Appin - siêu trộm dữ liệu

Kẻ giấu mặt

Bộ lạc da đỏ Shinnecock sống trên đảo Long Island, New York, Mỹ từ lâu phải chịu cảnh sống trong nghèo đói. Vào năm 2012, một doanh nhân tên Chuck Randall đề xuất với hội đồng tộc trưởng Shinnecock dự án xây dựng sòng bạc trên đất của thổ dân. Hội đồng tộc trưởng nhanh chóng đặt bút ký vào hợp đồng dự án với Randall vì mong muốn mở ra cơ hội kinh tế mới cho bộ tộc.

Vậy nhưng chỉ vài ngày trước khi dự án chính thức khởi công, hàng trăm truyền đơn bất ngờ xuất hiện trước cửa nhà người Shinnecock. Truyền đơn nói về kế hoạch ăn chia “phần trăm” giữa các vị tộc trưởng và Chuck Randall. Nếu chỉ có vậy thì đã chẳng mấy người tin, nhưng tờ đơn lại còn trích lục cả những email gửi từ hòm thư của Randall. Vì phải hứng chịu sự phản ứng dữ dội của cộng đồng mà hội đồng tộc trưởng Shinnecock đành phải cắt đứt quan hệ với Randall và hủy bỏ dự án sòng bạc.

Chuck Randall chỉ là một trong hàng trăm nạn nhân của Appin. Công ty dữ liệu đóng tại New Dehli này chuyên hack vào tài khoản email và đánh cắp thông tin người dùng. Khách hàng của họ có cả cá nhân lẫn các tập đoàn lắm tiền ở phương Tây. Chỉ cần biết đến tên tuổi và một số thông tin cá nhân khác của chủ hòm thư điện tử là các chuyên gia của Appin đã có thể đánh cắp hết dữ liệu của họ. Theo tài liệu nội bộ của Google được hãng tin Reuters công bố, Google xếp Appin vào nhóm các đối tượng chuyên thực hiện “theo dõi điện tử”, “lừa đảo phi kỹ thuật” và “chiến tranh mạng”.

Ông Shane Huntley, trưởng bộ phận tình báo điện tử của Google, giải thích: “Trong vòng 10 năm qua Appin đã tấn công hơn 30.000 tài khoản Gmail. Công suất hoạt động của họ vượt quá mức của một nhóm hacker thông thường. Họ buộc chúng tôi phải thay đổi quy trình xử lý tội phạm mạng”.

Trong cuộc chiến “vô hình” với Appin, phía Mỹ được dẫn đầu bởi 3 công ty an ninh mạng là SentinelOne, Mandiant và Symantec. Nhà nghiên cứu Tom Hagel làm việc cho SentinelOne là người trực tiếp đảm trách việc điều tra Appin. Ông giải thích: “Nói đơn giản thì Appin là một dạng “gián điệp cho thuê”. Đầu tiên khách hàng sẽ phải nhờ một người quen giới thiệu với Appin để được cấp một tên người dùng và mật khẩu. Sau đó họ sẽ đăng nhập vào một trang web bí mật mang tên “My Commando” để lựa chọn gói dịch vụ hacker mà họ muốn mua. Đó có thể là gửi email mời chào nhận việc, hay nhắn tin qua Facebook để hứa hẹn hối lộ. Khách hàng sẽ lựa chọn phương thức mà họ cho là phù hợp nhất đối với mục tiêu của họ”.

“Sự thành công của Appin nằm ở sự tiện lợi và sát sườn của họ. Khách hàng có thể theo dõi tiến trình hack của Appin theo thời gian thực trên website My Commando. Nếu nạn nhân tỏ dấu hiệu nghi ngờ, khách hàng có thể lập tức đưa ra chỉ đạo cho Appin để họ thay đổi hướng tiếp cận”.

Một khách hàng cũ của Appin là Jochi Gómez, Tổng biên tập báo điện tử El Siglo 21 ở Cộng hòa Dominica. Gómez nhận xét: “Họ có bộ máy tình báo vận hành trơn tru nhất mà tôi từng gặp... Mỗi tháng tôi trả họ từ 5.000 đến 10.000 USD để theo dõi các quan chức Dominica, trong đó có cả Tổng thống khi đó là ông Leonel Fernández. Thông tin họ cung cấp có thể kiếm về cho tờ báo khoản lợi nhuận gấp ba số tiền bỏ ra”.

Jochi Gómez là 1 trong số 70 khách hàng của Appin mà hãng tin Reuters điều tra ra được. Đa số khách hàng của Appin là các thám tử tư từ Mỹ, Anh, Thụy Sỹ và các nước phương tây khác. Điểm đáng chú ý hơn những nạn nhân của Appin. Công ty được thuê để hack đủ mọi loại người khác nhau, từ một kiến trúc sư ở New Jersey (Mỹ) ngoại tình đến những triệu phú chuyên buôn bán trang sức và hội họa ở New York và Paris.

Nhiều khách hàng của Appin dùng tên thật của họ để giao dịch, nhưng có một người lại dùng cái tên giả là “Jim H”. Jim H đã thuê Appin hack vào tài khoản của hơn 30 cá nhân khác nhau chỉ trong hai năm 2011 và 2012. Một số là người nước ngoài, ví dụ như bà Tatiana Akhmedova, vợ cũ tỷ phú Azerbaijan Farkhad Akhmedov (hai người từng kiện nhau ra tòa để phân chia khối tài sản trị giá hơn 1 tỷ USD).

Nhưng có không ít cá nhân người Mỹ bị Jim H nhắm vào, đơn cử như là bà Kristi Rogers, vợ của hạ nghị sỹ Mike Rogers đang giữ chức Chủ tịch Hội đồng Tình báo Quốc hội Mỹ. Jim H được công ty an ninh Global Integrated Security của Mỹ thuê để “tiêu diệt” đối thủ cạnh tranh là AEGIS ở Anh. Bà Kristi Rogers khi đó là chủ tịch kiêm CEO của AEGIS. Mục tiêu của Global là “nẫng tay trên” của AEGIS trong gói thầu bảo vệ an ninh cho dự án xây dựng căn cứ quân sự Mỹ ở Afghanistan trị giá 450 triệu USD. Bằng cách gửi email lừa đảo cho bà Kristi, Appin đã chiếm đoạt được thông tin cá nhân của bà để giao cho Jim H. Không lâu sau đó Global Security đã trúng gói thầu kể trên. Nếu nhà chức trách Mỹ tìm được Jim H thì họ hoàn toàn có thể buộc cá nhân này các tội danh liên quan đến lừa đảo điện tử, gián điệp công nghiệp và phản quốc.

Có hai khách hàng người Israel của Appin là Aviram Halevi và Tamir Mor. Cả hai đều là thám tử tư. Cả hai cũng đều từng là trung tá quân đội Israel trước khi giải ngũ để theo đuổi nghề thám tử. Aviram Halevi thuê Appin trộm lấy dữ liệu của cố tỷ phú Nga Boris Berezovsky. Khi đó ông Berezovsky đang kiện tỷ phú Roman Abramovich ra tòa án Anh để tranh chấp quyền sở hữu công ty dầu khí Sibneft (nay là Gazprom Neft, công ty con của tập đoàn Gazprom). Boris Berezovsky sau đó thua kiện. Không loại trừ khả năng Aviram Halevi được phía Roman Abramovich thuê để điều tra về ông Berezovsky. Ngoài Berezovsky ra, luật sư Mark Hastings của ông ta cũng bị Appin “đặt vào tầm ngắm”.

Nạn nhân của Tamir Mor là chính trị gia Malaysia Mohamed Azmin Ali, nguyên bộ trưởng cấp cao (tương đương với phó thủ tướng) phụ trách kinh tế. Ông Azmin Ali đã dành nhiều năm đảm nhiệm vị trí lãnh đạo đảng đối lập và thậm chí từng có thời điểm giữ vai trò thủ tướng tạm quyền. Hiện không biết mục tiêu của Tamir Mor khi nhắm đến ông Azmin Ali là gì, nhưng nhà chức trách Malaysia đã tuyên bố sẽ hợp tác với các tổ chức nước ngoài để làm rõ vụ việc này.

Vòi bạch tuộc

Appin được thành lập và điều hành bởi hai anh em Anuj và Rajat Khare. Ý tưởng về Appin hình thành trong đầu Rajat Khare vào năm 2003, khi anh ta vẫn còn là sinh viên năm 2 ngành tin học tại đại học New Dehli. Ban đầu Appin chuyên đào tạo tin học cho người Ấn đi làm “gia công phần mềm” cho các tập đoàn công nghệ nước ngoài. Nhưng Appin thay đổi hoàn toàn sau khi người anh trai Anuj Khare gia nhập công ty. Anuj từng có kinh nghiệm làm việc nhiều năm ở thung lũng Silicon nên rất hiểu về “thế giới ngầm” của hacker khi đó và nhu cầu về gián điệp điện tử của giới cầm quyền.

Sau một vài năm đào tạo hacker, Appin nhận được hợp đồng lớn đầu tiên vào năm 2007. Cơ quan tình báo RAW của Ấn Độ thuê Appin để đánh cắp tài khoản email các cá nhân, tổ chức mà họ muốn theo dõi. Để thực hiện việc này, đầu tiên Appin thành lập một công ty con làm bình phong mang tên ASG. Nhân viên ASG sẽ ký hợp đồng giữ bí mật với công ty mẹ, sau đó được chuyển đến các trạm server bí mật của RAW để tác nghiệp.

“Tiếng lành đồn xa”. Không lâu sau khi thế giới tình báo biết được về sự thành công của Appin, công ty này bắt đầu nhận được những hợp đồng từ trên khắp thế giới, trong đó có cả Cục Điều tra liên bang Mỹ FBI và Tổng cục an ninh đối ngoại Pháp DGSE. Mà đấy chỉ là những khách hàng mà Appin còn ký kết hợp đồng, từ đó trở thành bằng chứng cho các nhà điều tra. Appin nhiều khi chỉ ký kết hợp đồng miệng với các khách hàng cá nhân. Trích lời một cựu nhân viên Appin: “Họ hiểu rằng những gì họ thuê chúng tôi làm, chúng tôi có thể làm gấp 10 lần với họ trong trường hợp họ “vượt mặt” chúng tôi”.

Lợi nhuận vào năm 2009 của Appin đạt mức 1 triệu USD, và đây chỉ là các khoản được kê khai thuế. Lợi nhuận thực sự của họ có thể lớn gấp 10 lần con số trên. Tuy vậy, khoản lợi nhuận kếch sù đó đã khiến các lãnh đạo Appin mất hết sự khôn ngoan. Appin bắt đầu đem dữ liệu mà họ thu thập được cho các cơ quan tình báo bán cho bên thứ ba. Sau khi biết được sự phản bội của Appin, không ít đối tác của họ đã ngay lập tức chấm dứt hợp đồng và thề sẽ “trả miếng”.

Người đầu tiên đi kiện Appin ra tòa tuy vậy lại không có liên quan gì đến tình báo. Ông Peter Hargitay là chuyên gia marketing cấp cao của tập đoàn cố vấn truyền thông ECN của Thụy Sỹ. Liên đoàn bóng đá Úc thuê ông Hargitay làm cố vấn để giúp họ thắng trong cuộc đua dành suất đăng cai World Cup 2022 tại nước họ. Phải đến khi Úc để mất quyền đăng cai vào tay Qatar thì ông Hargitay mới biết mình đã bị Appin ăn trộm dữ liệu. Ngay sau đó ông Hargitay đã đi kiện Appin ra tòa.

Anh Stevie Hargitay, con trai của ông Peter Hargitay, cho biết: “Appin gọi cho bố tôi và tôi để van xin rút đơn kiện. Họ nói là sẵn sàng chi trả các khoản bồi thường cho bố tôi... Có một lần một nhân viên Appin để lộ ra rằng họ được người Mỹ thuê để hack email bố tôi. Khi bố tôi thử hỏi dò xem người Mỹ đó là ai thì họ ngay lập tức dập máy”.

Sau đó một loạt đơn kiện Appin khác liên tục xuất hiện ở tòa án các nước. Chỉ riêng ở Mỹ, Na Uy, Thụy Sỹ và Cộng hòa Dominica đã có 6.000 đơn kiện Appin đang được thụ lý. Điều này đã đặt dấu chấm hết cho Appin. Công ty này đang bị Cục Điều tra Trung ương Ấn Độ “đóng băng” để điều tra. Cả Rajat và Anuj Khare đều đang chịu quản thúc tại gia. Vậy nhưng Appin chấm dứt không có nghĩa là mối họa đã hết.

Chuyên gia Shane Huntley cảnh báo: “Đội ngũ hacker của Appin có thể lên đến hàng trăm người. Nhiều người trong số đó đã tự mở công ty riêng rồi copy mô hình hoạt động của Appin. Ví dụ như năm ngoái tập đoàn Meta tìm ra công ty CyberRoot Risk Advisory đã phát tán mã độc trên nền tảng Facebook và Instagram của họ. Rồi trước đó thì phóng viên Jay Solomon của tờ Wall Street Journal đã bị hai công ty Ấn Độ CyberRoot và BellTroX InfoTech Services tấn công dữ liệu. Gần đây Google đã phát hiện Rebsec Solutions quảng cáo dịch vụ hacker công khai”.

Người sáng lập ra Rebsec Solutions là Sumit Gupta từng làm việc cho Appin. Gupta thừa nhận trong một cuộc phỏng vấn vào năm 2022 rằng: “Appin là “ông tổ” của ngành hacker Ấn Độ”.  Các thế hệ “con cháu” của Appin vẫn sẽ tồn tại khi mà vẫn có các cá nhân, tổ chức thuê họ ăn trộm dữ liệu. Có lẽ cách duy nhất để thiết lập lại trật tự, an toàn mạng là trực tiếp “đánh vào” đối tượng khách hàng của các hacker.