Nhật ký "tập đoàn" hacker Conti, Phần 4: Tấn công thị trường tiền số

Conti là tên một ransomware cực kỳ nguy hiểm và đứng đằng sau nó là cả một tập đoàn hacker với cơ cấu tổ chức chẳng khác gì doanh nghiệp. Trong series mang tên "Nhật ký "tập đoàn" hacker Conti" này, Quản Trị Mạng mời các bạn cùng tìm hiểu về một trong những nhóm hacker khét tiếng nhất hiện nay.

Trong phần cuối cùng này, Quản Trị Mạng sẽ gửi tới cách bạn chi tiết về các chiến dịch lừa đảo tiền kỹ thuật số mà nhóm hacker Conti nhúng tay vào.

Với doanh thu 180 triệu USD vào năm ngoái - theo Chainalysis - Conti nắm trong tay rất nhiều tiền ảo và chủ yếu là Bitcoin.

Sự giàu có này cho phép Conti làm những thứ mà những nhà đầu tư thông thường không thể - chẳng hạn như thay đổi giá tiền ảo theo hướng này hoặc hướng khác. Thậm chí, Conti còn có tham vọng xây dựng một nền tảng tiền điện tử và gieo mầm nó bằng vô số tiền ảo xấu số từ các nhà đầu tư ảo.

Kẻ tiên phong trong dự án tiền ảo của Conti chính là quản lý cấp cao Stern. Hắn bị ám ảnh bởi ý tưởng tạo ra một nền tảng tiền điện tử của riêng mình cho các ứng dụng blockchain đa nền tảng.

"Tôi nghiện mất rồi, tôi đang rất hứng thú với trading, defi, blockchain, các dự án mới", Stern nói với "Bloodrush" vào ngày 3/11/2021. "Các công ty lớn nắm giữ quá nhiều bí mật, hãy nghĩ rằng đây là giá trị chính của họ, những sáng chế và dữ liệu ấy".

Trong một chủ đề được thảo luận kéo dài hàng tháng trong phòng trò chuyện của Conti, Stern trình bày kế hoạch tạo ra một vũ trụ tiền điện tử của riêng chúng.

"Có ai biết về các smart chain như Netherium, Polkadot và Binance... không?", Stern hỏi. "Nghiên cứu vể các hệ thống, code, nguyên tác làm việc... Để xây dựng nền tảng của chúng ta, nơi có thể tích hợp NFT, DEFI, DEX và tất cả các xu hướng mới đang và sẽ có. Để những người khác tạo ra coin của, sàn giao dịch và dự án của riêng họ trên hệ thống của chúng ta".

Có vẻ như Stern đã trả tiền cho nhiều nhà phát triển để theo đuổi khái niệm xây dựng một hệ thống ngang hàng (P2P) dựa trên smart contracts - các chương trinh được lưu trữ trên một blockchain có thể chạy bất cứ khi nào các điều kiện xác định trước được đáp ứng.

Không rõ bối cảnh nào khiến băng đảng Conti quan tâm tới smart contracts nhưng ý tưởng về một nhóm ransomware đòi thanh toán qua smart contracts không hoàn toàn mới. Vào năm 2020, các nhà nghiên cứu từ Trường Khoa học Thông tin và Công nghệ thuộc Đại học Athens ở Hy Lạp đã trình bày nghiên cứu về cách các dịch vụ ransomware có thể được thực hiện thông qua smart contracts vào một ngày nào đó.

Trước đó, Jeffrey Ladish, một chuyên gia tư vấn bảo mật thông tin đã xuất bản một phân tích cho thấy các nhóm ransomware sẽ kiếm được nhiều lợi ích bất chính hơn nếu sử dụng smart contracts.

Nhân viên Conti có biệt danh "Van" dường như là người đứng ra chịu trách nhiệm xây dựng nền tảng P2P bằng ngôn ngữ lập trình Rust.

"Tôi đang cố gắng tạo ra một mạng P2P bằng Rust", Van nhắn cho "Demon" vào ngày 19/2/2022. Demon dường như là một trong những biệt danh của Stern. "Tôi đang phân loại và đã bắt đầu code rồi".

"Thật tuyệt khi cậu thích Rust", Demon trả lời. "Tôi nghĩ rằng nó sẽ giúp ích cho chúng ta với smart contracts".

Stern rõ ràng rất tin tưởng vào giấc mơ tiền điện tử của mình. Thậm chí hắn ta còn tổ chức một cuộc thi viết bài trị giá 100.000 USD trên diễn đàn tội phạm mạng nói tiếng Nga có tên Exploit. Các ứng viên tham gia cuộc thi sẽ trình bày các ý tưởng khác nhau cho nền tảng tiền điện tử. Cuộc thi là cách để Conti dễ dàng mua lại tài sản trí tuệ cho dự án đang thực hiện và cũng là công cụ tuyển dụng hiệu quả.

"Cuộc thi viết về tiền điện tử! 100.000 USD", quản lý tầm trung Mango sao chép tiêu đề bài đăng trên diễn đàn Exploit rồi nhắn cho sếp Stern. "Anh đang muốn làm cái quái gì ở đó vậy".

Vài ngày sau, Mango báo cáo với Stern rằng hắn ấy đã chuẩn bị mọi thứ bao gồm các bài đăng trên mạng xã hội và bài quảng cáo cho cuộc thi viết về tiền điện tử.

Thao túng thị trường

Vào ngày 6/6/2021, nhân viên Conti có biệt danh "Begemot" thuộc hạ dưới trướng của Stern đã trình bày kế hoạch lừa đảo tiền ảo nhắm vào hàng loạt người khai thác. Chiến dịch này được thực hiện bằng cách tung ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào một pool khai thác tiền ảo.

"Chúng tôi tìm thấy mấy đồng này trên sàn giao dịch (những đồng có thể khai thác) và phân tích cơ sở hạ tầng của chúng", Begemot viết.

Begemot tiếp tục trình bày:

"Máy chủ, các nút, nguồn vốn ở đâu... Tìm một nơi mà những holder giao tiếp với nhau (Discord..). Tìm ra địa chỉ IP của nút. Nhiều khả năng nó sẽ là IPv6. Chúng ta sẽ bắt đầu DDoS. Chúng ta nhảy vào nhóm chat mà chúng ta đã tìm thấy trước đó và tung tin là có vấn đề xảy ra, crypt không được hiển thị, các hoạt động không được thực hiện (vì crypt phụ thuộc vào việc khai thác nên họ sẽ thực sự nghĩ là có vấn đề). Holder bắt đầu lo lắng và rút số dư chính. Tiền điện tử đó sẽ giảm giá. Chúng ta mua lại ở mức giá thấp. Chúng ta ngừng DDoS. Giá tiền điện tử tăng trở lại. Chúng ta bán kiếm lời. Hoặc chúng ta cũng có thể gửi thư đòi tiền chuộc mấy ông tạo ra đồng tiền ảo đó nếu muốn ngừng DDoS. Đó là những điểm chính của kế hoạch và chúng ta sẽ phải triển khai DDoS IPv6".

Stern khen ngợi đây là một ý tưởng tuyệt vời và yêu cầu Begemot giải thích cách xác định địa chỉ IP của mục tiêu.

SQUID GAMES

Có vẻ như Conti đã nhúng tay vào "SQUID", một chiến dịch lừa đảo tiền ảo ăn theo bộ phim ăn khách SQUID GAMES trên Netflix. Đồng tiền ảo lừa đảo này đã mang về cho những kẻ đứng đằng sau nó hàng triệu USD.

Vào ngày 31/10/2021, thành viên Conti có biệt danh "Ghost" đã gửi tin nhắn cho các đồng nghiệp của mình rằng một kế hoạch kiếm tiền bằng cách "pump" dự án lừa đảo sẽ được bắt đầu sau 24 giờ. Lừa đảo pump-and-dump trong thế giới tiền ảo được thực hiện bằng cách kẻ chủ mưu sẽ mua vào một đồng tiền ảo với số lượng lớn sau đó tung ra những thông tin sai lệch để tăng giá đồng tiền đó lên. Sau khi giá đã tăng tới một mức nhất định, kẻ chủ mưu sẽ tiến hành bán tháo nhằm kiếm lời.

"Ngày trọng đại đã đến", Ghost viết. "Còn 24 giờ cho tới khi có tín hiệu pump lớn nhất mọi thời đại! Mục tiêu lần này sẽ là tăng khoảng 400% hoặc nhiều hơn nữa. Chúng tôi sẽ nhắm mục tiêu tạo ra khối lượng giao dịch 100 triệu USD. Do thị trường đang tăng giá bền vững và khối lượng giao dịch cao, khả năng đạt được lợi nhuận 400% một lần nữa là rất cao. Chúng tôi sẽ làm mọi thứ trong khả năng của mình để đảm bảo đạt được mục tiêu này, nếu bạn đã bỏ lỡ những lần pump thành công lớn trước đây của chúng tôi thì đây sẽ là lần pump mà bạn không hề muốn bỏ lỡ. Một đợt pump lớn sắp bắt đầu chỉ trong 24 giờ nữa thôi, hãy sẵn sàng".

Thông điệp của Ghost không đề cập tới nền tảng tiền ảo nào sẽ bị pump-and-dump. Tuy nhiên, thời gian diễn ra đợt pump mà hắn ta đề cập tới phù hợp với đợt pump-and-dump của tiền điện tử SQUID. SQUID được tung ra cho các nhà đầu tư lần đầu tiên vào ngày 20/10/2021.

Hiện tại, trang web của dự án lừa đảo tiền điện tử SQUID đã không còn nữa.

Theo Gizmodo, vào ngày 01/11/2021, ngay trước khi đợt pump diễn ra đồng SQUID chỉ được giao dịch ở mức 0,1 USD. Trong vòng chưa đầy một tuần sau, mức giá của nó đã tăng lên 2,856 USD. Gizmodo gọi vụ lừa đảo này là rug pull và dự kiến những kẻ đứng đằng sau nó thu lợi bất chính khoảng 3,38 triệu USD.

Như vậy là Quản Trị Mạng đã hoàn thành loạt bài về nhóm hacker Conti. Các bạn chưa đọc các phần trước có thể truy cập tại đây:

• Nhật ký "tập đoàn" hacker Conti, Phần 1: Chạy trốn
• Nhật ký "tập đoàn" hacker Conti, Phần 2: Chuyện công sở
• Nhật ký "tập đoàn" hacker Conti, Phần 3: Xưởng vũ khí

Cảm ơn các bạn đã theo dõi!