Với hầu hết mọi người, khi cần gửi tiền ở một nơi an toàn thì chắc chắn ngân hàng là lựa chọn hàng đầu. Các dịch vụ ngân hàng ngày càng phát triển và giờ đây bạn có thể thực hiện chuyển tiền, rút tiền hoặc các giao dịch khác trực tuyến mà không cần phải tới chi nhánh ngân hàng.
Tát cả những tiến bộ kỹ thuật số này giúp cuộc sống của chúng ta dễ dàng, thoải mái hơn. Tuy nhiên, nó cũng đồng nghĩa với việc tội phạm ngân hàng có thể đánh cắp tiền của chúng ta dễ dàng hơn. Thế giới càng dịch chuyển sang kỹ thuật số thì tội phạm mạng càng có nhiều cơ hội để hoạt động.
Trong bài viết này, Quản Trị Mạng mời các bạn theo dõi câu chuyện về ZeuS, một trojan ngân hàng cực kỳ nguy hiểm. Nó đã phát triển mạnh mẽ và đánh cắp được hàng trăm triệu USD mà đa số các nạn nhân chẳng hề hay biết gì.
Mục lục bài viết
SLAVIK - KẺ KHAI SINH ZEUS
Trở lại thời điểm năm 2006, khi đó hệ thống ngân hàng trực tuyến mới hoạt động được khoảng 10 năm. Lừa đảo ngân hàng không phải là trò mới và nó đã diễn ra trong nhiều năm nhưng trước xu thế số hóa, những kẻ lừa đảo cũng bắt đầu tiến hóa. Giờ đây, tài khoản ngân hàng của một người có thể bị tấn công bởi một người nào đó ở một nơi nào đó trên thế giới.
Một cậu trai trẻ đã để ý tới xu hướng này. Cậu trai trẻ tuổi người Nga này nuôi tham vọng một ngày nào đó sẽ chạm tay vào được nguồn tiền không bao giờ cạn ấy. Cậu ấy còn trẻ, mới 23 tuổi, nhưng trong lòng đầy tham vọng. Đừng để tuổi tác của cậu ấy đánh lừa bạn, ở độ tuổi đôi mươi cậu ấy là một lập trình viên cực giỏi với đầu óc nhạy bén và khả năng tính toán tuyệt vời. Sau khi lựa chọn ngược xuôi, cậu ấy chọn cho mình biệt danh là Slavik.
Tháng 10/2006, trên diễn đàn hỗ trợ techsupportguy.com xuất hiện một lời khẩn cầu của một nạn nhân. Anh ấy nói rằng anh ấy tìm ra phần mềm kỳ lạ trên máy tính Windows của em gái. Anh ấy hỏi mọi người rằng có biết phần mềm đó là gì hay không.
Phần mềm này quá mới, quá khác biệt nên hầu như chẳng ai biết nó là gì. Một số nhà nghiên cứu bảo mật đã gửi mẫu phần mềm này đi khắp nơi để dò hỏi cuối cùng họ kết luận nó là một loại mã độc. Họ đặt tên cho nó là WSNPoem theo tên của một trong những thư mục của phần mềm.
WSNPoem lặng lẽ thu thập dữ liệu trên máy tính của nạn nhân. Nó lục lọi các file, bộ nhớ và trình duyệt để tìm kiếm các thông tin như tên nạn nhân và mật khẩu. WSNPoem gửi những dữ liệu thu thập được cho chủ nhân của nó.
Nó có tốc độ hoạt động cực nhanh và đặc biệt chú ý tới thông tin đăng nhập tài khoản ngân hàng trực tuyến. Từ đó người ta kết luận WSNPoem là một mã độc ngân hàng với mục tiêu lấy cắp tiền từ tài khoản ngân hàng của mọi người. Vào thời điểm đó, có tin đồn cho rằng WSNPoem là sản phẩm của nhóm hacker Nga có tên UpLevel.
Mọi chuyện diễn biến khá nhanh, tháng 6/2007, một biến thể nâng cấp, hiệu quả hơn của WSNPoem đã lộ diện. Nó được đặt tên là PRG. Tháng 8 năm đó, người ta tìm thấy một cơ sở dữ liệu khổng lồ được rao bán trên diễn đàn dành cho tội phạm mạng.
Số dữ liệu liên quan tới Trojan PRG này bao gồm thông tin tài khoản ngân hàng, chi tiết thẻ, số an sinh xã hội, tên đăng nhập và mật khẩu của các nạn nhân. Ước tính, có khoảng 46.000 nạn nhân đã bị tấn công.
Tính tới tháng 12/2007, những hacker đứng đằng sau PRG và WSNPoem đã đánh cắp được hơn 200.000 USD từ các tài khoản ngân hàng thương mại trên khắp Mỹ, Anh, Ý và Tây Ban Nha. Phương thức tấn công của hacker thời đó cũng khá đơn giản, chúng gửi mã độc qua hệ thống email spam, lừa nạn nhân tải về và cài đặt để cố gắng lây nhiễm nhiều máy tính nhất có thể.
Sau khi được cài đặt, nó sẽ tìm kiếm và thu thập hết các thông tin đăng nhập được lưu trên máy tính đó. Tiếp theo, mã độc âm thầm chờ đợi nạn nhân đăng nhập vào tài khoản ngân hàng.
Ngay khi điều đó xảy ra, mã độc sẽ gửi tín hiệu cho hacker để hacker truy cập vào máy tính của nạn nhân để chuyển tiền từ tài khoản của họ sang tài khoản hacker cứ như đang ngồi trong cùng một phòng và dùng chung một máy tính. Tiền bị đánh cắp khỏi tài khoản ngay trước mặt nạn nhân mà họ không hề biết và cũng chẳng thể làm được gì.
Hacker thấy rằng nếu cải thiện mã độc thêm một chút và mở rộng quy mô lớn hơn chúng có thể đánh cắp được rất nhiều tiền. Vì thế, chúng tiếp tục phát triển mã độc cũng như các kỹ năng hack của chúng.
Sáu tháng nữa lại trôi qua và các chuyên gia lại phát hiện thêm một phiên bản mới của mã độc này với tên gọi mới là Zbot, viết tắt của ZeuS Bot. Lần này, Zbot tấn công nạn nhân theo hai hướng khác nhau.
Hướng đầu tiên, như bạn đã biết, nó đánh cắp dữ liệu, chôm tiền trong tài khoản ngân hàng của nạn nhân. Hướng thứ hai, nó biến máy tính của nạn nhân thành một cỗ máy gián điệp, một máy tính nô lệ hoàn toàn nằm trong sự kiểm soát của hacker. Những máy tính ấy sẽ tham gia vào một mạng botnet, một mạng lưới khổng lồ bao gồm các máy tính bị nhiễm mã độc.
Hacker tổ chức mạng botnet này rồi sử dụng sức mạnh của chúng như một thế lực đáng gờm cho một số mục đích mờ ám.
Đến lúc này, các chuyên gia bảo mật cũng bác bỏ ý kiến cho rằng Zbot là sản phẩm của một nhóm hacker mới. Họ chắc chắn rằng kẻ đứng đằng sau ZeuS Bot chính là người đã tạo ra PRG và WSNPoem. Và kẻ đó không phải ai khác mà chính là cậu trai người Nga có biệt danh Slavik.
SLAVIK - KẺ CAI TRỊ
Đến năm 2008, Zbot chính thức đổi tên thành ZeuS, một cái tên mà Skavik đã đặt cho nó ở thời điểm nào đó trong quá trình phát triển. Nếu bạn không biết thì ZeuS là vị thần tối cao trong thần thoại Hy Lạp. ZeuS là vua của các vị thần, ông là thần quản lý bầu trời và sấm sét.
Slavik thích ý tưởng trở thành một kẻ cai trị và đó là lý do khiến cậu ta đặt tên cho mã độc của mình là ZeuS. Cậu ta thích ý tưởng nắm trong tay một mạng botnet duy nhất cai trị tất cả và ý tưởng ấy có vẻ đã được hiện thực hóa phần nào bởi ZeuS cuối cùng đã trở thành vua của tất cả các loại mã độc ngân hàng.
Không chỉ lập trình giỏi, Slavik còn rất giỏi trong việc kinh doanh. Cậu ta muốn tạo ra nhiều nguồn thu nhập hơn nên liên tục cập nhật và phát triển ZeuS, thường xuyên bổ sung các tính năng mới.
Thường thì các mã độc khác chỉ một hoặc hai phiên bản, các nhà phát triển chỉ cần viết một lần là xong. Nhưng ZeuS thì khác. Slavik đã tự mình phát tán ZeuS để đánh cắp tiền của các nạn nhân nhưng cậu ta cũng bán nó trên các diễn đàn tội phạm và darkweb.
Slavik bán ZeuS cho các hacker khác dưới dạng bộ công cụ DIY giúp họ có thể tự xây dựng một mạng botnet trojan ngân hàng của riêng mình. Cậu ta thu một khoản phí khi các hacker muốn sử dụng ZeuS nhưng sẽ hỗ trợ liên tục nếu họ cần. Khi đó, nhiều hacker muốn có sức mạnh của mạng botnet trong tầm tay nhưng không đủ kỹ năng để tự xây dựng.
Do đó, ZeuS với giao diện dễ sử dụng, không cần phải có kiến thức về công nghệ để phát tán và có thể nghe lệnh từ bất kỳ chủ nhân nào, đã trở thành công cụ ưa thích của nhiều hacker. Năm 2007, nhóm hacker khét tiếng chuyên đánh cắp thông tin ngân hàng qua email lừa đảo có tên Rock Phish đã bổ sung ZeuS vào kho vũ khí của chúng.
Với sự kết hợp này, nạn nhân nhận được email lừa đảo của Rock Phish sẽ bị tấn công theo hai cách khác nhau. Đầu tiên, nạn nhân có thể nhấp vào địa chỉ giả, truy cập vào trang web ngân hàng giả và nhập thông tin để rồi bị đánh cắp. Còn nếu nạn nhân không mắc lừa theo kiểu đó thì ZeuS sẽ ra tay, thâm nhập và đánh cắp thông tin của bạn.
Theo thời gian, Rock Phish biến mất để nhường chỗ cho nhóm hacker khác là Avalanche. Với cơ cấu bao gồm một số thành viên cũ của Rock Phish, Avalanche cũng thích sử dụng ZeuS và cả cộng đồng tội phạm mạng đều thích ZeuS.
Song hành cùng bước tiến của công nghệ bảo mật, Slavik liên tục cập nhật ZeuS để nó không bị lạc hậu. Cậu trai này luôn giữ mọi thứ hướng về phía trước, luôn đầy tham vọng và tham lam.
GÂY KHÓ CHO FBI
Đến tháng 5/2009, FBI bắt đầu nhận được báo cáo về các vụ chuyển tiền quy mô lớn được thực hiện bằng các hình thức gian lận. Tuy nhiên, không có bằng chứng nào cho thấy những vi phạm về an ninh mạng.
J là một đặc vụ FBI mới vào làm được vài tháng ở bộ phận Lực lượng Đặc nhiệm Tội phạm Mạng. Anh không hề biết rằng mình sắp bị cuốn vào một mạng lưới phức tạp được tạo ra bởi một trong những lập trình viên bậc thầy, người luôn muốn đi trước mọi thứ một bước và muốn thống trị mọi thứ.
Lúc đó, một khách hàng của First National Bank of Omaha báo cáo rằng 100.000 USD trong tài khoản của anh ta đã biến mất không dấu vết. J được điều động và ngay lập tức bắt tay vào điều tra xem chuyện gì đã xảy ra.
Tuy nhiên, J nhận thấy giao dịch đó chẳng có bất cứ điều gì bất thường. Số tiền bị đánh cắp được khách hàng chuyển từ chính địa chỉ IP của khách hàng, trên chính trình duyệt của khách hàng chứ không phải từ một địa chỉ IP lạ nào cả.
Số tiền được chuyển tới các tài khoản nước ngoài nên J suy luận ngược lại rằng khách hàng đang cố lừa đảo và nói dối rằng số tiền đã bị đánh cắp. Nhưng J ngay lập tức bác bỏ suy nghĩ đó bởi ngân hàng có thể biết ai là người chuyển tiền nên kiểu lừa đảo này không thể xảy ra.
Nhưng bằng cách nào kẻ trộm có thể vào nhà của khách hàng để thực hiện giao dịch chuyển tiền? Đặc vụ của FBI thực sự đã bối rối, không thể nào giải thích được những tên tội phạm đã làm như thế nào.
VÉN MÀN SỰ THẬT
Slavik còn được biết đến với những biệt danh khác như A-Z, Monstr, lucky12345. Cậu ta vẫn tiếp tục bán quyền sử dụng ZeuS dưới dạng một bộ công cụ hỗ trợ tội phạm mạng. Trung bình, mỗi giao dịch ZeuS mang về cho Slavic 3.000 USD và có tới 5.000 khách hàng khác nhau sử dụng ZeuS.
Thế nhưng Slavic không hài lòng bởi một số kẻ khác đã kiếm tiền dựa vào ZeuS nhờ bán lại nó cho những hacker khác.
Bên cạnh đó, các ngân hàng cũng ngày càng cập nhật thêm các phương thức bảo mật. Nhiều loại xác thực hai lớp ra đời để hacker phải vượt qua trước khi xâm nhập vào tài khoản.
Vì vậy, đầu năm 2009, Slavik đã hợp tác cùng với Avalanche để tung ra phiên bản tiếp theo của ZeuS mang tên JabberZeuS. Phiên bản mới này có khả năng bổ sung, loại bỏ các mô-đun theo ý thích của người dùng. Trong đó, mô-đun đáng chú ý nhất là Jabber bởi nó cho phép ZeuS gửi tin nhắn tức thì tới cho chủ nhân để báo cáo tình hình.
Ví dụ, ZeuS có thể gửi tin nhắn báo cáo khi phát hiện nạn nhân đăng nhập vào tài khoản ngân hàng có số dư vượt quá một số tiền nhất định. Nó có thể cập nhật ngay lập tức cho chủ nhân các thông tin như tài khoản, mật khẩu, mã xác thực hai yếu tố, câu hỏi và câu trả lời bảo mật...
Ngày 29/6/2009, các nhân viên tại First Federal Savings Bank đã phát hiện ra một số điều bất thường trong tài khoản của khách hàng. Tài khoản này thuộc về Tòa án Tài chính Quận Bullitt ở Kentucky. Nhân viên ngân hàng cho biết có thêm 25 nhân viên mới được thêm vào danh sách trả lương của tòa án từ ngày 22/6.
Ngay sau khi một nhân viên mới được thêm vào, họ sẽ được chuyển khoản một số tiền dưới 10.000 USD. May mắn là nhân viên ngân hàng đã phát hiện ra sớm và liên hệ với phía Tòa án. Phía Tòa án trả lời rằng họ không hề biết về điều này vì thế ngân hàng đã ngay lập tức đảo ngược các giao dịch. Đó chắc chắn là một vụ tấn công của tội phạm mạng.
Nhưng chúng thực hiện điều đó bằng cách nào?
Tòa án Tài chính Quận Bullitt áp dụng một số biện pháp an ninh bổ sung. Trên tài khoản ngân hàng này, cần đăng nhập vào hai tài khoản một của thủ quỹ và một của thẩm phán mới có thể ký xác nhận chuyển tiền.
Kết hợp nguồn tin trong ngành và quá trình điều tra, FBI xác định mọi thứ đều do JabberZeuS gây ra. Và đây là cách mà chúng thực hiện:
- Đầu tiên, nhóm hacker này nhắm vào thủ quỹ của tòa án. Bằng một cách nào đó chúng lây nhiễm được JabberZeuS vào máy tính của thủ quỹ.
- Tiếp theo, JabberZeuS làm công việc của nó, lấy về cho chủ nhân thông tin đăng nhập tài khoản ngân hàng First Federal Saving và cả thông tin đăng nhập email.
- Bằng cách sử dụng các mô-đun kết nối ngược và VPN, hacker đảm bảo rằng chúng đang sử dụng chính kết nối internet của thủ quỹ khi đăng nhập vào ngân hàng.
- Nhóm hacker truy cập vào tài khoản ngân hàng để xem tên các tài khoản cần ký mỗi khi chuyển tiền. Chúng lấy được tên tài khoản của thẩm phán.
- Chúng phát hiện ra có thể dùng email của thủ quỹ để đặt lại mật khẩu cho tài khoản của thẩm phán và thế là chúng có hai tài khoản để xác nhận chuyển tiền trong tay.
- Cuối cùng, chúng tạo ra các tài khoản nhân viên giả, dùng tài khoản của thủ quỹ để thêm vào danh sách nhận lương.
Quá trình trên nghe thì phức tạp nhưng thực chất chỉ được thực hiện trong vòng chưa đầy 10 phút. Nhóm hacker đã đánh cắp 415.000 USD từ Tòa án. May mắn là ngân hàng phát hiện kịp thời và đảo ngược một số giao dịch để thu hồi tiền.
Sau vụ này, những kẻ đứng đằng sau JabberZeuS tiếp tục tấn công các ngân hàng, doanh nghiệp nhỏ thậm chí là cả trường học trong những tháng tiếp theo.
Các đặc vụ FBI cũng phải căng mình ra để theo sát hoạt động của JabberZeuS. Cuối cùng, vào tháng 9/2009, cuộc điều tra của họ cũng đã có được bước tiến lớn. FBI tìm ra cách theo dõi domain của máy chủ Jabber vốn được ZeuS dùng để gửi tin nhắn tức thì. Mã độc dẫn họ tới một domain có tên incomeet.com. Tiếp theo, địa chỉ IP dẫn họ tới một công ty máy chủ được host bởi Ezzi.net, nằm ở Brooklyn, New York.
Ezzi.net là công ty Mỹ nên phải chấp nhận cho FBI vào khám xét nhằm lấy thông tin chi tiết về khách hàng đang trả tiền thuê IP và máy chủ đó. Các đặc vụ FBI bước vào phòng và chỉ nhìn thấy một chiếc máy tính ở đó. Nó chạy CentOS 5.0, có ổ cứng 500GB, 2GB RAM và bộ vi xử lý AMD lõi kép.
FBI hỏi đại diện Ezzi.net rằng ai sử dụng chiếc máy chủ này. Không có câu trả lời cụ thể. Phía Ezzi.net chỉ biết rằng máy chủ này được thuê bởi một cá nhân tự xưng là Alexi S., tới từ một công ty có trụ ở ở Moscow, Nga.
FBI thu giữ chiếc máy chủ về để kiểm tra. Họ tìm ra nhật ký trò chuyện giữa các hacker trong nhóm, tất cả đều bằng tiếng Nga. Họ tìm thấy hồ sơ về mọi cuộc tấn công, nhật ký tấn công cũng như danh sách các nạn nhân. Chiếc máy chủ sẽ là bằng chứng để FBI buộc tội những hacker nếu như bắt được chúng.
ZEUS ĐỐI ĐẦU HADES
Vào thời điểm này, Slavik đang sử dụng ZeuS để kiếm tiền theo ba cách khách nhau: cậu ta sử dụng nó để đánh cắp tiền từ các ngân hàng; cậu ta cho những người muốn sử dụng mạng botnet thuê lại; cậu ta bán phần mềm ZeuS với giá hơn 8.000 USD. Cậu ta kiếm được rất nhiều tiền từ các hoạt động phạm tội này và không hề muốn dừng lại.
Slavik tiếp tục cập nhật, bổ sung thêm nhiều tính năng mới hơn nữa và cho ra mắt ZeuS V2, cung cấp cho hacker khả năng theo dõi lưu lượng mạng, chụp ảnh màn hình, ghi lại những lần nhấn phím của nạn nhân, đánh cắp chứng chỉ và kết nối với các hệ thống ngân hàng khác.
Những kẻ khác cũng nhìn thấy ZeuS hiệu quả như thế nào và cũng muốn kiếm chác. Một vài kẻ có biệt danh là Gribodemon và Harderman đã mua ZeuS sau đó chỉnh sửa để tạo ra phần mềm độc hại mới có tên SpyEye. Phiên bản đầu tiên có chất lượng khá tệ nhưng bù lại giá bán chỉ có 400 USD, một cái giá quá hời so với 8.000 USD của ZeuS.
Vì SpyEye quá rẻ nên nó bắt đầu thu hút sự chú ý. Càng nhiều người mua SpyEye càng thúc đẩy Gribodemon cải thiện nó. Sau khi nâng cấp, giá của SpyEye tăng từ 400 USD lên 1.000 USD.
Nhóm hacker đứng đằng sau SpyEye cũng tìm cách "vợt" khách hàng của ZeuS bằng các chương trình giảm giá, khuyến mãi. Điều này tạo ra một vụ tranh giành quyền lực giữa SpyEye và ZeuS. SpyEye cũng được lập trình để khi lây nhiễm vào một máy tính nó sẽ kiểm tra xem có ZeuS không và nếu có nó sẽ xóa ZeuS đi.
Trận chiến giữa SpyEye và ZeuS chẳng khác nào vụ tranh giành quyền lực giữa thần Zeus và thần Hades. Slavik đương nhiên là không thích điều này. Cậu ta cập nhật ZeuS để phát hiện và xóa SpyEye.
Nhưng một điều kỳ lạ đã xảy ra, tháng 10/2010, cả ZeuS và SpyEye đều đưa ra thông tin rằng ZeuS sẽ không còn được bán nữa. Thay vào đó, việc kinh doanh của ZeuS sẽ được chuyển giao và sáp nhập vào SpyEye của Gribodemon. Slavik lui vào bóng tối.
Nhưng việc sáp nhập không bao giờ thực sự xảy ra. SpyEye không bao giờ sử dụng code hoặc các tính năng hay mạng botnet của ZeuS. Trong khi đó, các đặc vụ FBI vẫn âm thầm lần theo những manh mối và dấu vết của cả SpyEye và ZeuS. Họ phát hiện ra có một máy chủ SpyEye ở Atlanta, Mỹ.
FBI tiến hành khám xét và phát hiện ra máy chủ tại đây đang kiểm soát hơn 200 con bot và có thông tin liên quan tới nhiều tổ chức tài chính trên đó. Điều này giúp FBI có thêm nhiều manh mối về kẻ đứng đằng sau SpyEye.
Năm 2011, đột nhiên mã nguồn của ZeuS bị đăng tải công khai trên internet. Điều này đồng nghĩa với việc bất cứ ai cũng có thể tải về và tạo ra mã độc ZeuS tùy chỉnh của riêng mình. Thời điểm đó, Slavik vẫn bặt vô âm tín, không có bất cứ hoạt động nào.
SpyEye thì vẫn phát triển, vẫn ra mắt các bản cập nhật mới. Tuy nhiên, sau đó Gribodemon cũng lặng lẽ biến mất và không còn hoạt dộng trên các cộng đồng tội phạm mạng.
Một thời gian sau, Gribodemon, ông trùm của SpyEye, đi nghỉ ở Cộng hòa Dominica. Hắn ta không hề biết rằng mình đang bị FBI theo dõi. Ngay sau khi xuống sân bay, Gribodemon bị chính quyền Dominica bắt giữ và dẫn độ về Mỹ. Gribodemon tên thật là Aleksandr Panin, 27 tuổi, quốc tịch Nga. Gribodemon bị kết án 9 năm tù vì tạo ra SpyEye, rửa tiền và lừa đảo ngân hàng...
Một nhân vật khác cũng bị bắt giữ trong vụ này là Hamza Bendalladj, 27 tuổi, người Algeria. Bendalladj phụ trách tiếp thị và phán tán SpyEye nên phải chịu án 15 năm tù.
TRÙM CUỐI LỘ DIỆN
Với thế giới, Slavik đã biến mất nhưng thực tế cậu ta âm thầm phát triển phiên bản mới mang tên ZeuS V2.1. Giờ đây, từ một phần mềm sử dụng hệ thống giấy phép bản quyền, ZeuS đã hoạt động theo mô hình thuê bao và được phân phối qua Cloud.
Năm 2011, ZeuS V2.1 trở thành ZeuS Version 3 và nó là mã độc ngân hàng trực tuyến đầu tiên được cung cấp dưới dạng dịch vụ mã độc (Malware-as-a-service - MAAS). Không lâu sau đó, nó tiếp tục tiến hóa thành Gameover ZeuS.
Gameover ZeuS được đánh giá là phiên bản hiệu quả và thành công nhất của ZeuS. Nhiều vụ tấn công với thiệt hại lớn đã được thực hiện bởi Gameover ZeuS. Tháng 9/2012, Gameover ZeuS được sử dụng trong một vụ tấn công đánh cắp 2 triệu USD từ một công ty in tại Mỹ. Tháng 11/2012, Gameover ZeuS tiếp tục giúp hacker đánh cắp 6,9 triệu USD từ một nạn nhân duy nhất.
Không chỉ có vậy, sau khi tấn công nạn nhân và đánh cắp tiền xong Gameover ZeuS còn có khả năng DDoS nạn nhân. Không ai biết những vụ tấn công quy mô lớn đó được thực hiện bởi hacker hay nhóm hacker nào, có phải Slavik thực hiện hay không.
Từ năm 2012 tới năm 2013, các tập đoàn lớn và cơ quan chức năng đã phối hợp với nhau nhằm đánh sập mạng botnet ZeuS nhưng không thành công. Họ có thể đánh sập các domain nhưng ZeuS luôn có phương án dự phòng nên có thể khôi phục một cách nhanh chóng.
Dẫu vậy, FBI cũng đã nắm trong tay thông tin về các thành viên điều hành của ZeuS chỉ có điều họ vẫn chưa biết Slavik thực sự là ai.
Theo FBI về cơ bản Slavik gọi nhóm của hắn là Business Club với 6 thành viên. Mỗi người trong nhóm lại có chuyên môn riêng, một số rất giỏi trong việc hỗ trợ công nghệ, một số khác giỏi về viết phần mềm độc hại và số còn lại giỏi trong việc tuyển dụng những người có thể hỗ trợ chúng rửa tiền.
Phối hợp cùng với nhau, nhóm của Slavik dường như luôn lường trước được phía đối thủ sẽ làm gì và chuẩn bị sẵn các phương án đối phó. Khả năng phục hồi của ZeuS là cực kỳ đáng kinh ngạc.
Thậm chí, chúng còn quyết định đưa ZeuS lên một tầm cao mới bằng việc tích hợp thêm ransomware CryptoLocker. Bạn có thể thấy ZeuS nguy hiểm như thế nào khi vừa có thể ăn cắp tiền trong tài khoản ngân hàng của bạn, vừa có thể tấn công DDoS và vừa có thể mã hóa dữ liệu của bạn để đòi tiền chuộc. Tháng 11/2013, một sở cảnh sát tại Massachusetts, Mỹ, là nạn nhân đầu tiên bị ZeuS tấn công bằng cả ba phương thức trên.
Đến tháng 5/2014, FBI chính thức xác nhận được danh tính của Slavik. Cậu ta lúc ấy vừa bước sang tuổi 31, tên thật của cậu ta là Evgeniy Bogachev, sống ở Anapa, Nga. Bogachev ngay lập tức bị phía Mỹ truy tố về nhiều tội danh gồm lừa đảo ngân hàng và rửa tiền.
Trong hai năm 2014 và 2015, nhiều cơ quan, doanh nghiệp, tổ chức tại nhiều quốc gia đã phối hợp với nhau để đánh sập mạng botnet ZeuS. Họ đã phải rất vất vả mới thực hiện được điều đó.
Slavik bị FBI đưa vào danh sách truy nã mức cao nhất. Phần thưởng cho bất cứ ai cung cấp thông tin dẫn tới việc bắt giữ Slavik là 3 triệu USD, mức thưởng lớn nhất từng được treo cho một hacker. Dẫu vậy, cho tới tận bây giờ Slavik vẫn chưa bị bắt vì cậu ta không rời khỏi nước Nga. FBI đã cố gắng làm việc với phía Nga rất nhiều lần nhưng vẫn không thể nào đạt được thỏa thuận dẫn độ Slavik về Mỹ.
Tổng cộng, ước tính ZeuS đã lây nhiễm từ 500.000 tới 1.000.000 máy tính trên toàn thế giới và 25% trong số đó là các máy tính tại Mỹ. FBI báo cáo rằng các nạn nhân người Mỹ đã mất hơn 100 triệu USD do bị hacker chuyển tiền ra khỏi tài khoản và 27 triệu USD khác cho các khoản tiền chuộc dữ liệu. ZeuS được đánh giá là một trong những mã độc tinh vi nhất và sinh lời nhiều nhất từ trước tới nay.
Lưu ý: Bài viết này được lược dịch từ phần 111 của series podcast Darknet Diaries, nếu các bạn muốn nghe toàn bộ podcast này thì mới các bạn truy cập vào đây.