Mất 630 triệu USD vì phần mềm máy tính Racoon Infostealer

Những manh mối ban đầu

Từ giữa năm 2018, cảnh sát thành phố New York cùng các bang California, Florida, Texas, Georgia, Michigan…, Mỹ, nhận được nhiều đơn trình báo rằng tài khoản ngân hàng của họ bị đột nhập và số tiền bị chiếm đoạt lên đến hàng trăm triệu USD dù họ không hề truy cập vào những đường dẫn (link) lạ, là thủ đoạn mà tin tặc vẫn thường sử dụng để chiếm quyền điều khiển email, Facebook, Twitter, Instagram, Telegram… của nạn nhân.

Ở châu Âu, cảnh sát Anh, Pháp, Hà Lan, Italia, Đức và một số quốc gia khác cũng nhận được những trình báo tương tự. Kết quả truy xét ban đầu cho thấy tin tặc đã sử dụng một thuật toán phức tạp để thực hiện hành vi phạm tội này. Do không đủ khả năng để xử lý, cảnh sát Mỹ đề nghị Cục Điều tra liên bang Mỹ (FBI) vào cuộc.

Cuối năm 2018, bộ phận chống tội phạm công nghệ cao của FBI xác định tin tặc đã sử dụng một phần mềm gọi là Racoon Infostealer. Tính năng độc đáo của phần mềm này là tin tặc không cần phải gửi đến nạn nhân một hay nhiều đường dẫn chứa mã độc mà chúng chỉ cần gõ địa chỉ email hoặc tên đăng nhập Facebook, Twitter, Instagram… vào Racoon Infostealer và nếu chủ tài khoản đã mặc định mật khẩu trong hộp thư thì ngay lập tức, nó sẽ chuyển về cho tin tặc. Còn nếu mỗi lần vào hộp thư, chủ tài khoản mới nhập mật khẩu thì tin tặc sẽ ung dung ngồi chờ mật khẩu chuyển đến, kể cả khi chủ tài khoản đã cẩn thận thiết lập hàng rào bảo vệ 2 lớp.

Tiếp tục tìm kiếm, FBI phát hiện một lỗi bảo mật trong phần mềm Racoon Infostealer và từ lỗi này, họ biết một tài khoản iCloud mang tên Sokolovsky. Điều đáng nói là trong tài khoản ấy, có ảnh của một thanh niên đang tạo dáng với một bó USD trên tay. Bằng phép so sánh những điểm tương đồng, mạng trí tuệ nhân tạo (Al) trong hệ thống máy tính của FBI cho ra kết quả người trong hình là Mark Sokolovsky, quốc tịch Ukraine, đã tốt nghiệp hạng xuất sắc ngành công nghệ thông tin tại Học viện kỹ thuật Columbia Basin College, bang Washington, Mỹ. Nhưng để biết Sokolovsky hiện đang ở đâu, cũng như chứng minh anh ta là tác giả của những vụ chiếm đoạt tài sản bằng phần mềm Racoon Infostealer thì không dễ dàng bởi lẽ theo dõi các dịch chuyển của tài khoản iCloud trên mạng, FBI nhận thấy lúc thì Sokolovsky ở thành phố Kharkiv, lúc ở thủ đô Kyiv của Ukraine, lúc ở Bỉ và có lúc anh ta ở Đức. Bước tiến đáng kể nhất là khi làm việc với Interpol Italia và Hà Lan, FBI thu được một bản sao của máy chủ chứa phần mềm Raccoon Infostealer. Từ bản sao này, FBI xác định đã có hơn 50 triệu tài khoản ở nhiều nơi trên thế giới bị Raccoon Infostealer xâm nhập, chiếm quyền điều khiển email, tài khoản ngân hàng, địa chỉ tiền điện tử, số thẻ tín dụng… mà chủ nhân của nó chỉ phát hiện khi tiền bạc của họ đã không cánh mà bay.

Mark Sokolovski là ai?

Sinh năm 1996, lớn lên tại Ukraine và đã tốt nghiệp  ngành công nghệ thông tin với hạng xuất sắc tại Học viện kỹ thuật Columbia Basin College, bang Washington, Mỹ. Giáo sư Ted Easter, người trực tiếp giảng dạy Sokolovski cho biết, Sokolovski là sinh viên giỏi, nhiều thuật toán lập trình hầu như đã nằm sẵn trong đầu anh ta, chỉ cần gõ phím là nó xuất hiện.

Ra trường, Sokolovsky quay về Ukraine và sống ở thành phố Kharkiv. Tại đây, anh ta bắt tay vào việc viết phần mềm gián điệp Raccoon Infostealer. Lời khai của Sokolovsky sau khi bị bắt cho thấy dưới mắt anh ta, các phần mềm chiếm quyền điều khiển tài khoản trên mạng Internet bằng cách nhúng mã độc là “quá đơn giản, dễ bị phát hiện và triệt tiêu bằng các chương trình chống virus”. Vì thế Sokolovsky muốn làm một cái gì đó “độc đáo hơn, khó bị vô hiệu hóa hơn”.

Đầu năm 2018, Sokolovsky hoàn chỉnh phần mềm Raccoon Infostealer. Trước khi tung ra thị trường tin tặc, anh ta đã thử nghiệm trên 500 tài khoản khác nhau nhưng không chiếm đọat tiền bạc của bất kỳ một người nào. Sokolovsky cho biết mục đích lúc ấy của anh ta chỉ là tìm ra những khiếm khuyết, những lỗ thủng của Raccoon Infostealer để bổ sung những miếng vá: “Trong quá trình theo dõi, nếu email của một ai đó đã bị tôi chèn Raccoon Infostealer nhưng chỉ sau vài ngày hoặc vài giờ mà họ đột ngột thay đổi mật khẩu thì có nghĩa là họ đã nhận ra sự bất thường. Vì thế, tôi phải viết thêm một vài dòng lệnh trong phần mềm để không còn ai phát hiện sự bất thường ấy”.

Vẫn theo Solokovski, ngay cả khi người ấy có 3 email khác nhau, chẳng hạn 1 dùng cho các quan hệ bình thường, 1 cho các giao dịch tài chính và 1 cho những thông tin bí mật, nhạy cảm thì Raccoon Infostealer vẫn dò ra, căn cứ vào các thông số internet protocol (IP) lúc người ấy thiết lập email. 

Tuy nhiên, Solokovski không trực tiếp sử dụng Raccoon Infostealer để chiếm đoạt tài sản của người khác mà anh ta chỉ bán phầm mềm ấy cho những ai có nhu cầu. Với các nickname như “photix”, “raccoonstealer” và “black21jack77777”, giữa năm 2019 Sokolovski rao bán nó trên một số trang web tiếng Nga với giá 75 USD, sử dụng trong 1 tuần hoặc 200 USD, sử dụng trong trong 1 tháng nhưng phải trả bằng tiền điện tử. David Stevenson, sĩ quan FBI trực tiếp điều tra vụ Sokolovsky cho biết thời điểm ấy, bang Texas, Mỹ, là nơi đầu tiên phát hiện những vụ mất tiền trong tài khoản ngân hàng và thẻ tín dụng, vụ ít nhất là 20.000 USD còn vụ nhiều nhất là 150.000 USD nên theo luật, Texas là bang có nhiệm vụ thụ lý.

Năm 2020, phần mềm Raccoon Infostealer tiếp tục xuất hiện trên nhiều trang web tiếng Anh, tiếng Ý… Vẫn theo David Stevenson: “Sau khi mua nó rồi sau khi cài đặt và khởi chạy trên máy tính hoặc điện thoại thông minh của bạn, bạn không thể sao chép để chia sẻ nó với máy tính hay thiết bị di động của người khác. Nói nôm na nó là “hàng dành riêng cho một mình bạn”. Vì thế, tin tặc muốn đột nhập vào tài khoản của một ai đó, họ buộc phải mua phần mềm này rồi sau khi xài hết thời gian quy định, tin tặc lại phải tiếp tục mua nữa nếu vẫn muốn trộm cắp tài sản.

Từ đó cho đến đầu năm 2022, Sokolovski đã bán hàng triệu phần mềm Raccoon Infostealer bởi lẽ trong số những dữ liệu được FBI phục hồi, có khoảng 50 triệu địa chỉ email, mật mã đăng nhập tài khoản ngân hàng, địa chỉ tiền điện tử, thẻ tín dụng…, mà chủ nhân của nó hiện đang sống ở Mỹ, Anh, Pháp, Hà Lan, Italia, Đức… đã bị Raccoon Infostealer xâm nhập. Bên cạnh đó, một số dữ kiện được FBI khôi phục cho thấy tin tặc cũng đã dùng phần mềm Raccoon Infostealer mua của Sokolovski để lấy thông tin từ hệ thống lưu trữ của một số công ty Mỹ và các lực lượng vũ trang Mỹ. Và mặc dù ông David Stevenson không tiết lộ số tiền bị chiếm đoạt bởi những kẻ sử dụng phần mềm Raccoon Infostealer nhưng qua sự khiếu nại của khách hàng, các chuyên gia tài chính ước lượng vào khoảng 630 triệu USD. Riêng Sokolovski kiếm được bao nhiêu từ việc bán phần mềm thì vẫn còn là bí mật.

Vỏ quýt dày, móng tay nhọn

Ngày 24/2/2022, cuộc xung đột vũ trang Nga - Ukraine nổ ra. Lúc ấy Sokolovski đang sống ở thành phố Kharkiv. Do sợ phải đi lính nên anh ta đã cùng tình nhân bỏ trốn khỏi Ukraine. Sĩ quan FBI David Stevenson cho biết qua theo dõi tài khoản điện toán đám mây (iCloud) của Sokolovski, FBI phát hiện anh ta cùng nhân tình từ Kharkiv lên thủ đô Kyiv rồi sau đó sang Ba Lan trên một chiếc xe hơi thể thao hạng sang Porsche Cayenne. Ở lại Ba Lan vài ngày, Sokolovski cùng tình nhân đi Đức và điểm dừng chân cuối cùng của họ là Hà Lan.

Cuối tuần đầu tiên của tháng 3/2022, trên trang web Raccoon Infostealer do Sokolovski điều hành xuất hiện một thông báo, gửi đến các khách hàng với nội dung “Chúng tôi rất tiếc rằng một lập trình viên chủ chốt của Raccoon Infostealer đã thiệt mạng trong những ngày đầu của cuộc xung đột nên dịch vụ cung cấp phần mềm tạm thời đóng cửa”. Nhưng theo FBI, đó chỉ là một đòn nghi binh của Sokolovski vì có thể anh ta biết mình đang bị theo dõi. Thông báo ấy được đưa ra với mục đích đánh lạc hướng trong việc điều tra về anh ta.

Ngày 18/3, bộ phận mã thám của FBI ghi nhận điện thoại của Sokolovski có vài cuộc gọi đi, đến, phát xuất từ thành phố Bonn, Cộng hòa liên bang Đức nhưng họ không định vị được địa điểm phát xuất vì mỗi cuộc gọi chỉ kéo dài dưới 6 giây. Lúc ấy họ cũng không biết rằng ngay hôm sau, Sokolovski cùng nhân tình sang Amsterdam, Hà Lan, quốc gia mà cặp đôi này tin rằng đó là nơi an toàn nhất. Tuy nhiên đến ngày 19/3, chẳng hiểu hứng chí thế nào mà cô nhân tình của Sokolovski lại nhờ một khách qua đường chụp cho cặp đôi này một tấm hình khi họ ôm nhau trước quảng trường trung tâm thành phố. Đã thế, sau khi chụp xong nhân tình của Sokolovski còn tung nó lên trang Instagram nên việc xác định nơi ẩn náu của Sokolovski với FBI là việc khá dễ dàng. 

Ngày 20/3/2022, được sự ủy nhiệm của Bộ Tư pháp Mỹ, Interpol Hà Lan bắt Sokolovski. Bộ Tư pháp Mỹ cho biết Sokolovski sẽ bị dẫn độ về Mỹ để xét xử. Nếu bị kết tội, anh ta có thể lĩnh án 20 năm tù giam vì tội “lạm dụng và lừa đảo thông qua mạng máy tính”, 5 năm về tội “rửa tiền, gian lận điện tử” và thêm 2 năm nữa cho tội “đánh cắp thông tin cá nhân”. Sĩ quan FBI David Stevenson nói: “5 ngày sau khi Sokolovski bị bắt, trên trang web Raccoon Infostealer xuất hiện một thông báo, nội dung cho biết “dịch vụ này sẽ đóng cửa” nhưng không hề nhắc gì đến việc bắt giữ kẻ cầm đầu. Như vậy Sokolovski vẫn còn có những đồng phạm”.

Vẫn theo FBI, cũng trong quá trình điều tra, cơ quan này đã phát hiện gần 600 tài khoản chuyên bán phần mềm Raccoon Infostealer ở 27 quốc gia trên thế giới, và họ đang phối hợp với các ngành chức năng ở những quốc gia ấy để đưa những tin tặc này ra trước vành móng ngựa, đồng thời FBI còn thiết lập một trang web để những nạn nhân bị mất tiền có thể kiểm tra xem thông tin cá nhân của họ có nằm trong số những dữ liệu được FBI thu thập hay không. Luật sư Ashley Hoff thuộc tòa hình sự bang Texas, nơi thụ lý hồ sơ của Sokolovski cho biết: “Đây là một vụ án mang tính toàn cầu, có quy mô rất lớn, điều hành bởi những tin tặc chuyên nghiệp”.

3 tháng sau vụ bắt giữ Sokolovski, một bất ngờ nữa lại xảy ra. Trên trang Telegram xuất hiện phiên bản thứ 2 của Raccoon Infostealer nhưng được gọi là Raccoon Stealer, vẫn với tính năng trộm cắp tài khoản nhưng đã được chỉnh sửa một số thuật toán quan trọng nhắm tránh bị phát hiện. Một đặc vụ FBI cho biết: “Nó xử lý rất nhanh và đơn giản nên ngay cả một người ít am hiểu về công nghệ thông tin cũng có thể sử dụng được. Tuy nhiên đã là thú dữ thì thế nào cũng sẽ bị săn thôi…”.