị buộc tội đã "mã hóa" phần mềm độc hại Goznym, làm rối mã nguồn để ẩn nó khỏi phần mềm chống virus.
• Một người Nga tên là Konstantin Volchov, có vẻ đã điều hành hoạt động gửi thư rác mà đã phun ra các nạn nhân tiềm ẩn, với hy vọng một số người có thể nhấp vào tệp đính kèm hoặc liên kết độc hại mà sẽ cài đặt Goznym trên máy tính của họ.
• Sau khi Goznym được cài đặt và thông tin đăng nhập của nạn nhân bị đánh cắp, phần mềm gửi thông tin đăng nhập đó đến một bảng điều khiển quản trị. Hai người, một người Nga tên là Ruslan Katirkin và một người Bulgaria tên là Krasimir Nikolov, có vẻ đã kiểm soát bảng điều khiển đó và đóng vai trò như chuyên gia "chiếm đoạt tài khoản" của nhóm, đăng nhập vào tài khoản của nạn nhân và cố gắng đánh cắp tiền của họ thông qua các giao dịch chuyển tiền điện tử như chuyển khoản và thanh toán ACH.
• Hai người Nga khác, Vladimir Eremenko và Farkhad Manokhin, có vẻ đã chăm sóc bước "rút tiền" của quy trình, quản lý các tài khoản nhận và rửa tiền được đánh cắp. Tiền sau đó được rút từ ngân hàng và máy rút tiền bằng những "chuột bạch"—các nhân viên cấp thấp trong kế hoạch nhưng không bị buộc tội trong bản cáo trạng. Manokhin đã bị bắt giữ tại Sri Lanka vào năm 2017 theo yêu cầu của cơ quan chức năng Hoa Kỳ, nhưng được phóng thích sau khi đặt cọc và bỏ chạy sang Nga, nơi ông vẫn đang tự do, cùng với bốn thành viên Nga khác của nhóm Goznym.

Mặc dù mô tả của cơ quan chức năng về hoạt động Goznym đôi khi như là một đội ngũ thống nhất, hầu hết những bị cáo này dường như đã làm việc như các freelancer cung cấp dịch vụ của mình trên các diễn đàn tội phạm mạng tiếng Nga. "Mạng lưới Goznym đã được hình thành khi những người này được tuyển chọn từ những diễn đàn trực tuyến này và họ tụ tập lại để sử dụng kỹ năng chuyên sâu của mình để thúc đẩy âm mưu," cựu điều tra viên đặc biệt FBI Robert Allan Jones nói trong cuộc họp báo. Nhóm này dường như đã phối hợp các hoạt động của mình qua trò chuyện trực tuyến.

Bản chất toàn cầu của mạng lưới lỏng lẻo đó đòi hỏi một loại hợp tác toàn cầu tương tự trong số cảnh sát và công tố viên ở một nửa chục quốc gia, chia sẻ bằng chứng và đồng bộ hóa các cuộc bắt giữ, theo quan chức của Eurojust Gabriele Launhardt. "Loại hợp tác quốc tế này có lẽ là chưa từng có. Điều này là một dấu hiệu cho thấy hệ thống tư pháp và cảnh sát có thể và sẽ luôn đối mặt với bất kỳ tổ chức tội phạm mạng lớn nào, đánh bại cơ sở hạ tầng của nó," Launhardt nói. "Tóm lại, tội phạm hợp tác vượt qua biên giới, và chúng tôi cũng sẽ làm điều đó, để không ai thoát khỏi công lý."

Điều không được nói trong những lời bình luận về sự phối hợp toàn cầu đó, tất nhiên, là rằng một nửa đầy đủ của các bị cáo trong vụ án đã thực sự thoát khỏi công lý—ở Nga, một quốc gia mà dường như không hề hợp tác trong cuộc điều tra. Dù cuộc chiến chống tội phạm mạng đã trở nên toàn cầu, những tên tội phạm mạng vẫn còn toàn cầu hơn nữa. Và một số người ẩn sau biên giới mà cảnh sát phương Tây vẫn chưa thể tiếp cận.

• Nghệ sĩ hài ẩn mình trong máy: Trí tuệ nhân tạo đang học cách đùa
• Internet đã thay đổi chiêm tinh. Rồi đến các meme
• Tại sao tôi yêu chiếc điện thoại Nokia nhỏ bé của mình
• Waze muốn giúp chúng ta chiến thắng cùng nhau trong việc chia sẻ xe
• Trận chiến của Winterfell: phân tích chiến thuật
• 📱 Bị rơi vào tình trạng phân vân giữa những chiếc điện thoại mới nhất? Đừng lo lắng—hãy kiểm tra hướng dẫn mua iPhone của chúng tôi và những chiếc điện thoại Android yêu thích
• 📩 Thèm kiến thức sâu sắc hơn về chủ đề yêu thích tiếp theo của bạn? Đăng ký bản tin Backchannel của chúng tôi