-
09/04/2020
-
85
-
553 bài viết
Nhật ký băng đảng ransomware Conti, phần IV: Tội phạm tiền mã hóa
Trong các phần trước của loạt truyện, ta đã tìm hiểu về những đoạn nhật ký trò chuyện của băng đảng Conti bị rò rỉ qua nhiều năm. Các tin nhắn đã phơi bày cách mà Conti lẩn trốn cơ quan thực thi pháp luật và tình báo, những chuyện xảy ra tại văn phòng Conti cũng như cách chúng bảo vệ “kho vũ khí” của mình. Và ở phần cuối, hãy cùng khám phá những kế hoạch khác nhau mà băng đảng ransomware theo đuổi để đầu tư và đánh cắp tiền mã hóa.
Theo công ty nghiên cứu dữ liệu Blockchain Chainalysis, chỉ trong năm 2021, Conti đã “đút túi” khoảng 180 triệu đô (khoảng 4.200 tỷ VND) từ các khoản tiền chuộc, cao hơn bất kỳ nhóm tội phạm mạng nào. Và khi đã ở vị thế của “ông trùm” trong giới tin tặc tống tiền, tất nhiên Conti có xu hướng tích trữ nhiều tiền điện tử, như Bitcoin chẳng hạn.
“Khối của cải” dồi dào này cho phép Conti làm những điều mà các nhà đầu tư thông thường không thể như thao túng giá, hay tạo dựng một nền tảng tiền mã hóa riêng và "nuôi" nó bằng hàng loạt những đồng tiền mã hóa phi pháp các nhà đầu tư ma.
Kẻ đi đầu trong phong trào các dự án tiền mã hóa của Conti không ai khác chính là Stern – quản lý cốt cán của băng đảng. Hắn bị ám ảnh bởi ý tưởng thành lập một dự án tiền mã hóa của riêng mình cho các ứng dụng blockchain đa nền tảng.
Ngày 03 tháng 11 năm 2021, Stern tâm sự với một nhân viên của Conti có biệt danh Bloodrush rằng: “Chắc anh ‘nghiện’ đi buôn thật, toàn cuồng defi (tài chính phi tập trung), blockchain và mấy dự án mới thôi. Công ty lớn thì có cả đống bí mật ấy, cứ coi đó là giá trị lõi của họ nhé, mấy cái bằng sáng chế và dữ liệu đây này”.
Trong một cuộc thảo luận kéo dài nhiều tháng tại phòng chat nội bộ, Stern cho biết tham vọng tạo ra vũ trụ tiền mã hóa của riêng Conti.
Có ai biết về Ethereum, Polkadot và Binance smart chain (BSC - Chuỗi thông minh Binance)… không?” - Stern viết - “nghiên cứu các hệ thống ấy đi, về code và nguyên lý hoạt động. Để dựng được nền tảng riêng của chúng ta, thì ở đó sẽ phải sẵn sàng để có thể “tích hợp” NFT (token không thể thay thế), DEFI (tài chính phi tập trung), DEX (sàn giao dịch phi tập trung) cùng tất cả các xu hướng mới đang và sẽ có. Còn hãy để những người khác tạo ra coin, sàn giao dịch và dự án của riêng họ trên hệ thống của chúng ta”.
Có vẻ như Stern đã trả tiền cho nhiều bên phát triển để theo đuổi khái niệm xây dựng hệ thống mạng ngang hàng (P2P) cho hợp đồng thông minh (smart contract) – chương trình lưu trữ trên blockchain và chỉ thực thi khi các điều kiện trao đổi trước đó được đáp ứng.
Không rõ vì lý do nào khiến băng đảng Conti quan tâm đến hợp đồng thông minh, nhưng ý tưởng về một nhóm ransomware yêu cầu các khoản thanh toán qua hợp đồng thông minh không phải là mới. Vào năm 2020, các nhà nghiên cứu từ Trường Khoa học Thông tin và Công nghệ Đại học Athens ở Hy Lạp đã chỉ ra cách các yêu cầu thuê ransomware một ngày nào đó có thể được thực thi thông qua các hợp đồng thông minh.
Trước đó, Jeffrey Ladish - chuyên gia tư vấn an ninh thông tin làm việc tại Oakland, California - đã viết một bài phân tích gồm hai phần lý giải tại sao hợp đồng thông minh sẽ càng khiến các nhóm tin tặc ransomware kiếm nhiều tiền hơn.
Ladish viết: “Bằng cách sử dụng một hợp đồng thông minh, những kẻ chủ mưu có thể “bán” cho nạn nhân của họ khóa giải mã (decryption key) dễ dàng. Tức là nạn nhân có thể gửi một số tiền vào một hợp đồng thông minh với sự đảm bảo rằng họ sẽ hoặc nhận được khóa giải mã cho dữ liệu của mình hoặc lấy lại tiền nếu phi vụ đổ bể. Đây chính là sự đảm bảo rằng hợp đồng thông minh sẽ xử lý giao dịch một cách công bằng” mà không cần phải quan tâm hacker là ai.
Một nhân viên khác của Conti có nickname là Van - trưởng nhóm trong kế hoạch phát triển nền tảng tiền điện tử P2P cho biết hắn đang phát triển nền tảng này dựa trên ngôn ngữ lập trình Rust.
“Em đang cố tạo một mạng p2p bằng Rust sếp ạ” - Van nói với Demon vào ngày 19 tháng 2 năm 2022 (Demon được cho là một trong những bí danh của Stern). “Em đang phân loại nó ra và đã bắt đầu code rồi”.
“Thật tuyệt là chú mày thích Rust” - Demon trả lời. "Rust sẽ có ích cho ta trong các hợp đồng thông minh”.
Stern tin vào giấc mơ tiền mã hóa của mình đến nỗi hắn đã tài trợ cho một cuộc thi viết trị giá 100.000 đô la trên diễn đàn tội phạm mạng nói tiếng Nga có tên Exploit, yêu cầu những ứng viên quan tâm đưa ra nhiều ý tưởng khác nhau cho nền tảng tiền mã hóa. Các cuộc thi như vậy là một cách dễ dàng để mua “tài sản trí tuệ” cho các dự án đang thực hiện và cũng là công cụ tuyển dụng hiệu quả cho các tổ chức tội phạm mạng.
“Cuộc thi viết về tiền mã hóa! [100.000 đô la]”, người quản lý cấp trung của Conti - Mango - viết cho Stern - “Sếp đang làm cái quái gì vậy…?”.
Chỉ vài ngày sau, Mango báo cáo với Stern rằng hắn đã “chuẩn bị xong xuôi mọi việc cả mạng xã hội và các tin bài cho cuộc thi”.
Vào ngày 6 tháng 6 năm 2021, Begemot - thuộc hạ của Stern đã đề xuất một kế hoạch lừa đảo hàng loạt “thợ đào coin”, bằng cách phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào một mỏ đào coin (mining pool).
Begemot viết: “Chúng ta tìm những fork mới (một thuật ngữ chỉ sự phân nhánh trong blockchain) (những loại có thể khai thác) và phân tích cơ sở hạ tầng của chúng.
Begemot tiếp tục: “Trên đó có máy chủ, các nút, giá trị vốn hóa... Việc cần làm là tìm cách thức những người chơi tiền mã hóa trao đổi với nhau (chẳng hạn như Discord...), từ đó sẽ lần ra IP của nút. Khả năng cao là IPv6. Và sau đó chúng ta sẽ bắt đầu tấn công DDoS vào các nút khiến cho việc xác thực giao dịch không thể thực hiện được. Bước tiếp theo, ta sẽ nhảy vào phòng chat của mấy ông coin thủ trên discord và nhắn rằng đang có biến rồi, không thấy hiển thị crypt, các giao dịch cũng không thực hiện được (vì crypt phụ thuộc vào việc khai thác coin, nên nó thực sự có vấn đề). Những người nắm giữ tiền mã hóa sẽ bắt đầu lo lắng và phải bán tống bán tháo nó. Tiền mã hóa rớt giá. Chúng ta sẽ mua lại với giá thấp. Sau đó, dừng DDoS, rồi tiền lên giá trở lại. Thế là chúng ta thu lời từ việc ăn chênh lệch. Hoặc cách khác là có thể tống tiền mấy ông tạo ra tiền mã hóa nếu họ muốn dừng tấn công. Đó là những điểm chính của kế hoạch triển khai DDoS trên IPv6”.
Stern ủng hộ, cho rằng đây là một ý tưởng tuyệt vời và yêu cầu Begemot giải thích cách xác định địa chỉ IP của mục tiêu.
Có vẻ như Conti đã tham gia các giao dịch tiền mã hóa mới “SQUID”, hóa ra lại là một phi vụ lừa đảo trên mạng xã hội cực lớn, giúp những kẻ chủ mưu bỏ túi hàng triệu đô la. Ngày 31 tháng 10 năm 2021, thành viên Conti có tên Ghost đã gửi một tin nhắn cho các đồng nghiệp của mình rằng một kế hoạch kiếm tiền bằng cách “pump” (thổi giá) sẽ bắt đầu sau 24 giờ. Pump-and-dump là thuật ngữ của một trò gian lận tiền ảo, những kẻ đứng sau sẽ sử dụng thông tin sai lệch để làm tăng giá của một loại tiền tệ, sau đó họ bán nó để kiếm lợi nhuận.
“Ngày trọng đại đã đến” - Ghost viết - “24 giờ còn lại cho đến khi có tín hiệu “pump” lớn nhất mọi thời đại! Mục tiêu lần này sẽ là tăng khoảng 400%, thậm chí có thể nhiều hơn nữa. Chúng tôi sẽ nhắm mục tiêu 100 triệu đô la (khoảng 2.400 tỷ VND). Với thị trường tăng trưởng đang hoạt động hiệu quả và khối lượng giao dịch cao, khả năng đạt được lợi nhuận 400% một lần nữa sẽ rất cao. Chúng tôi sẽ làm mọi thứ trong khả năng của mình để đảm bảo đạt được mục tiêu này, nếu bạn đã bỏ lỡ những đợt “pump” thành công lớn trước đây của chúng tôi, thì bạn sẽ không muốn bỏ lỡ cả lần này đâu. Một đợt “pump” lớn sắp bắt đầu chỉ trong 24 giờ nữa, chuẩn bị đi nhé”.
Thông điệp của Ghost không đề cập đến nền tảng tiền điện tử nào là mục tiêu cho chiến dịch lừa đảo. Nhưng thời gian của chiến dịch trùng khớp với một đợt pump-and-dump được thực hiện nhắm vào SQUID (đồng coin được cho là lấy cảm hứng từ loạt phim nổi tiếng của Hàn Quốc). SQUID lần đầu tiên được cung cấp cho các nhà đầu tư vào ngày 20 tháng 10 năm 2021.
Như trang web Gizmodo đã báo cáo lần đầu tiên vào ngày 1 tháng 11 năm 2021, ngay trước khi xảy ra vụ lừa đảo, SQUID chỉ được giao dịch ở mức một xu, nhưng trong vòng chưa đầy một tuần, giá của nó đã tăng lên hơn 2.856 đô la (khoảng 69 triệu VND).
Gizmodo gọi trò lừa đảo này là “qua cầu rút ván”, xảy ra khi người quảng bá token thu hút người mua, ngừng giao dịch và kiếm tiền từ việc bán hàng. Các nhà phát triển của SQUID đã kiếm được khoảng 3,38 triệu đô la (khoảng 81 tỷ VND).
Matt Novak của Gizmodo viết: “Đồng tiền điện tử SQUID đã được tung ra vào tuần trước và nó sặc mùi lừa đảo, bao gồm cả một trang web chỉ mới được lập 3 tuần trước với đầy lỗi chính tả và ngữ pháp kỳ lạ”. Trang web - được lưu trữ tại SquidGame[.]cash - đã biến mất, cùng với mọi sự hiện diện trên mạng xã hội khác do những kẻ lừa đảo thiết lập”.
Theo nhận định của WhiteHat, Conti khó lòng có thể quay trở lại hoạt động dưới danh nghĩa nhóm độc lập. Tuy nhiên vẫn còn nhiều thành viên của băng đảng với tham vọng lớn có khả năng sẽ đầu quân cho một tổ chức tội phạm mạng khác hoặc lập nên một nhóm tin tặc mới từ những gì đã thừa kế lại của đế chế Conti.
Theo công ty nghiên cứu dữ liệu Blockchain Chainalysis, chỉ trong năm 2021, Conti đã “đút túi” khoảng 180 triệu đô (khoảng 4.200 tỷ VND) từ các khoản tiền chuộc, cao hơn bất kỳ nhóm tội phạm mạng nào. Và khi đã ở vị thế của “ông trùm” trong giới tin tặc tống tiền, tất nhiên Conti có xu hướng tích trữ nhiều tiền điện tử, như Bitcoin chẳng hạn.
“Khối của cải” dồi dào này cho phép Conti làm những điều mà các nhà đầu tư thông thường không thể như thao túng giá, hay tạo dựng một nền tảng tiền mã hóa riêng và "nuôi" nó bằng hàng loạt những đồng tiền mã hóa phi pháp các nhà đầu tư ma.
Kẻ đi đầu trong phong trào các dự án tiền mã hóa của Conti không ai khác chính là Stern – quản lý cốt cán của băng đảng. Hắn bị ám ảnh bởi ý tưởng thành lập một dự án tiền mã hóa của riêng mình cho các ứng dụng blockchain đa nền tảng.
Ngày 03 tháng 11 năm 2021, Stern tâm sự với một nhân viên của Conti có biệt danh Bloodrush rằng: “Chắc anh ‘nghiện’ đi buôn thật, toàn cuồng defi (tài chính phi tập trung), blockchain và mấy dự án mới thôi. Công ty lớn thì có cả đống bí mật ấy, cứ coi đó là giá trị lõi của họ nhé, mấy cái bằng sáng chế và dữ liệu đây này”.
Trong một cuộc thảo luận kéo dài nhiều tháng tại phòng chat nội bộ, Stern cho biết tham vọng tạo ra vũ trụ tiền mã hóa của riêng Conti.
Có ai biết về Ethereum, Polkadot và Binance smart chain (BSC - Chuỗi thông minh Binance)… không?” - Stern viết - “nghiên cứu các hệ thống ấy đi, về code và nguyên lý hoạt động. Để dựng được nền tảng riêng của chúng ta, thì ở đó sẽ phải sẵn sàng để có thể “tích hợp” NFT (token không thể thay thế), DEFI (tài chính phi tập trung), DEX (sàn giao dịch phi tập trung) cùng tất cả các xu hướng mới đang và sẽ có. Còn hãy để những người khác tạo ra coin, sàn giao dịch và dự án của riêng họ trên hệ thống của chúng ta”.
Có vẻ như Stern đã trả tiền cho nhiều bên phát triển để theo đuổi khái niệm xây dựng hệ thống mạng ngang hàng (P2P) cho hợp đồng thông minh (smart contract) – chương trình lưu trữ trên blockchain và chỉ thực thi khi các điều kiện trao đổi trước đó được đáp ứng.
Không rõ vì lý do nào khiến băng đảng Conti quan tâm đến hợp đồng thông minh, nhưng ý tưởng về một nhóm ransomware yêu cầu các khoản thanh toán qua hợp đồng thông minh không phải là mới. Vào năm 2020, các nhà nghiên cứu từ Trường Khoa học Thông tin và Công nghệ Đại học Athens ở Hy Lạp đã chỉ ra cách các yêu cầu thuê ransomware một ngày nào đó có thể được thực thi thông qua các hợp đồng thông minh.
Trước đó, Jeffrey Ladish - chuyên gia tư vấn an ninh thông tin làm việc tại Oakland, California - đã viết một bài phân tích gồm hai phần lý giải tại sao hợp đồng thông minh sẽ càng khiến các nhóm tin tặc ransomware kiếm nhiều tiền hơn.
Ladish viết: “Bằng cách sử dụng một hợp đồng thông minh, những kẻ chủ mưu có thể “bán” cho nạn nhân của họ khóa giải mã (decryption key) dễ dàng. Tức là nạn nhân có thể gửi một số tiền vào một hợp đồng thông minh với sự đảm bảo rằng họ sẽ hoặc nhận được khóa giải mã cho dữ liệu của mình hoặc lấy lại tiền nếu phi vụ đổ bể. Đây chính là sự đảm bảo rằng hợp đồng thông minh sẽ xử lý giao dịch một cách công bằng” mà không cần phải quan tâm hacker là ai.
Một nhân viên khác của Conti có nickname là Van - trưởng nhóm trong kế hoạch phát triển nền tảng tiền điện tử P2P cho biết hắn đang phát triển nền tảng này dựa trên ngôn ngữ lập trình Rust.
“Em đang cố tạo một mạng p2p bằng Rust sếp ạ” - Van nói với Demon vào ngày 19 tháng 2 năm 2022 (Demon được cho là một trong những bí danh của Stern). “Em đang phân loại nó ra và đã bắt đầu code rồi”.
“Thật tuyệt là chú mày thích Rust” - Demon trả lời. "Rust sẽ có ích cho ta trong các hợp đồng thông minh”.
Stern tin vào giấc mơ tiền mã hóa của mình đến nỗi hắn đã tài trợ cho một cuộc thi viết trị giá 100.000 đô la trên diễn đàn tội phạm mạng nói tiếng Nga có tên Exploit, yêu cầu những ứng viên quan tâm đưa ra nhiều ý tưởng khác nhau cho nền tảng tiền mã hóa. Các cuộc thi như vậy là một cách dễ dàng để mua “tài sản trí tuệ” cho các dự án đang thực hiện và cũng là công cụ tuyển dụng hiệu quả cho các tổ chức tội phạm mạng.
“Cuộc thi viết về tiền mã hóa! [100.000 đô la]”, người quản lý cấp trung của Conti - Mango - viết cho Stern - “Sếp đang làm cái quái gì vậy…?”.
Chỉ vài ngày sau, Mango báo cáo với Stern rằng hắn đã “chuẩn bị xong xuôi mọi việc cả mạng xã hội và các tin bài cho cuộc thi”.
THAO TÚNG ĐỒNG COIN BẰNG DDOS
Vào ngày 6 tháng 6 năm 2021, Begemot - thuộc hạ của Stern đã đề xuất một kế hoạch lừa đảo hàng loạt “thợ đào coin”, bằng cách phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào một mỏ đào coin (mining pool).
Begemot viết: “Chúng ta tìm những fork mới (một thuật ngữ chỉ sự phân nhánh trong blockchain) (những loại có thể khai thác) và phân tích cơ sở hạ tầng của chúng.
Begemot tiếp tục: “Trên đó có máy chủ, các nút, giá trị vốn hóa... Việc cần làm là tìm cách thức những người chơi tiền mã hóa trao đổi với nhau (chẳng hạn như Discord...), từ đó sẽ lần ra IP của nút. Khả năng cao là IPv6. Và sau đó chúng ta sẽ bắt đầu tấn công DDoS vào các nút khiến cho việc xác thực giao dịch không thể thực hiện được. Bước tiếp theo, ta sẽ nhảy vào phòng chat của mấy ông coin thủ trên discord và nhắn rằng đang có biến rồi, không thấy hiển thị crypt, các giao dịch cũng không thực hiện được (vì crypt phụ thuộc vào việc khai thác coin, nên nó thực sự có vấn đề). Những người nắm giữ tiền mã hóa sẽ bắt đầu lo lắng và phải bán tống bán tháo nó. Tiền mã hóa rớt giá. Chúng ta sẽ mua lại với giá thấp. Sau đó, dừng DDoS, rồi tiền lên giá trở lại. Thế là chúng ta thu lời từ việc ăn chênh lệch. Hoặc cách khác là có thể tống tiền mấy ông tạo ra tiền mã hóa nếu họ muốn dừng tấn công. Đó là những điểm chính của kế hoạch triển khai DDoS trên IPv6”.
Stern ủng hộ, cho rằng đây là một ý tưởng tuyệt vời và yêu cầu Begemot giải thích cách xác định địa chỉ IP của mục tiêu.
TRÒ CHƠI CON MỰC
Có vẻ như Conti đã tham gia các giao dịch tiền mã hóa mới “SQUID”, hóa ra lại là một phi vụ lừa đảo trên mạng xã hội cực lớn, giúp những kẻ chủ mưu bỏ túi hàng triệu đô la. Ngày 31 tháng 10 năm 2021, thành viên Conti có tên Ghost đã gửi một tin nhắn cho các đồng nghiệp của mình rằng một kế hoạch kiếm tiền bằng cách “pump” (thổi giá) sẽ bắt đầu sau 24 giờ. Pump-and-dump là thuật ngữ của một trò gian lận tiền ảo, những kẻ đứng sau sẽ sử dụng thông tin sai lệch để làm tăng giá của một loại tiền tệ, sau đó họ bán nó để kiếm lợi nhuận.
“Ngày trọng đại đã đến” - Ghost viết - “24 giờ còn lại cho đến khi có tín hiệu “pump” lớn nhất mọi thời đại! Mục tiêu lần này sẽ là tăng khoảng 400%, thậm chí có thể nhiều hơn nữa. Chúng tôi sẽ nhắm mục tiêu 100 triệu đô la (khoảng 2.400 tỷ VND). Với thị trường tăng trưởng đang hoạt động hiệu quả và khối lượng giao dịch cao, khả năng đạt được lợi nhuận 400% một lần nữa sẽ rất cao. Chúng tôi sẽ làm mọi thứ trong khả năng của mình để đảm bảo đạt được mục tiêu này, nếu bạn đã bỏ lỡ những đợt “pump” thành công lớn trước đây của chúng tôi, thì bạn sẽ không muốn bỏ lỡ cả lần này đâu. Một đợt “pump” lớn sắp bắt đầu chỉ trong 24 giờ nữa, chuẩn bị đi nhé”.
Thông điệp của Ghost không đề cập đến nền tảng tiền điện tử nào là mục tiêu cho chiến dịch lừa đảo. Nhưng thời gian của chiến dịch trùng khớp với một đợt pump-and-dump được thực hiện nhắm vào SQUID (đồng coin được cho là lấy cảm hứng từ loạt phim nổi tiếng của Hàn Quốc). SQUID lần đầu tiên được cung cấp cho các nhà đầu tư vào ngày 20 tháng 10 năm 2021.
Như trang web Gizmodo đã báo cáo lần đầu tiên vào ngày 1 tháng 11 năm 2021, ngay trước khi xảy ra vụ lừa đảo, SQUID chỉ được giao dịch ở mức một xu, nhưng trong vòng chưa đầy một tuần, giá của nó đã tăng lên hơn 2.856 đô la (khoảng 69 triệu VND).
Gizmodo gọi trò lừa đảo này là “qua cầu rút ván”, xảy ra khi người quảng bá token thu hút người mua, ngừng giao dịch và kiếm tiền từ việc bán hàng. Các nhà phát triển của SQUID đã kiếm được khoảng 3,38 triệu đô la (khoảng 81 tỷ VND).
Matt Novak của Gizmodo viết: “Đồng tiền điện tử SQUID đã được tung ra vào tuần trước và nó sặc mùi lừa đảo, bao gồm cả một trang web chỉ mới được lập 3 tuần trước với đầy lỗi chính tả và ngữ pháp kỳ lạ”. Trang web - được lưu trữ tại SquidGame[.]cash - đã biến mất, cùng với mọi sự hiện diện trên mạng xã hội khác do những kẻ lừa đảo thiết lập”.
LỜI KẾT:
Qua loạt bài viết, có thể nhận thấy Conti đã vượt xa cái mác của một nhóm tin tặc tống tiền thông thường và hoạt động chuyên nghiệp như một tổ chức thực sự. Mọi công việc trong băng đảng đều được phân công quy củ một cách đáng kinh ngạc. Có lẽ cách thức hoạt động này không chỉ của riêng Conti mà đang dần trở thành xu hướng hoạt động mới của nhiều nhóm tội phạm mạng khác trên thế giới. Khi giới tin tặc càng trở nên tinh vi và khó nắm bắt hơn, chúng ta lại càng phải cẩn trọng để không tự biến mình thành miếng mồi béo bở của chúng.Theo nhận định của WhiteHat, Conti khó lòng có thể quay trở lại hoạt động dưới danh nghĩa nhóm độc lập. Tuy nhiên vẫn còn nhiều thành viên của băng đảng với tham vọng lớn có khả năng sẽ đầu quân cho một tổ chức tội phạm mạng khác hoặc lập nên một nhóm tin tặc mới từ những gì đã thừa kế lại của đế chế Conti.