“Tôi là một đứa trẻ kỳ lạ”: Lời khai của một tin tặc trẻ tuổi trong tù về thị trường tiền mã hóa
Tuyển chọn TechFlowTuyển chọn TechFlow
“Tôi là một đứa trẻ kỳ lạ”: Lời khai của một tin tặc trẻ tuổi trong tù về thị trường tiền mã hóa
Mức án 10 năm tù, hy vọng sẽ răn đe được cậu thiếu niên này – người "thông minh hơn phần lớn mọi người".
Chuyên sâu báo cáo Web3Tác giả:Margi Murphy
Biên dịch: TechFlow
Noah Urban từng đóng vai trò thuyết phục mọi người để những kẻ tội phạm có thể truy cập trái phép vào các hệ thống máy tính nhạy cảm mà không hề hay biết, trong băng nhóm nổi tiếng "Scattered Spider".
Vào một buổi chiều tháng 9 năm 2022, trong một nhóm trò chuyện Telegram đầy biểu tượng túi tiền vàng và hình hề, cùng những cụm từ như "cười đến phát điên" (lmfaos) và "cười không ngừng" (loooools), xuất hiện một hình thu nhỏ dạng pixel về một thiếu niên đầy máu me. Noah Urban, lúc đó 18 tuổi, sống tại Palm Coast, Florida, đã nhấn mở video.
Trong đoạn phim, thiếu niên này van xin Noah chuyển 200.000 USD cho những kẻ bắt cóc đang chĩa súng vào đầu anh ta. “Elijah, thật đó anh bạn, anh biết trước đây mình từng hợp tác rồi”, cậu bé nói, gọi Noah bằng biệt danh của anh. Khuôn mặt cậu sưng vù, miệng đầy máu, những giọt máu nhỏ xuống chiếc áo hoodie trắng của Hollister mà cậu đang mặc. “Anh biết em luôn ủng hộ anh. Chỉ cần nói với em, em sẽ làm bất cứ điều gì anh muốn.”
Noah nhận ra ngay lập tức cậu bé này. Justin từng làm việc cho anh, giúp anh đánh cắp tiền điện tử. Anh không biết tên đầy đủ của Justin, nhưng anh biết mình không thể thỏa hiệp với những kẻ bắt cóc. Hơn nữa, anh nghi ngờ đoạn video này có thể là giả mạo. Vì vậy, anh không chuyển khoản nào cả.
Một cảnh tượng như thế có thể khiến phần lớn thanh thiếu niên hoảng sợ, nhưng đến năm 2022, Noah đã chứng kiến quá nhiều thứ tương tự. Lúc đó, anh đang trốn tránh cuộc truy lùng của Cục Điều tra Liên bang (FBI), với tư cách là thành viên của một băng tội phạm mạng sau này được gọi là “Scattered Spider” (TechFlow ghi chú: còn được gọi là UNC3944, là tổ chức tin tặc chủ yếu gồm thanh thiếu niên và người trẻ tuổi, thành viên được cho là chủ yếu đến từ Mỹ và Anh. Tổ chức này nổi tiếng vì các thủ đoạn kỹ thuật xã hội phức tạp và các vụ tấn công mạng). Băng nhóm này đã trở thành một trong những tổ chức tội phạm mạng nổi tiếng nhất thế giới, liên quan đến hàng chục vụ tấn công nhằm vào các công ty tại Mỹ và Anh. Trong đó nghiêm trọng nhất gồm: vụ tấn công ransomware vào MGM Resorts International năm 2023, khiến hệ thống máy tính của sòng bạc tê liệt, gây thiệt hại 100 triệu USD cho công ty; và vụ tấn công vào nhà bán lẻ Anh Marks & Spencer Group Plc hồi đầu năm nay, dự kiến gây thiệt hại khoảng 400 triệu USD.
Khách sạn và sòng bạc MGM Las Vegas.
Nhiếp ảnh gia: AaronP/Getty Images
Cục Điều tra Liên bang Mỹ và Cơ quan Tội phạm Quốc gia Anh đã liệt “Scattered Spider” vào danh sách mục tiêu truy quét chính. Cơ quan An toàn Cơ sở Hạ tầng và An ninh Mạng Mỹ (CISA) mô tả nhóm này là “mối đe dọa nghiêm trọng và dai dẳng đối với các cơ quan tại Mỹ”. Công ty phòng thủ mạng Mandiant xếp họ vào nhóm “những hành vi đe dọa hung hăng và thâm nhập nhất ảnh hưởng đến các cơ quan tại châu Âu và Mỹ”. Năm ngoái, chương trình “60 Minutes” cũng đưa tin về mối liên hệ giữa “Scattered Spider” và các tin tặc ransomware Nga.
Noah đóng vai trò then chốt trong nhóm, với tư cách là “kẻ lừa đảo qua điện thoại” (caller). Câu chuyện của anh là lời cảnh tỉnh về một học sinh trung học không có nhiều kỹ năng công nghệ đã chuyển từ chơi game sang đánh cắp tiền điện tử nhanh chóng, rồi dùng lừa đảo qua điện thoại để xâm nhập vào mạng máy tính của các công ty viễn thông và công nghệ nhằm đánh cắp dữ liệu nhạy cảm. Anh lớn lên trong một gia đình trung lưu ở miền trung Florida, thời thơ ấu thường xuyên đi câu cá với dép Crocs và quần sooc lướt sóng, trải nghiệm đu dây trên cao ở Gatorland hoặc đến Universal Studios Orlando – tất cả đều là những hoạt động bình thường của một cậu bé. Tuy nhiên, khi hành vi phạm tội leo thang, các hoạt động trong thế giới ảo bắt đầu lan sang đời thực. Những vụ bắt cóc, ném bom xăng và tống tiền tình dục đã thu hút sự chú ý của lực lượng thực thi pháp luật. Những người bạn mà Noah kết nối trên mạng giờ đây phải đối mặt với án tù dài hạn.
Bài báo này được tổng hợp từ hồ sơ tòa án, các cuộc trò chuyện trên Discord và tin nhắn Telegram, đồng thời phỏng vấn hàng chục chuyên gia phân tích tình báo đe dọa, nhân viên thực thi pháp luật và những người khác am hiểu sự nghiệp phạm tội của Noah. Trong đó có chính Noah, người đã nói chuyện với Bloomberg Businessweek qua hàng chục cuộc điện thoại từ một nhà tù ở Florida, với điều kiện những cuộc phỏng vấn này sẽ không được đăng cho đến khi anh bị tuyên án.
“Xin chào, tôi là Kevin, tôi đang gọi từ bộ phận quản lý an ninh nội bộ của T-Mobile.”
Thực tế, Noah không phải là một hacker thực thụ. Anh sinh năm 2004, đúng vào năm Facebook ra đời. Anh thích bơi lội và bóng bầu dục hơn là lập trình. Anh có vài người bạn và một người yêu thời trung học, nhưng phần lớn thời gian anh sống khép kín, ít tham gia lớp học. “Tôi là một đứa trẻ kỳ lạ,” Noah nhớ lại. “Tôi không có nhiều bạn bè, nên tôi không học được những dấu hiệu xã hội mà người ta học được qua giao tiếp.” Ba năm sau khi tốt nghiệp, giáo viên yêu thích nhất của anh thậm chí không nhớ ra anh.
Khoảng 8-9 tuổi, Noah bắt đầu chơi Minecraft, đến năm 15 tuổi, anh quen một số người qua trò chơi và lần đầu tiên nghe về chiêu lừa đảo chuyển SIM (SIM-swapping). Thủ đoạn này liên quan đến việc chuyển số điện thoại của ai đó sang một chiếc điện thoại mà bạn kiểm soát, nhằm chặn mã bảo mật, chiếm quyền tài khoản trực tuyến và chuyển tiền. Thao tác này không cần bất kỳ kỹ năng lập trình nào, kỹ năng then chốt là kỹ thuật xã hội — thuyết phục hoặc hối lộ nhân viên nhà mạng để “kích hoạt” số thuê bao cho bạn.
Noah nhanh chóng thể hiện khả năng nói chuyện xuất sắc, giọng trầm vượt xa độ tuổi, có thể lừa nạn nhân tiết lộ thông tin cá nhân. Anh cũng cho rằng khả năng kỹ thuật xã hội của mình đến từ cha mẹ: “Lịch sự và tôn trọng, hai điều này là thứ quan trọng nhất mà tôi học được khi còn nhỏ,” anh nói.
Lãnh đạo nhóm chuyển SIM quen qua Minecraft trả cho Noah 50 USD mỗi lần anh thành công qua điện thoại khiến tiền điện tử bị đánh cắp. Trong tuần đầu tiên, anh kiếm được 3.000 USD.
Ảnh thời thơ ấu của Noah Urban.
Nguồn: Rob Urban
Noah không thiếu tiền. Cha mẹ anh ly hôn khi anh còn nhỏ, nhưng cả hai sống rất thoải mái. Mẹ anh sở hữu một căn nhà trong khu dân cư khép kín phía bắc Orlando, làm việc trong lĩnh vực nhân sự; cha anh là cựu quân nhân Hải quân, điều hành một công ty tiếp thị trực tuyến, sở hữu một ngôi nhà gần đó có hồ bơi và bồn tắm nước nóng.
Tuy nhiên, cảm giác hưng phấn do chuyển SIM mang lại, cùng với tình bạn khó tìm thấy trong đời thực, khiến Noah say mê. “Nếu bạn đứng xếp hàng bên cạnh Walmart với 10 người, bạn có thể sẽ không tìm được mấy người hợp gu,” anh nói, “nhưng nếu bạn có thể chọn bạn bè theo ý mình trên mạng — khi mọi người đều có sở thích chung — thì dễ hòa hợp hơn rất nhiều.”
Noah tham gia một nhóm khoảng 15 người chơi, bao gồm Daniel Junk, thiếu niên 17 tuổi đến từ Portland, Oregon và Tyler Buchanan, thiếu niên 17 tuổi khác đến từ Scotland. Noah cho biết, họ mua một cơ sở dữ liệu bị đánh cắp từ công ty ví tiền điện tử Ledger SAS, cung cấp danh sách những người nắm giữ tiền điện tử và địa chỉ email của họ. Bước tiếp theo là xâm nhập vào các tài khoản email này, họ bắt đầu tìm kiếm bất kỳ ai sử dụng tài khoản Outlook, AOL hoặc Yahoo! Họ nói với Noah rằng những tài khoản này dễ xâm nhập nhất.
Những người bạn mới này là một phần của mạng lưới ngầm gọi là “Com” (Community), mạng lưới này lan rộng trên Discord và Telegram, tập hợp nhiều thanh thiếu niên tìm kiếm tên người dùng quý giá, chiến lợi phẩm trò chơi điện tử và tiền điện tử có thể đánh cắp qua chiếm quyền tài khoản. FBI bắt đầu điều tra “Com” từ năm 2018, theo ước tính của các điều tra viên, đến lúc đó, nhóm này đã đánh cắp 50 triệu USD.
Khi ngày càng nhiều thành viên “Com” nhận ra việc đánh cắp tiền điện tử đơn giản đến mức nào, nhu cầu chuyển SIM cũng tăng theo. Một số người đoán xem nhà mạng nào, chẳng hạn như T-Mobile US Inc. hay AT&T Inc., có nhân viên hỗ trợ trung tâm cuộc gọi dễ bị lừa nhất. Người khác thuê trẻ em lẻn vào cửa hàng điện thoại để ăn cắp iPad của nhân viên đại diện khách hàng. Để giải trí, bọn trộm thường quay lại các hành vi này và tải lên mạng.
Nhiếp ảnh gia: Jakub Porzycki/Getty Images
Noah nói rằng, Junk phát hiện ra một phương pháp có thể đăng ký máy tính cá nhân của mình vào mạng doanh nghiệp của T-Mobile và sử dụng phần mềm truy cập từ xa để vào công cụ kích hoạt SIM của công ty, đôi khi duy trì được vài tháng. Khi T-Mobile phát hiện đăng nhập đáng ngờ, họ đặt lại tài khoản, khóa Junk bên ngoài. Do đó, anh bắt đầu trả tiền cho Noah để gọi điện thuyết phục nhân viên giao thông tin đăng nhập. Noah giả làm nhân viên IT và thành công trong việc lừa lấy thông tin đăng nhập.
Những người khác tham gia chuyển SIM sẽ nghe lén cuộc gọi của Noah trên Discord, trong khi chơi Counter-Strike hoặc Call of Duty, đồng thời đọc kịch bản mà Junk viết sẵn cho anh. “Xin chào, tôi là Kevin,” kịch bản bắt đầu, “tôi đang gọi từ bộ phận quản lý an ninh nội bộ của T-Mobile.” Khi nhân viên bán hàng vô tư để Noah vào hệ thống, Junk và bạn bè anh sẽ nín thở lắng nghe từng từ. Khi Noah mắc lỗi, họ cười ngặt nghẽo. (Một phát ngôn viên của T-Mobile cho biết công ty đã cải thiện các biện pháp an ninh để “giảm chuyển SIM trái phép”.)
Khi Noah lừa được ngày càng nhiều người, anh nhận ra rằng mục tiêu không chỉ dễ đoán mà còn vốn dĩ lương thiện. Dù khó thuyết phục nhân viên rằng họ đã gửi phiếu yêu cầu IT, nhưng anh có thể khiến họ tin rằng phiếu yêu cầu chắc chắn bị liên kết sai vào tài khoản của họ — liệu họ có thể giúp đóng phiếu để anh hoàn thành công việc? Hầu như họ luôn hợp tác. Khi Noah xâm nhập thành công vào một tài khoản mới qua lời nói, sự công nhận từ những người bạn mới mạnh hơn cả cảm giác thỏa mãn mà Minecraft mang lại.
“Thật kinh ngạc khi những đứa trẻ quá trẻ lại có khả năng xúi giục một vụ xả súng xảy ra ở đâu đó trên thế giới, mà gần như không phải chịu trách nhiệm gì.”
Mẹ của Noah bắt đầu nghi ngờ anh đang làm gì. Những chiếc pizza bí ẩn do người lạ đặt hàng bắt đầu được giao đến nhà bà. Bà nghe thấy những cuộc trò chuyện về chuyển SIM. Khi bà cố thiết lập những quy tắc nghiêm ngặt hơn, Noah 16 tuổi dọn đến sống với cha.
Robert Urban sống trong một ngôi nhà năm phòng ngủ ở DeLand, Florida. Xe hơi chứa đầy dụng cụ, phòng khách chất đầy đồ chơi của hai đứa trẻ thuộc bạn đời của ông. Một con chó Maltese trắng sủa bên chân ông. Ông nói, ông nhận thấy điều gì đó thay đổi khi Noah bắt đầu gọi ông là “buster” (kẻ thất bại). Lúc đó Noah khoảng 15 tuổi. “Ông không lái Ferrari, vẫn phải trả nợ nhà, làm việc cật lực nhưng vẫn vật lộn,” ông nhớ lại những gì Noah từng nói. Từ đó, Urban nhận thấy hành vi của con trai mình thay đổi “một cách dữ dội”.
Khi quần áo thiết kế được giao đến nhà, hay trong những dịp xã hội hiếm hoi, Noah đeo một chiếc đồng hồ Rolex đính kim cương trị giá 35.000 USD, đi giày thể thao Louis Vuitton, anh nói với cha rằng anh kiếm được từ việc bán vật phẩm trong Minecraft và đầu tư số tiền đó vào tiền điện tử. Bản thân Urban cũng thích Bitcoin, ông còn khoe với bạn bè về thành công của con trai.
Urban cố gắng thuyết phục Noah chuyển một phần tài sản tiền điện tử sang các hình thức đầu tư truyền thống hơn. “Không, bố ạ,” Noah thường nói với ông, “con có kế hoạch riêng của con.” Thay vào đó, anh chi 80.000 USD để mua một tài khoản Minecraft tên Elijah, thêm 30.000 USD cho Twitter @e, và một khoản “vô lý” khác cho @autistic.
Robert Urban trong nhà ở DeLand, Florida.
Nhiếp ảnh gia: Michelle Bruzzese/Bloomberg Businessweek
Noah nhanh chóng bắt đầu thuê những “kẻ lừa đảo qua điện thoại” riêng, bao gồm Justin mà anh biết. Anh trả thù lao từ 60 đến 1.000 USD tùy theo mức độ an toàn của tài khoản nhà mạng. Nếu kẻ lừa đảo khiến nhân viên cài công cụ truy cập từ xa, anh trả tới 4.000 USD. Khi đại dịch COVID-19 buộc đóng cửa trường học trên toàn quốc, Noah rất hài lòng với thời gian rảnh rỗi dư thừa của nhân viên.
Việc truy cập vào nhà mạng lúc có lúc không khiến một số kẻ chuyển SIM bắt đầu đánh cắp lẫn nhau. Một số người bắt đầu “doxing” (rò rỉ thông tin cá nhân thật), đăng tên thật và thông tin cá nhân của các hacker khác lên mạng để tống tiền. Bloomberg Businessweek đã xem hàng chục đoạn video từ Discord và Telegram, cho thấy những thanh thiếu niên hét tên phe phái chuyển SIM của mình khi ném gạch vào các ngôi nhà, hành vi này được gọi là “bricking”. Họ cũng hack và rò rỉ ảnh khỏa thân cùng thông tin cá nhân của bạn gái đối thủ, khuyến khích người khác quấy rối họ. Thậm chí còn có nhóm trò chuyện Telegram chuyên để sỉ nhục bạn gái các thành viên “Com”.
Thám tử David Hale của Sở Cảnh sát Weston-East Goshen, Đông Pennsylvania, nói rằng ông biết đến “Com” vào tháng 1 năm 2022, khi được gọi đến một biệt thự ở vùng ngoại ô giàu có nơi có tám phát súng được bắn vào phòng khách, ba người ở trong nhà. Hai tuần trước, một ngôi nhà khác trong khu vực báo cáo một vụ ném bom xăng. Cả hai vụ tấn công đều nhằm vào những phụ nữ trẻ liên quan đến “Com”. “Thật kinh ngạc khi những đứa trẻ quá trẻ lại có khả năng xúi giục một vụ xả súng xảy ra ở đâu đó trên thế giới, mà gần như không phải chịu trách nhiệm gì,” Hale nói.
Noah nói anh không tham gia vào các cuộc đấu nội bộ nào, nhưng anh biết rắc rối sẽ tìm đến. Năm 2021, các hacker ném gạch vào nhà mẹ anh, tưởng rằng anh vẫn sống ở đó. Bà nhận được tin nhắn ẩn danh đe dọa rằng nếu con trai bà không chuyển hàng chục vạn USD tiền điện tử, các vụ tấn công sẽ tiếp diễn. Noah từ chối, cuối cùng các vụ tấn công dừng lại.
Allison Nixon ngày càng lo lắng. Là giám đốc nghiên cứu của công ty an ninh mạng Unit221B, bà thất vọng vì các hacker trốn tránh sự điều tra của cảnh sát và lo ngại về tính chất hung hãn trong các cuộc tấn công của họ.
Các chuyên gia an ninh mạng trưởng thành thường khoan dung với các hacker trẻ tuổi, cố gắng hướng họ vào nghề nghiệp trong ngành để tận dụng tài năng. Nhưng theo Nixon, cách tiếp cận này giờ đã không còn hiệu quả. “Cách duy nhất để giải quyết vấn đề này,” bà nói, “là chính phủ phải xử lý nó một cách lịch sử giống như xử lý các băng đảng đường phố bạo lực.”
Gợi ý của bà không lay chuyển được các quan chức chính phủ. Bà mô tả họ “hoàn toàn choáng ngợp” và hành xử như thể có việc quan trọng hơn là truy đuổi trẻ em trên mạng. Bà và các điều tra viên an ninh mạng khác cảnh báo các quan chức thực thi pháp luật rằng các thành viên “Com” có thể trở thành mối đe dọa lớn hơn.
Đến năm 2022, Noah sắp hoàn thành trung học. Anh trở nên ngày càng tách biệt, bỏ lỡ các buổi họp lớp và vũ hội, cũng không nộp một video tổng hợp YouTube về các bạn cùng lớp đeo khẩu trang. Theo hồ sơ tòa án, Noah đã là triệu phú, nhưng anh tập trung hơn vào việc nâng cấp hoạt động phạm tội của mình lên tầm cao mới.
“Tôi chỉ muốn tự do tài chính, suốt ngày chơi với bạn bè, nghe nhạc.”
Khi tìm kiếm danh sách những người nắm giữ tiền điện tử mới, Noah nghĩ ra ý định tấn công công ty công nghệ viễn thông Twilio Inc. Vì phần mềm của công ty được 50.000 doanh nghiệp dùng để quản lý tin nhắn và cuộc gọi với khách hàng, Noah cho rằng nó sở hữu lượng dữ liệu giá trị lớn. Tháng 8 năm 2022, vài tuần trước sinh nhật 18 tuổi, anh và bạn bè mua một tên miền giả mạo trông giống trang đăng nhập của công ty xác thực người dùng Okta Inc., rồi gửi tin nhắn có đường link đến nhân viên Twilio.
“Cảnh báo!!! Lịch trình Twilio của bạn đã thay đổi. Nhấn vào twilio-okta.com để xem thay đổi!”
Noah thành công trong việc lừa một nhân viên Twilio. Tuy nhiên, khi người đó không có dữ liệu anh muốn, anh đăng nhập vào tài khoản Slack của họ và gửi tin nhắn đến một nhân viên cấp cao hơn mà anh tìm thấy trên LinkedIn. “Về cơ bản tôi nói với họ rằng chúng tôi cần dữ liệu này cho mục đích kiểm toán hoặc tương tự,” Noah nói, “sau đó họ xuất cơ sở dữ liệu và gửi cho tôi.”
Thông qua mã truy cập khách hàng doanh nghiệp của Twilio, Noah và đồng bọn có thể tấn công thêm nhiều công ty khác. Tổng cộng, họ cuối cùng có được dữ liệu khách hàng của 209 công ty sử dụng Twilio, bao gồm cả mã xác thực SMS. “Chúng tôi cảm thấy mình như thần thánh,” Noah nói.
Mấy ngày sau, một công ty an ninh mạng hỗ trợ khách hàng của Twilio, Group-IB, công bố sự kiện đánh cắp dữ liệu trên blog và đặt tên cho tin tặc là 0ktapus. Noah hoảng sợ, vứt bỏ chiếc máy tính và điện thoại trị giá 3.000 USD, đổi sang thiết bị mới. Không lâu sau, một thành viên 0ktapus chia sẻ dữ liệu với một kẻ chuyển SIM khác, người này tiếp tục lan truyền rộng rãi. Khi ngày càng nhiều thành viên “Com” lựa chọn tên từ cơ sở dữ liệu, dữ liệu này mất giá trị trên chợ đen.
Ảnh: Jaque Silva/Getty Images
Các thành viên nhóm của Noah tạm im ắng một thời gian, nhưng khi cảnh sát không上门, họ càng liều lĩnh hơn. Theo Group-IB, 0ktapus tiếp tục đánh cắp hàng nghìn thông tin đăng nhập nhân viên trong năm 2022. Khi họ thành công xâm nhập một tài khoản doanh nghiệp, họ sẽ tìm ra nhân viên có quyền hạn cao hơn và nhắm vào họ. Tháng 12 cùng năm, nhóm này còn đánh cắp thông tin cá nhân của 5,7 triệu khách hàng từ sàn giao dịch tiền điện tử Gemini Trust Co. thuộc sở hữu của cặp song sinh Winklevoss, rồi rao bán thông tin này trên các diễn đàn tội phạm.
Sau khi tròn 18 tuổi, Noah搬出 nhà cha, chuyển đến một Airbnb dài hạn trong khu dân cư yên tĩnh ở Palm Coast, Florida. Anh trang bị cho nơi ở của mình giường, bàn, ghế sofa, TV và một con mèo màu lông như bánh Oreo tên Diana. Anh nói: “Tôi chỉ muốn tự do tài chính, suốt ngày chơi với bạn bè, nghe nhạc.”
Mỗi tuần một lần, anh lái chiếc Dodge Challenger đến một khu thương mại, chọn ăn tại Olive Garden hoặc một nhà hàng hibachi, và để lại tiền boa từ 100 đến 200 USD bằng tiền mặt. Anh cũng thích chạy xe tốc độ cao trên đường cao tốc ban đêm, nghe nhạc của Lil Uzi Vert, Playboi Carti và Ken Carson.
Noah thường xuyên hoạt động trên diễn đàn Leakth.is, nơi mọi người đăng “báu vật” (tức bài hát chưa phát hành) của nghệ sĩ yêu thích. Anh quyết định nhắm vào nhân viên của Universal Music Group NV và Warner Music Group Corp. để xâm nhập vào tài khoản Dropbox hoặc iCloud của kỹ sư âm thanh và nhà sản xuất, nghi ngờ rằng các file của họ chứa nhạc chưa phát hành.
Năm 2022, Noah sử dụng tài khoản Twitter King Bob để đăng một đoạn “báu vật” mà anh tuyên bố là bài hát chưa phát hành “Money N Drugs” của Playboi Carti. Tên này là để vinh danh các Minion trong Despicable Me. Lượt theo dõi tài khoản anh tăng vọt lên 11.000 người chỉ trong một đêm. Các giả thuyết về danh tính King Bob lan truyền trên mạng, người hâm mộ suy đoán anh có thể là người quảng bá studio hoặc trợ lý sản xuất đào ngũ. (Các hãng thu từ chối bình luận, quản lý Playboi Carti không phản hồi yêu cầu bình luận.)
Noah nói anh không phải là người duy nhất dùng biệt danh King Bob để đánh cắp nhạc, và anh cho rằng việc đăng “báu vật” là hành vi quảng bá chứ không phải trộm cắp. Tuy nhiên, những người bị anh tấn công lại có quan điểm khác. Nasir Pemberton, nhà sản xuất từng làm việc với Kanye West, A$AP Rocky và Playboi Carti, cáo buộc Noah đánh cắp hàng trăm bài hát của anh và chia sẻ ảnh chụp màn hình Dropbox của anh trên Discord. “Anh ta suýt hủy hoại đời tôi,” Pemberton nói.
“Hoàn toàn là về vị thế trong cộng đồng của họ. Chỉ là khoe mẽ.”
0ktapus không phải là nhóm duy nhất trong “Com” gây chú ý. Một phe phái khác — sau này liên minh với nhóm của Noah và được gọi thân mật là “Scattered Spider” — cũng muốn vượt ra khỏi phạm vi chuyển SIM. Phe phái này bao gồm một số thành viên từng thuộc Lapsus$, nhóm này từng tấn công Nvidia Corp. và Uber Technologies Inc. Một trong những thành viên là một hacker tên Jack, người khoe mình có quan hệ với các nhà cung cấp ransomware và sở hữu phần mềm có thể vượt qua các công cụ bảo mật cao cấp. (Một thành viên khác, Thalha Jubair, theo cáo trạng là EarthtoStar, bị bắt ở Anh vào tháng này. Bộ Tư pháp Mỹ công bố hôm 18 tháng 9 cáo buộc Jubair, 19 tuổi, giúp tống tiền 47 công ty Mỹ với tổng số tiền 115 triệu USD. Luật sư Anh của Jubair từ chối bình luận.)
Noah cảm thấy hợp tác với họ thật ngầu. Anh bắt đầu kết nối với Jack, người ấn tượng với vụ xâm nhập Twilio nhưng coi thường chiến lược của Noah và bạn bè khi tấn công công ty để đánh cắp cơ sở dữ liệu. Jack cho rằng việc tống tiền các công ty đã bị xâm nhập sẽ kiếm tiền nhanh hơn nhiều.
Noah nói họ cùng nhau xâm nhập vào tài khoản nhân viên của nền tảng giao dịch tiền điện tử Crypto.com qua lời nói. Họ cũng sử dụng hệ thống của United Parcel Service (UPS) để thu thập dữ liệu cá nhân của những nạn nhân tiềm năng. (Một phát ngôn viên của Crypto.com cho biết vụ tấn công vào nền tảng trước đó chưa từng được báo chí đưa tin, thông tin liên quan chỉ ảnh hưởng “rất ít cá nhân” và không có tiền khách hàng nào bị truy cập. UPS cho biết đã khắc phục sự cố vào năm 2023 nhưng từ chối cung cấp thêm chi tiết cho bài viết này.)
Nhóm khao khát có thêm dữ liệu. Noah nói rằng trong thời gian nghỉ giữa các lớp học ảo, anh dùng ChatGPT nghiên cứu tổ chức nào có thể truy cập thông tin cá nhân cần thiết để đánh cắp tiền điện tử, và loại nhân viên nào có thể sở hữu thông tin đó. Tháng 1 năm 2023, họ xâm nhập vào công ty trò chơi điện tử Riot Games Inc., đánh cắp mã nguồn của trò chơi nổi tiếng League of Legends và một số công cụ chống gian lận. Họ yêu cầu trả 10 triệu USD để hoàn trả dữ liệu, đây là lần đầu tiên nhóm đưa ra yêu cầu tống tiền. Riot Games từ chối trả tiền.
Noah nói anh không tham gia vào âm mưu tống tiền, nhưng trước đó anh đã xâm nhập công ty bằng kỹ năng lừa đảo qua điện thoại của mình. Việc anh nâng cấp tài khoản Riot Games cá nhân trong thời gian đánh cắp trở thành manh mối quan trọng với điều tra viên — cộng với tin nhắn anh gửi vài ngày sau mà công tố viên cho là thừa nhận vụ tấn công.
Ảnh tạm giam của Noah.
Nguồn: Văn phòng Cảnh sát trưởng Volusia County
Sáng sớm ngày 1 tháng 3 năm 2023, mọi thứ bắt đầu sụp đổ. Khi Noah đang trở về nhà từ bác sĩ thú y cùng con mèo, hơn hai mươi đặc vụ FBI và cảnh sát bao vây xe anh, yêu cầu anh mở cửa. Anh do dự, lo ngại Diana sẽ chạy thoát, khiến họ nghi ngờ anh đang giấu diếm điều gì. Sau khi anh giải thích, cảnh sát cho phép anh mang con mèo vào nhà.
Noah ngồi trên ghế sofa đọc lệnh khám xét, trong khi các đặc vụ lục soát nhà anh, tịch thu máy tính và iPhone. Anh từ chối cung cấp mật khẩu. Khi anh yêu cầu gọi điện cho cha, một đặc vụ FBI đồng ý và đưa điện thoại của Noah lên gần mặt anh để cố gắng mở khóa. “Hay đấy, cố thử đi,” Noah nghĩ thầm, đồng thời né tránh.
Công tố viên cho biết các đặc vụ liên bang đã tịch thu khoảng 4 triệu USD tiền điện tử, 100.000 USD tiền mặt và trang sức trị giá 100.000 USD, bao gồm đồng hồ Rolex và năm chiếc đồng hồ khác. Họ cũng lấy đi một máy đếm tiền và PlayStation 5 của Sony của Noah. Noah nói họ chỉ để lại cho anh 16 USD và một cuốn hộ chiếu.
“Giống như mọi người cha khác, tôi tan nát cõi lòng, nhưng tôi sẽ mãi yêu anh ấy, và tôi sẽ không từ bỏ anh ấy trước khi tôi chết.”
Noah không bị bắt ngay trong ngày đó, nhưng các đặc vụ FBI cáo buộc anh xâm nhập Riot Games và liên quan đến một số vụ đánh cắp tiền điện tử. “Họ bảo tôi ngồi xuống, nói: ‘Chúng tôi biết anh là một kỹ sư xã hội,’ ” Noah nhớ lại. “‘Chúng tôi biết anh là thành viên của Scattered Spider.’ ”
Hóa ra FBI đã theo dõi Noah từ năm 2021, khi anh bị ghi nhận là người tham gia cấp thấp trong một vụ chuyển SIM ở Portland, Oregon. Mặc dù Noah thiếu kỹ năng kỹ thuật, nhưng ông vẫn là “một trong những người chuyển SIM hàng đầu mà chúng tôi biết lúc đó,” đặc vụ Doug Olson, người phụ trách văn phòng Portland và tham gia vụ việc, nói. “Anh ta cực kỳ giỏi trong việc lừa nhân viên chuyển số điện thoại nạn nhân và lấy thông tin cá nhân để phạm tội.”
Noah搬回 nhà cha, người cho biết ông sốc khi biết mức độ phạm tội của con trai. Cùng tháng đó, họ bay đến Oregon cùng luật sư, nơi các đặc vụ FBI đã theo dõi Junk, một đối tác của Noah. Theo hồ sơ tòa án, tại đó Noah thừa nhận với công tố viên rằng từ cuối năm 2020 đến đầu năm 2023, anh đã đánh cắp tới 15 triệu USD. Anh nói sẽ không còn chạm vào tiền điện tử hay hoạt động tin tặc.
Dù có những phát biểu trong phỏng vấn, nhưng Doug Olson của FBI cho rằng Noah “hoàn toàn không tỏ ra hối hận”. Olson nói rằng toàn bộ cuộc sống xã hội của Noah xoay quanh việc thực hiện tội phạm mạng, khiến anh trở nên vô cảm với nạn nhân. Thực tế, Noah nói với các đặc vụ rằng phần lớn lợi nhuận của anh gần như được chi ngay lập tức vào các trang web cờ bạc tiền điện tử và trò chơi. “Hoàn toàn là về vị thế trong cộng đồng của họ,” Olson nói. “Chỉ là khoe mẽ.”
Ngay cả sau khi bị đột kích tại nhà, Noah vẫn tiếp tục hoạt động kỹ thuật xã hội và đánh cắp nhạc, theo một đặc vụ FBI tham gia điều tra nhưng yêu cầu giấu tên. Các nhà nghiên cứu tội phạm mạng cho biết Scattered Spider dường như im lặng một thời gian sau vụ đột kích. Tháng 9 cùng năm, nhóm bị tình nghi xâm nhập Caesars Entertainment Inc. và tống tiền công ty sòng bạc này 15 triệu USD. Người trong cuộc cho biết Caesars không phản hồi yêu cầu bình luận.
Mấy ngày sau, MGM Resorts phát hiện tin tặc đã xâm nhập hệ thống, đánh cắp mật khẩu Okta của nhân viên. MGM tắt hệ thống máy tính. Tại sảnh sòng bạc Las Vegas, chức năng thanh toán máy đánh bạc ngừng hoạt động. Khách hàng, bao gồm cả Chủ tịch Ủy ban Thương mại Liên bang Lina Khan, bị khóa ngoài phòng. Công ty không trả tiền chuộc, nhưng ước tính vụ tấn công gây thiệt hại 100 triệu USD.
Sự kiện này gây chấn động. Ransomware thường là lĩnh vực độc quyền của các nhóm nói tiếng Nga, nhưng bằng chứng hiện cho thấy phần mềm này đang được sử dụng bởi các hacker gần nhà hơn.
Các công ty an ninh mạng CrowdStrike Holdings Inc. và Mandiant cho biết Scattered Spider đã theo dõi khách hàng của họ trong nhiều tháng. Các công ty này chia sẻ với các công ty an ninh mạng bản ghi âm giữa Scattered Spider và nhân viên chăm sóc khách hàng, các nhà nghiên cứu ngạc nhiên khi nghe những giọng nói quen thuộc. Jeff Lunglhofer, Giám đốc An ninh Thông tin của Coinbase Global Inc., mô tả họ vào năm 2023 là “những nam giới trẻ tuổi, ăn nói lưu loát”, “phản ứng nhanh nhẹn, thậm chí còn hài hước”.
Một tháng sau vụ tấn công MGM, Microsoft Corp. mô tả trong bài blog rằng thư tống tiền của Scattered Spider ngày càng trở nên hung hãn hơn. Các thành viên sử dụng địa chỉ nhà và tên gia đình cùng đe dọa thể xác để ép người khác chia sẻ mật khẩu hoặc mã, Microsoft cho biết. Tháng 11 cùng năm, Bộ An ninh Nội địa Mỹ cảnh báo Scattered Spider hợp tác với nhóm ransomware AlphV, nhóm này nói tiếng Nga và cung cấp phần mềm độc hại sẵn sàng để chia phần tiền chuộc.
Noah phủ nhận tham gia vào các vụ tấn công sòng bạc hay triển khai ransomware, và anh cũng chưa bị truy tố vì những tội này. Nhưng chính quyền nghi ngờ anh chưa hoàn toàn từ bỏ. Công tố viên sau đó cho biết tháng 8 năm 2023, Noah rút 10.000 USD bitcoin từ một ví mà FBI đang theo dõi, dù anh đã hứa sẽ không động vào tiền điện tử. Họ phát hiện tin nhắn Discord của Noah gửi cho bạn bè. Một tin nhắn viết: “Hôm nay tôi nói chuyện với một luật sư liên bang. Họ nói nếu tôi không sớm bị truy tố, tôi có thể thắng vụ này. Bạn không thể hình dung việc tôi không khởi động ‘chế độ hạt nhân’ (xóa mọi nội dung trên máy tính) lại tệ đến mức nào.”
Phân tích tài khoản của Noah cho thấy giữa năm 2022, anh giúp chuyển khoảng 76 triệu USD qua các sàn giao dịch tiền điện tử và dịch
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@Bloomberg
