Sam Norris là một anh chàng đẹp trai, hơi phớt đời trong trang phục quần jean, áo phông và đôi giầy thể thao xanh-trắng. Miệng cười ngoác đến tận mang tai, Norris xởi lởi nói "Các anh đến đúng lúc đấy, hôm nay tôi vừa tóm được mấy "chú" botnet rồi".
>> Xâm nhập thế giới ngầm (Kỳ I): Góc khuất đời hacker!
>> Xâm nhập thế giới ngầm (Kỳ II): Sát thủ tuổi teen
>> Xâm nhập thế giới ngầm (Kỳ III): Guồng quay bạch tuộc
Sát thủ của botnet
Năm nay 31 tuổi, Norris hiện là chủ tịch của hãng dịch vụ Internet có tên ChangeIP.com, một trong những "pháo thủ" hàng đầu chống lại botnet. Theo ước tính của Norris, anh ta mất khoảng 20 tiếng mỗi tuần cho việc ngăn chặn các tay botmaster như 0x80 và Majy sử dụng mạng của ChangeIP để điều khiển botnet.
Thường thì các botmaster vẫn kiểm soát botnet bằng cách lệnh cho từng PC nô lệ báo cáo hàng ngày về máy chủ trung ương và chờ chỉ dẫn tiếp theo (có thể là tấn công một website, gửi thư rác hay download các chương trình spyware). Tuy nhiên, nhiều mạng IRC đã bắt đầu nhận ra tình trạng này và thực hiện chiến dịch triệt hạ botnet.
Hệ quả là ngày càng nhiều hacker tìm cách che giấu và ngụy trang cho mình bằng việc sử dụng những dịch vụ như của ChangeIP. Các dịch vụ này cho phép trình duyệt Internet tìm kiếm hàng trăm website nhỏ theo tên, kể cả khi địa chỉ số thực sự của site có thể thay đổi qua từng ngày. Các botmaster nhạy bén như 0x80 đã lập tức ngửi thấy ích lợi từ đây. Chúng đã sử dụng dịch vụ của Norris để che giấu các botnet của mình khi nhảy từ máy chủ này sang máy chủ khác.
Nếu nhà chức trách hoặc các chuyên gia bảo mật bắt đầu để mắt đến một máy chủ đang chạy botnet của chúng, lập tức chúng sẽ chuyển sang máy chủ khác, và ChangeIP.com sẽ giúp các máy tính cừu non tìm kiếm "chuồng trú ẩn" mới.
Trong đa số các trường hợp, Norris dễ dàng phân biệt được trên mạng của ChangeIP, đâu là website hợp pháp và đâu là botnet: Ở các website nhỏ, bạn không bao giờ chứng kiến cảnh hàng ngàn máy tính cùng truy cập đồng thời, đều tăm tắp như của botnet.
Bằng cách theo dõi luồng liên lạc qua lại giữa các máy tính nô lệ với kênh điều khiển của botmaster, Norris có thể tóm được những dữ liệu rất đắc dụng với cơ quan điều qua, chẳng hạn như trích đoạn text hoặc mã có chứa đầu mối về nơi ở hoặc danh tính của botmaster.
Theo tính toán của Norris, trung bình có khoảng 37 botnet mới tìm cách lợi dụng dịch vụ của hãng anh mỗi tuần. Có những thời điểm, số botnet vọt lên tới 10 botnet/ngày. Mùa xuân năm ngoái, Narris đã chặn họng thành công một botnet gồm 40.000 máy tính chuyên làm nhiệm vụ cài spyware. "Số lượng botnet-spyware đang tăng với tốc độ chóng mặt. Theo tôi đó là do hacker đã nhận ra chúng có thể kiếm được hàng đống tiền từ đây".
Nháy mắt một cách ranh mãnh, Norris chỉ cho chúng tôi xem bản sao của một botnet bị anh ta trục xuất khỏi mạng ChangeIP.com cách đây không lâu. Chương trình này bao gồm các câu lệnh để cài đặt 14 adware và spyware khác nhau, với đoạn mã đã được mã hóa và ngụy trang tinh vi tới mức không một phần mềm diệt virus đang dùng nào có thể phát hiện được.
Bản thân Narris, trong khi đang kiểm tra chương trình bot này cũng đã vô tình khởi động nó, khiến cho máy tính của anh... dính chưởng. Gần như tức thời, chương trình này tải về máy cả một gói adware và kích hoạt hàng loạt cửa sổ pop-up quảng cáo cho các site khiêu dâm. Nó đồng thời cũng cài đặt cả thanh công cụ XXX của GammaCash lên giao diện trình duyệt.
Tiếp tục phân tích, Norris phát hiện thấy chương trình bot tinh vi này còn chứa tới hơn 30 tính năng khác, từ lén lút ghi lại toàn bộ hoạt động lướt Web và theo dõi bàn phím (keystroke) cho đến ăn cắp username và mật khẩu của PayPal. Một chương trình khác thậm chí còn cho phép kẻ tấn công nhìn trộm tất cả những gì mà webcam người dùng thu được.
Liên minh "hiệp sĩ"
Lại nói về Norris. Anh chàng này là thành viên của một nhóm "điều tra viên" không chính thức, tập hợp hơn 100 chuyên gia bảo mật độc lập trên toàn thế giới. Ngày ngày, họ chia sẻ với nhau đủ mọi dữ liệu về quy mô, địa điểm và hoạt động của những mạng botnet phá hoại nhất. Sử dụng những thông tin này, các thành viên của nhóm đã đóng cửa được kha khá botnet, bằng cách chặt gãy hết mạng lướt máy tính nô lệ của các botmaster và chuyển giao hồ sơ cho các lực lượng tư pháp.
Mỗi buổi sáng, Norris lại nhận được một email liệt kê địa chỉ trên mạng của các máy chủ Web đang bị botmaster sử dụng. Rà soát cẩn thận danh sách này, Norris cố gắng tìm ra botnet nào đang lợi dụng mạng của mình.
Đừng lầm tưởng rằng chỉ có máy tính gia đình mới dễ dàng bị tấn công và chiêu nạp vào mạng botnet. Vài tháng trước, Norris đã phát hiện thấy hơn 10.000 máy tính của một công ty có trên trong danh sách Fortune 100 (100 công ty hàng đầu thế giới do Fortune bình chọn - ND) đang tìm cách liên lạc với một máy chủ trong mạng của ChangeIP. Khi Norris thông báo tin xấu này với hãng, quản trị mạng của công ty đó kém đến nỗi không biết phải phản ứng lại như thế nào. "Anh ta ngơ ngác hỏi tôi: "Anh muốn tôi làm gì bây giờ?".
Norris cho biết sau khi thu thập đủ bằng chứng, chứng minh đó là botnet, anh sẽ đình chỉ account truy cập dịch vụ và (hy vọng là) sẽ bẻ gãy được đường dây liên lạc giữa botmaster với các máy tính tay chân. Sở dĩ có chữ "HY VỌNG" ở đây là vì rất nhiều lần, các botmaster đã chỉ dẫn cho máy tính nô lệ chuyển sang những tên miền khác khi kênh điều khiển chính bị sập cửa. Tuy nhiên, trong đa số trường hợp, botmaster chỉ việc di dời toàn bộ mạng botnet của hắn sang một nhà cung cấp dịch vụ Internet khác mà thôi.
Mèo và chuột
Cũng có khi, botmaster còn cố tình xỏ xiên Norris bằng cách gửi một email lời lẽ cực kỳ nhã nhặn hỏi rằng "Tại sao lại đóng cửa dịch vụ của tôi?". Trường hợp xấu nhất là sau khi xây dựng mạng botnet ở một nơi khác, hacker sẽ quay lại, dùng botnet đó để tấn công trả đũa chính ChangeIP. Năm ngoái, một botmaster bị loại đã liên kết cùng một botnet khác để tiến hành tấn công quy mô lớn nhằm vào ChangeIP, khiến cho site này lao đao và đình trệ trong gần một tuần.
Khi vấn nạn botnet leo thang, cuối cùng thì các cơ quan tư pháp cũng đã bắt đầu chú ý. "Họ đã hiểu được rằng botnet không còn là một mối phiền toái khó chịu nữa: Nó là một guồng quay ma quỷ tập hợp tất cả những gì đen tối nhất trên Internet hiện nay, từ hacking, thư rác cho đến phishing và do thám".
Đóng cửa một mạng botnet không phải là việc khó, nhưng tìm ra được kẻ chủ mưu giật dây đằng sau mới thực sự chông gai. Một phần cũng vì những chuyên gia bảo mật như Norris thường bất đồng với nhau về việc triệt phá botnet ngay tức khắc hay là tiếp tục theo dõi thêm một thời gian để thu thập đủ đầu mối, cung cấp cho các nhà điều tra.
Một nguyên nhân khác là do hoạt động và mạng lưới của các botnet thường xuyên lục địa, đòi hỏi sự hợp tác chặt chẽ giữa lực lượng tư pháp nhiều nước. Mà thực tế ai cũng hiểu là trình độ của các botmaster đã chạy trước nhân viên điều tra khá nhiều, khiến cho việc lần theo dấu vết của chúng vô cùng khó khăn.
Norris cũng chia sẻ mối quan ngại rằng các botmaster sẽ chuyển sang khai thác công nghệ P2P ngày càng nhiều. Những mạng như Kazaa hay LimeWire sẽ cho phép máy tính nô lệ trao đổi, chia sẻ chỉ dẫn và phần mềm với nhau mà không cần phụ thuộc vào máy chủ trung ương nữa. Khi ấy, dù Norris hay những chuyên gia "săn botnet" khác có tìm được và vô hiệu hóa máy chủ, mạng botnet này vẫn duy trì hoạt động bình thường.
"Khi ấy, tôi buộc phải rửa tay gác kiếm thôi, vì mọi chuyện đã vượt ra khỏi tầm tay của tôi rồi", Norris cảnh báo.
"Rửa tay gác kiếm"
Buổi tối hôm phóng viên ảnh của Washington Post đến gặp, 0x80 đã quyết định sẽ nói thật với cha hắn về "nghề nghiệp" thật sự của mình. 0x80 nói rằng sự dối trá đang gặm nhấm hắn từ bên trong, và hắn đã nói toàn bộ sự thật với bố, nhưng vẫn không đủ can đảm để đối mặt với mẹ. Hắn sợ bà sẽ gục ngã và đổ bệnh khi nghe được một cái tin sét đánh ngang tai như vậy.
"Tôi bảo với bố là con đã tạo ra một con sâu, lây nhiễm rất nhiều người, sau đó dùng máy tính của họ để kiếm tiền. Bố tôi chỉ lắc đầu và nói: "Bố chỉ mong con không phải vào tù vì việc đó. Bố cũng hy vọng con không phát tán mấy thứ đồi trụy đến cho lũ trẻ".
Khi nói những lời này, trên mặt 0x80 không còn vẻ câng cáo và bất cần đời như những lần phỏng vấn trước. Thay vì lo đến chuyện bị bắt quả tang và đưa ra tòa, hắn bắt đầu nghĩ đến việc bỏ "nghề" và gia nhập quân đội, không chỉ để được sống trong một môi trường kỷ luật và rèn luyện, mà còn để có điều kiện vào học đại học miễn phí. Từ xuất phát điểm đó, hắn có thể mơ về một tương lai tử tế hơn, khi vào làm việc cho một dự án công nghệ thông tin nào đó của quân đội.
"Tôi sẽ không còn phải phấp phỏng không yên nữa", 0x80 nói.
0x80 đã chia sẻ dự định này với một vài chiến hữu trên mạng. Nhiều kẻ trong số đó hầu như dựa dẫm hoàn toàn vào 0x80 để phát triển các chương trình botnet và chúng, tất nhiên, không muốn 0x80 dứt áo "hoàn lương". Nhưng có vẻ như 0x80 đã quyết.
"Tôi đã tìm ra được đường đi riêng cho mình, vẫn giữ được chuyên môn và đam mê nhưng vẫn có thu nhập ổn định và được người khác tôn trọng. Nhưng quan trọng nhất, tôi sẽ có thể thoát ra khỏi cái hố đen nhầy nhụa này".
(Hết)
Thiên Ý (Theo Brian Krebs - Washington Post)