Tuổi trẻ tài cao
Marcus Hutchins là người lập và điều hành trang blog MalwareTech từ năm 2013, nhưng điều này ít ai biết bởi cậu luôn giữ kín thân phận của mình trên “thế giới ảo”. MalwareTech là trang chuyên chia sẻ các kỹ thuật liên quan tới mã độc, thu hút cả “mũ trắng” (hacker bình thường) và “mũ đen” (hacker tội phạm). Marcus là người dịch ngược mã nguồn và phân tích các botnet lớn như Kelihos hay Necurs.
Là người để ý tới hoạt động của MalwareTech từ lâu, Salim Neino - CEO của hãng bảo mật Kryptos Logic (Mỹ), gửi email cho MalwareTech đề nghị Hutchins làm việc cho họ trong việc xây dựng hệ thống theo dõi các botnet để cảnh báo nạn nhân nếu địa chỉ IP của họ xuất hiện trong mạng máy tính ma. Neino trả Hutchins 10.000 USD. Sau khi hoàn thành công việc đầu tiên, Hutchins phát triển công cụ theo dõi botnet thứ hai.
Kryptos Logic mời cậu về làm với mức lương lên tới hàng trăm ngàn USD. “Xét về nghiên cứu botnet, cậu ấy là một trong những người giỏi nhất thế giới. Chỉ trong khoảng 3-4 tháng, chúng tôi đã theo dõi mọi botnet toàn cầu”, Neino nói. Hutchins vẫn đăng bài trên MalwareTech và Twitter. Ngoài Kryptos Logic và vài bạn thân, không ai biết danh tính người đứng sau MalwareTech.
 |
| Marcus Hutchins có niềm đam mê thiên bẩm với công nghệ internet từ nhỏ |
Mùa thu 2016, mã độc Mirai xuất hiện, lây lan và tạo ra những cuộc tấn công DDoS với mức độ “khủng khiếp”, khiến Internet tại Mỹ và châu Âu ngưng trệ, hay đánh gục hạ tầng mạng quốc gia của Liberia. Trong các cuộc DDoS lớn nhất trước đó, botnet có thể tạo lưu lượng truy cập vài trăm gigabit/giây, còn với Mirai, nạn nhân bị tấn công với lưu lượng lên đến 1,1 terabit mỗi giây. Tháng 1/2017, một cuộc tấn công tương tự nhằm vào ngân hàng lớn nhất nước Anh Lloyds, khiến hệ thống không thể truy cập trong vài ngày.
Hutchins lần theo “cơn sóng thần” Mirai và phát hiện thông tin liên lạc của hacker đứng sau. Cậu nhanh chóng liên hệ, chia sẻ cho hacker về tình cảnh của khách hàng Lloyds khi không thể vào được tài khoản, một số mắc kẹt ở nước ngoài mà không có tiền. Cậu cũng khuyến cáo ngân hàng là cơ sở hạ tầng quan trọng nên cơ quan tình báo Anh sẽ sớm tìm ra kẻ điều khiển botnet.
Các cuộc DDoS ngân hàng dừng lại. Hutchins kể lại câu chuyện trên Twitter, nói cậu không ngạc nhiên khi hacker lắng nghe. “Rất ít người thực sự xấu xa, đa số chỉ là xa rời nỗi khổ của nạn nhân, không cảm nhận được hậu quả. Cho tới khi ai đó kết nối với họ”, Marcus nói.
Virus tống tiền
Ngày 12/5/2017, bác sĩ Henry Jones ở Bệnh viện Hoàng gia London thấy điều gì đó không ổn với hệ thống máy tính ở bệnh viện. Ông và đồng nghiệp không thể đăng nhập vào hệ thống email. Thực ra, họ đã quen với việc này vì máy tính của họ vẫn đang chạy Windows XP, hệ điều hành đã gần 20 năm tuổi. Sau đó, chuyên gia IT tới và giải thích một virus đang lan khắp mạng lưới bệnh viện nước Anh.
Một máy tính trong phòng khởi động lại và Jones thấy thông điệp rằng các file đã bị mã hóa, cần trả số bitcoin trị giá 300 USD để chuộc lại. Jones được thông báo mọi ca phẫu thuật bị hoãn vì máy tính dừng hoạt động. Trong vài giờ, virus mã hóa dữ liệu tại phòng khám của hơn 600 bác sĩ, khiến 20.000 cuộc hẹn bị hủy, cũng như làm ngưng trệ hoạt động ở hàng chục bệnh viện. “Có bệnh nhân có thể phải chết vì việc này”, Jones nghĩ.
Các chuyên gia bảo mật gọi mã độc là WannaCry (tạm dịch là ‘Muốn khóc’). Nó nguy hiểm bởi có thể làm biến mất toàn bộ dữ liệu và có tốc độ lây lan còn nhanh hơn các đại dịch lớn trong lịch sử. WannaCry khai thác lỗ hổng EternalBlue trên hệ điều hành Windows. Không chỉ hệ thống y tế Anh, nó ảnh hưởng tới hãng đường sắt Deutsche Bahn (Đức), nhà sản xuất ôtô Renault, Nissan, Honda, các sở cảnh sát ở Ấn Độ, hãng viễn thông Tây Ban Nha Telefónica, hãng chuyển phát FedEx và cả Boeing...
Mức độ thiệt hại ước tính trong buổi chiều hôm đó khoảng 4 đến 8 tỷ USD. 14h30 ngày 12/5, Marcus Hutchins mở máy tính và thấy thế giới Internet đang hoảng loạn. Trong vài phút, một người bạn hacker có tên Kafeine gửi Hutchins đoạn sao chép mã WannaCry. Cậu phát hiện trước khi mã hóa file, mã độc gửi lệnh tới trang web có địa chỉ như được gõ bừa “iuqerfsodp9ifjapo… wea.com.”
 |
| Người hùng từng giải cứu thế giới khỏi mã độc WannaCry |
Khi một mã độc kết nối tới domain như vậy, thường có nghĩa nó đang liên lạc với một máy chủ điều khiển và ra lệnh từ xa. Hutchins chép địa chỉ vào trình duyệt và ngạc nhiên thấy site không tồn tại. Cậu lập tức vào dịch vụ đăng ký tên miền Namecheap và mua tên miền này với giá 10,69 USD. Hutchins hy vọng có thể kiểm soát một phần những máy tính nhiễm WannaCry từ tác giả mã độc, hay ít nhất có thể theo dõi số lượng và vị trí của máy tính bị nhiễm. Hành động này được giới bảo mật gọi là kỹ thuật ‘sinkhole’.
Ngay sau khi thiết lập tên miền trên cụm máy chủ của Kryptos Logic, nó bị dội về hàng ngàn kết nối từ những thiết bị “dính” WannaCry trên toàn cầu. Hutchins chia sẻ điều này lên Twitter và lập tức nhận hàng trăm email từ các nhà nghiên cứu, nhà báo, quản trị hệ thống...
Trong khoảng 4 giờ tiếp theo, cậu dựng bản đồ theo dõi lượt lây nhiễm mới, như cậu từng làm với botnet Kelihos, Necurs... Trước khi mã hóa file, mã độc kết nối tới địa chỉ web của Hutchin. Nếu không kết nối được, nó sẽ phá hủy nội dung trên máy tính. Nói cách khác, nếu tên miền của Hutchins tiếp tục hoạt động, các ca nhiễm mới vẫn lan rộng nhưng không gây thiệt hại vì mã độc đã bị cô lập. Hutchins đã tìm ra “công tắc” tắt mã độc. “Nếu tên miền sập, khủng hoảng WannaCry sẽ được tái khởi động”, Marcus phân tích.
Ngay sau đó, một trong những botnet mã độc đã mở cuộc tấn công DDoS với mục tiêu đánh sập tên miền Hutchins đang nắm giữ. Thậm chí, cảnh sát Pháp hiểu lầm tên miền này thuộc về những tên tội phạm đứng sau WannaCry nên đã thu giữ hai máy chủ của công ty Kryptos. Trong một tuần, Hutchin gần như không ngủ để giữ “công tắc” tắt WannaCry không bị đụng tới.
Danh vọng bất ngờ
Trong lúc đó, danh tính của Hutchins cũng bị phát hiện. Sáng 14/5/2017, một nhà báo xuất hiện trước cửa nhà Hutchins bởi cô nhận ra cậu qua một bức ảnh trên Facebook. Báo chí Anh bắt đầu đăng loạt bài về “người dùng cứu thế giới từ phòng ngủ”. Hutchins thậm chí phải nhảy qua tường rào sau nhà để tránh phóng viên. Để không bị làm phiền, cậu chỉ đồng ý trả lời phỏng vấn AP, thậm chí căng thẳng tới mức còn đọc sai họ của mình. Hutchins căng thẳng bởi lo ngại kẻ đứng đằng sau sẽ tung ra phiên bản mới của WannaCry để loại bỏ “công tắc” của cậu.
Khi mối nguy hiểm lắng xuống, Salim Neino cảm thấy lo lắng cho tình trạng sức khỏe của Hutchins. Giữa lúc WannaCry bùng phát, ông chủ hãng bảo mật này còn trả lương cho Marcus 1.000 USD cho mỗi giờ… đi ngủ vì lo cậu ta sẽ lao lực vì mải mê chống chọi với cơn ác mộng của thế giới mạng. Hutchins thu hút hơn 100.000 người theo dõi trên Twitter. Những người lạ cũng nhận ra và mời cậu đồ uống để cảm ơn vì cứu Internet.
Tới hội thảo hacker Defcon vào tháng 8/2017 - một trong những hội thảo hacker lớn nhất thế giới, Marcus được ca tụng như người hùng, lúc này cậu ta là “ngôi sao” của thế giới bảo mật. Nhưng rồi khi vừa kết thúc hội thảo, Marcus đang ngồi chờ ở sân bay để về nhà thì thì 3 người tiến lại gần, đề nghị cậu theo họ tới một lối đi riêng.
Tại đó, cậu bị còng tay bởi người một điều tra viên có mái tóc đỏ. “Thành thật mà nói, Marcus, chuyện này không dính dáng tới WannaCry”, Lee Chartier - điều tra viên với mái tóc đỏ nói và rút ra lệnh bắt giữ. Những người này hỏi cậu về quá trình học tập và Kryptos Logic - công ty bảo mật cậu đang làm việc. Rồi họ hỏi về một chương trình có tên Kronos. “Kronos. Tôi biết…”, Marcus trả lời và cảm thấy “lạnh người”, cậu hiểu rằng “vết đen” trong quá khứ đã quay lại và giờ cậu ta phải trả giá...
(Còn nữa)
