'Hacker mũ xám' và kế hoạch đánh sập cả một quốc gia trên mạng
Trình độ cao nhưng chẳng bao giờ vượt qua được vòng tuyển dụng, Daniel Kaye tìm tới những tổ chức mờ ám để phát huy tài năng của mình.
Vụ tấn công Liberia bắt đầu vào tháng 10/2016. Hơn nửa triệu camera an ninh, được đặt khắp thế giới, cùng lúc yêu cầu kết nối vào những máy chủ của Lonestar Cell MTN, nhà mạng lớn nhất nước. Mạng lưới của Lonestar mau chóng tê liệt. Kết nối Internet của 1,5 triệu khách hàng Lonestar chậm dần, rồi mất hẳn.
Đây là một kiểu tấn công từ chối dịch vụ, hay DDoS. Trong những cuộc tấn công DDoS, một số lượng lớn thiết bị nằm dưới quyền điều khiển của kẻ tấn công, hay còn gọi là botnet, cố gắng kết nối vào một máy chủ duy nhất.
Như một hành vi phát động chiến tranh
Sự khác biệt của cuộc tấn công năm 2016 là quy mô của nó. Đây là cuộc tấn công DDoS lớn nhất từ trước tới nay, và đối tượng của nó lại nằm ở Liberia, một trong những quốc gia nghèo nhất châu Phi. Phần lớn những cuộc tấn công DDoS chỉ diễn ra trong chớp nhoáng, nhưng vụ tấn công này kéo dài nhiều ngày.
 |
| Toàn bộ Internet ở Liberia đi qua một sợi cáp biển duy nhất. Ảnh: BBC. |
Hậu quả của vụ tấn công là gần một nửa quốc gia bị mất kết nối Internet, đồng nghĩa với không có giao dịch gì qua mạng, nông dân không thể kiểm tra giá nông sản, và sinh viên thì chẳng thể tra cứu thông tin. Bệnh viện lớn nhất ở thủ đô Monvoria bị mất mạng tới 1 tuần, khiến những bác sĩ miễn dịch, vốn đang phải đối phó với dịch Ebola, mất liên lạc và không thể nhận hướng dẫn mới nhất từ tổ chức Y tế Thế giới.
Mức độ cuộc tấn công cho thấy đây là vấn đề quy mô lớn, không chỉ với Liberia mà với cả cộng đồng Internet thế giới.
Eugene Nagbe, Bộ trưởng Thông tin Liberia nói về vụ tấn công năm 2016.
Bộ trưởng Thông tin Liberia, Eugene Nagbe đang công tác tại Paris khi cuộc tấn công diễn ra. Chính ông cũng không thể đưa ra giải pháp gì khi email và điện thoại đều không thể kết nối, và tài khoản ngân hàng cũng không truy cập được. Vào ngày 8/11, Nagbe phải xuất hiện trên sóng truyền thanh Pháp và kêu gọi sự giúp đỡ. Chẳng ai giải thích được nguồn gốc vụ tấn công, và nhiều người đã lo ngại đây là một hành vi kích động chiến tranh.
Không lâu sau, Deutsche Telekom AG, nhà mạng lớn nhất nước Đức nhận được hàng nghìn cuộc gọi từ khách hàng thông báo mất mạng. Một nhà máy xử lý nước tại Cologne bị mất kết nối, khiến kỹ thuật viên phải tới xử lý từng máy bơm bằng tay. Deutsche Telekom nhận thấy một vụ tấn công với quy mô tương tự vụ tấn công ở Liberia. Phải mất vài ngày họ mới khắc phục được hậu quả.
Khi những vụ tấn công lan tới hai ngân hàng của Anh, các cơ quan điều tra tội phạm của Anh, Đức và Mỹ vào cuộc. Cảnh sát Đức cuối cùng tìm ra manh mối từ tài khoản dẫn tới một email, rồi dần tìm tới một tài khoản Skype và trang Facebook thuộc về Daniel Kaye, công dân 29 tuổi người Anh và nhà nghiên cứu bảo mật tự do.
Kaye bị bắt khi đang đi từ sân bay Luton ở thủ đô London, Anh tới Cyprus vào tháng 2/2017. Tuy nhiên Kaye không phải là một điệp viên hay tội phạm lừng danh.
Gã hacker này có thể gọi là một "lính đánh thuê", nhưng hoạt động trong lĩnh vực tội phạm mạng.
Tuổi thơ làm nên gã hacker mũ xám
Kaye sinh ra ở London, nhưng chuyển tới Israel từ năm 6 tuổi. Chẩn đoán tiểu đường vào năm 14 tuổi đã hạn chế rất nhiều hoạt động của Kaye khi lớn lên, nhưng lại đem lại cho anh một thú vui mới là máy tính và mạng Internet.
Kaye tự mày mò học lập trình, tham gia thường xuyên những diễn đàn về hack tại Israel. Với nickname "spy[d]ir", Kaye bắt đầu tấn công những trang web có sơ hở. Bắt đầu bằng một website tiếng Ả Rập về kỹ thuật, thông điệp "Bị spy[d]ir hack! LOL thật đơn giản" dần xuất hiện nhiều hơn ở những website trong khu vực Trung Đông.
Hacker mũ xám sẽ thực hiện công việc để lấy tiền. Họ không theo một quy tắc nào cả.
Theresa Payton, cựu Giám đốc thông tin của Nhà Trắng.
Về sau khi bị bắt, Kaye cho biết anh không phải spy[d]ir, nhưng thừa nhận những nickname khác như Peter Parker, spdr hay spdrman. Tất cả đều liên quan đến Người nhện của Marvel, một thanh niên với siêu năng lực tiềm ẩn.
Sau khi học xong phổ thông, Kaye quyết định không học tiếp mà trở thành một lập trình viên tự do. Thông minh nhưng dễ cảm thấy chán nản, Internet trở thành nơi cung cấp những thử thách mới lạ liên tục cho Kaye. Con đường này đã biến anh thành hacker mũ xám, một người không thực sự làm việc với mục đích tốt hay xấu hoàn toàn.
"Hacker mũ xám sẽ thực hiện công việc để lấy tiền. Họ không theo một quy tắc nào cả", Theresa Payton, cựu Giám đốc thông tin của Nhà Trắng mô tả. Nói cách khác, họ không tìm lỗ hổng với mục đích phá hoại như hacker mũ đen, nhưng cũng không có các quy tắc đạo đức như hacker mũ trắng.
Kaye nhận được nhiều hợp đồng xâm nhập như thế, chủ yếu qua những lời giới thiệu truyền miệng. Các công việc chính thống thì không thuận lợi như vậy. Kaye có cách giao tiếp khiến người khác nghĩ rằng anh đang che giấu thứ gì đó.
Tới năm 2011, khi bị loại ở vòng cuối của một cuộc phỏng vấn cho công ty bảo mật RSA Security, Kaye quyết định mình sẽ không cố gắng tìm việc trong những công ty lớn nữa. Thay vào đó, anh quyết định làm việc tự do.
Năm 2014, khi đang ở Anh, Kaye được giới thiệu với một thương gia đang tìm kiếm người có kỹ năng bảo mật ở Israel. Đó là Avishai Marziano, CEO của Cellcom, nhà mạng lớn thứ hai của Liberia.
Tấn công đối thủ
Được thành lập năm 2004, Cellcom phát triển nhanh chóng và bắt đầu trở thành đối thủ đáng gờm của Lonestar, nhà mạng lớn nhất Liberia. Công ty do Marziano lãnh đạo đạt những bước tiến nhanh nhờ các chương trình khuyến mãi, giảm giá và chèo kéo người dùng mạnh tay, đồng thời cũng được hưởng lợi từ lượng người dùng di động tăng lên nhanh chóng trong những năm qua.
Tới năm 2014, vào dịp kỷ niệm 10 năm ngày thành lập, Marziano tuyên bố đã đến lúc Cellcom vượt lên. Ông đặt mục tiêu trở thành nhà mạng số 1 vào năm 2015, và đó là lúc khả năng của Kaye được tận dụng.
 |
Hacker mũ xám Daniel Kaye sau khi bị bắt vào năm 2017. Ảnh: Bloomberg. |
Công việc đầu tiên của Kaye là tăng cường hệ thống bảo mật cho chi nhánh của Cellcom ở Guinea. Việc tiếp theo là hack vào mạng lưới của Lonestar để tìm kiếm bằng chứng hối lộ. Kaye không tìm thấy bằng chứng, thay vào đó anh đưa cho Marziano bộ dữ liệu khách hàng của Lonestar. "Cứ như trong phim vậy nhỉ", CEO của Cellcom hào hứng.
Bước đi tiếp theo là tấn công mạng lưới của Lonestar. Kaye sử dụng mã nguồn của Mirai, malware tấn công những camera an ninh, bộ định tuyến hay các thiết bị được bảo mật lỏng lẻo khác để biến chúng thành botnet. Chính Kaye cũng không biết mạng lưới của mình lớn đến đâu cho tới khi tấn công Lonestar: hàng trăm nghìn botnet tạo ra luồng tấn công tương đương 500 GB dữ liệu/giây.
Nửa triệu cỗ máy cùng lúc là một yêu cầu quá sức chịu đựng với cả nền tảng Internet của Liberia, vốn chỉ phụ thuộc vào một sợi cáp quang biển duy nhất. Máy chủ của Lonestar tất nhiên không thể chống đỡ. Từ tháng 10/2016 đến 2/2017, Kaye tấn công tổng cộng 266 lần vào các máy chủ Lonestar.
Khi mọi thứ vượt khỏi tầm kiểm soát
Tới tháng 11, Marziano gửi cho Kaye một bài báo với tựa đề: Bị tấn công mạng, Liberia tìm kiếm sự giúp đỡ từ Mỹ và Anh. Đó là lúc Kaye nhận ra rằng vụ tấn công vào một công ty Liberia không đơn giản như anh ta nghĩ. Kaye không hề che các dấu vết khi tấn công.
Mạng lưới botnet của Kaye bắt đầu lây lan đến Đức. Khi chúng tấn công đến các máy chủ của Deutsche Telekom, các máy chủ này dừng hoạt động. Không giống Liberia, Đức có lực lượng cảnh sát công nghệ cao và luật pháp chặt chẽ. Để đánh lạc hướng, Kaye quyết định bán quyền truy cập botnet của mình để đổi lấy Bitcoin, với giá tương đương khoảng 20.000 USD.
 |
Daniel Kaye tại phiên tòa ở Cologne, Đức. Ảnh: Reuters. |
Đầu tháng 1/2017, liên tiếp hai ngân hàng của Anh bị đe dọa, sau đó bị tấn công DDoS liên tục từ một kẻ mang tên "Ibrham Sahil". Các dấu hiệu dẫn đến mạng lưới botnet của Kaye. Đó là lúc cảnh sát Anh cũng vào cuộc.
Tháng 2/2017, Kaye bay tới London để gặp Marziano và nhận khoản tiền thù lao. Khi ra sân bay Luton để bay về Cyprus, anh ta bị bắt.
Tôi vừa đánh sập Internet và tôi đang rất sợ hãi. Ngoài chuyện đó ra thì mọi việc đều ổn.
Daniel Kaye trả lời bạn sau vụ tấn công Deutsche Telekom.
Ban đầu Kaye từ chối mọi hành vi phạm tội. Chỉ tới khi bị dẫn độ sang Đức, và cảnh sát Đức phá khóa chiếc điện thoại để đưa ra các bằng chứng không thể chối cãi là các tin nhắn trong WhatsApp cùng hình ảnh chụp lại quá trình thao tác botnet, Kaye mới nhận tội. Tuy nhiên, Kaye chỉ bị phạt tù treo bởi thẩm phán Đức tin rằng vụ việc của Deutsche Telekom là tai nạn chứ không phải chủ đích.
Khi quay lại Anh, Kaye đối mặt với 12 tội danh, nhưng không có tội tấn công 2 ngân hàng, bởi cảnh sát Anh không tìm ra bằng chứng. Sau hơn 1 năm xét xử, Kaye bị phạt tù 32 tháng vào tháng 1/2019. Kaye là người duy nhất nhận hình phạt sau các vụ tấn công mạng, bởi Marziano dường như đã biến mất khỏi thế giới sau khi bị bắt rồi được thả vào tháng 8/2017. Đến vợ của cựu CEO này cũng không biết ông đang ở đâu.
Khi được ra tù vào năm 2020, Kaye sẽ bị hạn chế sử dụng điện thoại, máy tính và cả những phần mềm bảo mật một thời gian. Trong lúc chờ được ra tù, Kaye sẽ phải làm quen với cảnh "đi nhẹ, nói khẽ" để tránh làm phật lòng những bạn tù ở Belmarsh, nơi giam giữ những tội phạm nguy hiểm nhất nước Anh.
"Thật không thể tin nổi có ngày tôi lại phải ngồi đây", Daniel Kaye nói, mắt liếc nhìn những bạn tù thân đầy hình xăm ngồi xung quanh mình.
