Đầu năm nay, một liên minh quốc tế gồm các cơ quan thực thi pháp luật đã kiểm soát trang web đen của băng đảng ransomware khét tiếng LockBit, thay thế nội dung của trang web này bằng thông điệp quen thuộc từ chính quyền: “Trang web này hiện nằm dưới sự kiểm soát của cơ quan thực thi pháp luật”. Chiến dịch này không làm gián đoạn hoạt động của nhóm quá lâu, vì băng đảng này đã ra mắt một trang web mới ngay sau khi bị đánh sập.
Nhưng sau đó, vào ngày 6 tháng 5, chính quyền đã cập nhật trang web cũ của LockBit và thông báo rằng họ sẽ tiết lộ danh tính của người quản lý LockBit. “LockBitSupp là ai?” là một ô trên trang web, trong đó cũng bao gồm một bộ đếm ngược 24 giờ.
Khi nhà nghiên cứu an ninh mạng Jon DiMaggio nhìn thấy thông báo này, ông ngay lập tức tự hỏi: Liệu cảnh sát có đang giữ cùng một người mà tôi đã xác định không?
Trong vài năm trở lại đây, DiMaggio, một nhà nghiên cứu tại công ty an ninh mạng Analyst1, đã phát triển mối quan hệ với LockBitSupp — đầu tiên là giả vờ là một tên tội phạm mạng mới vào nghề muốn gia nhập băng đảng, sau đó là chính mình. Và cuối cùng, DiMaggio đã có thể tìm ra danh tính thực sự của LockBitSupp trước khi bị chính quyền tiết lộ công khai.
Vào thứ sáu, trong một bài phát biểu tại hội nghị về tin tặc Def Con ở Las Vegas, DiMaggio đã kể lại toàn bộ câu chuyện về mối quan hệ của mình với LockBitSupp, kể chi tiết cách anh ta chiếm được lòng tin của LockBitSupp bằng cách sử dụng một nhân vật hư cấu, và sau đó duy trì mối quan hệ này ngay cả sau khi DiMaggio công khai tiết lộ rằng anh ta đã thâm nhập vào băng đảng và lừa LockBitSupp tiết lộ thông tin chi tiết về hoạt động này cho anh ta.
“Mối quan hệ của chúng tôi đã trải qua nhiều thăng trầm,” DiMaggio chia sẻ trong phần xem trước bài thuyết trình của mình, được ông trình bày cho TechCrunch trước hội nghị.
Lúc đầu, DiMaggio giải thích rằng anh ta đã tạo ra một loạt tài khoản bù nhìn để tiếp cận những người có vẻ có mối quan hệ trực tiếp với LockBitSupp, cũng như quan sát các tương tác của họ. Mục tiêu trong giai đoạn này là tạo ra một nhân vật tội phạm mạng có một số loại lịch sử và kết nối trong thế giới ngầm, điều này sẽ giúp dễ dàng có vẻ đáng tin cậy hơn khi liên hệ trực tiếp với LockBit và quản trị viên của nó.
“Phần quan trọng của việc này là theo dõi những cuộc trò chuyện có vẻ không liên quan. Những cuộc trò chuyện mà họ không cảnh giác, khi họ chỉ nói chuyện tào lao với những tin tặc khác. Điều này cho phép tôi thấy những điều họ thích và những điều họ không thích. Nó cung cấp cho tôi một số bối cảnh về quan điểm chính trị của họ,” DiMaggio nói. “Tất cả những điều đó mà tôi cần xây dựng trước khi tôi có thể tham gia vì nếu tôi chỉ tham gia vào việc này và bắt đầu đặt câu hỏi liên quan đến các cuộc tấn công và hoạt động của chúng, thì sẽ khá rõ ràng rằng tôi là một nhà nghiên cứu.”
DiMaggio cho biết nỗ lực ban đầu của anh để gia nhập băng đảng đã bị từ chối, nhưng anh vẫn tiếp tục nói chuyện với LockBitSupp, người mà anh bắt đầu có mối quan hệ trực tiếp và thân thiện. Từ đó trở đi, DiMaggio cho biết anh tập trung vào LockBitSupp, kể chuyện cười với anh ta, đặt câu hỏi một cách ngẫu nhiên về các chi tiết trong hoạt động của anh ta, chẳng hạn như các câu hỏi về các yếu tố và loại tấn công khác nhau, cách lựa chọn giữa chúng, cách thương lượng với nạn nhân và cách thiết lập yêu cầu tiền chuộc phù hợp tùy thuộc vào công ty nạn nhân.
Sau đó, vào tháng 1 năm 2023, DiMaggio đã viết một báo cáo dài về những phát hiện của mình trong quá trình nghiên cứu bí mật và về cơ bản đã đốt cháy tất cả các nhân vật tội phạm mạng giả mạo của mình. DiMaggio cho biết anh ta nghĩ rằng đây sẽ là hồi kết cho mối quan hệ của anh ta với LockBitSupp. Thay vào đó, tên cầm đầu tội phạm dường như đã coi nhẹ điều đó, đăng trên các diễn đàn rằng anh ta ước DiMaggio đã cho anh ta thấy cảnh anh ta đi du thuyền với phụ nữ, tận hưởng cuộc sống của mình như một tên tội phạm mạng bay cao. Bản thân điều đó đã thú vị đối với DiMaggio.
“Người mà tôi biết, mặc dù chắc chắn là bị thúc đẩy bởi tiền bạc, anh ấy không phải là người hào nhoáng, anh ấy không phải là kiểu người mà tôi mong đợi sẽ bị ám ảnh bởi những thứ vật chất,” DiMaggio nói. “Vì vậy, có một sự tương phản lớn trong cách cư xử và tính cách mà anh ấy thể hiện trên các diễn đàn này so với người mà tôi đã nói chuyện riêng.”
Sau đó, DiMaggio nói rằng LockBitSupp bắt đầu sử dụng ảnh LinkedIn của anh ấy làm ảnh đại diện trong các diễn đàn hack như một cách để chế giễu DiMaggio. “Đây thực sự là trò mèo vờn chuột, và thành thật mà nói, LockBit thích chơi trò này với tôi nhiều như tôi thích chơi với họ”, DiMaggio nói.
Vào một thời điểm nào đó vào đầu tháng 8 năm ngoái, DiMaggio quyết định troll LockBitSupp trước công chúng. Để đùa, anh ta đăng lên X tuyên bố rằng anh ta sẽ công bố nghiên cứu mới về nhóm ransomware, và nếu LockBitSupp muốn ngăn anh ta lại, anh ta có thể trả cho anh ta 10 triệu đô la. Anh ta làm như thể anh ta đang cố tống tiền những kẻ tống tiền. Thật ngạc nhiên, có vẻ như một số tội phạm mạng tin anh ta, và lo lắng rằng họ sẽ bị phát hiện.
“Điều này cho thấy từ góc độ tâm lý, bạn thực sự có thể chơi khăm những gã này”, DiMaggio nói. “Góc độ tinh thần của hoạt động này còn đi xa hơn bất kỳ điều gì khác mà tôi đã làm”.
Trong khi đó, DiMaggio cho biết LockBitSupp đã ngoại tuyến trong khoảng 12 ngày. Khi anh ta quay lại, anh ta có vẻ buồn bã, nhưng không ngừng giao tiếp với anh ta. Cùng thời điểm đó, LockBit đã nhận trách nhiệm về một cuộc tấn công mạng vào một bệnh viện cộng đồng điều trị cho trẻ em ở Chicago, đây là cuộc tấn công thứ hai vào một bệnh viện sau vụ tấn công vào bệnh viện SickKids ở Toronto, một cơ sở khác dành cho trẻ em.
Những cuộc tấn công này, DiMaggio nói, “thực sự, thực sự khiến tôi tức giận.” Và chúng gần như thuyết phục anh ta gửi một tin nhắn tức giận đến LockBitSupp, bảo họ “cút đi” và rằng anh ta sẽ đến với họ. Cuối cùng, DiMaggio nói rằng anh ta quyết định không gửi nó, bởi vì “bạn không thể đầu tư cảm xúc vào mục tiêu của mình.”
Sau đó, cơ quan thực thi pháp luật đã gỡ bỏ trang web của LockBit và ít nhất là tạm thời phá vỡ hoạt động của băng nhóm. DiMaggio cho biết ông quyết định tập trung mọi nỗ lực của mình vào việc xác định LockBitSupp, đưa thông tin ra thế giới ngầm về tội phạm mạng và cùng với các nhà nghiên cứu khác rằng ông sẽ truy đuổi thủ lĩnh của băng nhóm.
“Vào thời điểm này, LockBit đã biết, cuộc săn lùng đã bắt đầu”, DiMaggio nói.
Và cuộc săn lùng đó được tạo điều kiện thuận lợi nhờ một thông tin ẩn danh mà ai đó đã gửi cho DiMaggio. Người cung cấp thông tin, DiMaggio nói, đã đưa cho anh ta một địa chỉ email Yandex được cho là thuộc sở hữu của LockBitSupp. Với điểm khởi đầu đó, DiMaggio cho biết anh ta có thể giải mã được bí ẩn về danh tính của LockBitSupp, dẫn anh ta đến một người tên là Dmitry Khoroshev. Nhưng mặc dù phát hiện đó hấp dẫn, DiMaggio không thể hoàn toàn chắc chắn.
Nhưng rồi, một điều đã xảy ra mà ngay cả anh cũng không ngờ tới. Các nhà chức trách đã cập nhật trang web LockBit bị tịch thu với mục đích tiết lộ danh tính của LockBitSupp. DiMaggio cho biết tại thời điểm này, anh đã liên hệ với FBI, nơi anh có mối quan hệ với tư cách là đối tác trong ngành tư nhân, và nói với họ rằng anh đã xác định được Khoroshev là quản trị viên của LockBit, và anh dự định viết một báo cáo tiết lộ điều đó. DiMaggio cho biết mục tiêu là hỏi FBI xem anh có nên đợi để công bố báo cáo của mình hay không.
“Nếu họ bảo tôi đợi, thì khả năng khá cao là tôi đã gặp đúng người. Nếu họ bảo tôi làm bất cứ điều gì tôi muốn, thì có lẽ tôi vẫn sẽ đợi vì có thể là do tôi đã gặp nhầm người”, DiMaggio nói, người nói thêm rằng FBI đã bảo anh ta đợi.
DiMaggio đang trên đường đến hội nghị an ninh mạng RSA ở San Francisco, vì vậy “Tôi đã đóng gói đồ đạc, bay đến San Francisco, hạ cánh, tôi đến khách sạn và tôi dành cả ngày, cả đêm để làm việc và viết”, DiMaggio nói. “Tôi đã viết mọi thứ tôi có về Dmitry. Và tôi sẽ đợi bộ đếm thời gian này tích tắc. Và khi họ công bố nó, nếu chúng tôi có cùng một người, tôi sẽ công bố báo cáo của mình”.
Khi đếm ngược 24 giờ chạm đến số không, như đã hứa, Bộ Tư pháp Hoa Kỳ đã cáo buộc Dmitry Khoroshev là chủ mưu và quản trị viên của LockBit. Vào thời điểm đó, DiMaggio có thể trực tiếp đưa ra báo cáo của riêng mình về việc doxing Khoroshev.
“Đây là lần đầu tiên tôi doxing ai đó. Và họ đã công bố tên của anh ta, tôi đã công bố mọi thứ khác về anh chàng này. Tôi có nơi anh ta sống, tôi có số điện thoại của anh ta, hiện tại và trước đây,” DiMaggio nói. “Và trời ạ, thật khó để không gọi điện cho anh chàng này, có số điện thoại hợp lệ của anh ta trước khi bị truy tố, chỉ để xem tôi có đúng người không, nhưng tôi đã không làm vậy.”
DiMaggio thậm chí còn đăng một tin nhắn cho Khorosehv như một cách để nói lời tạm biệt và nói với anh ta rằng anh ta phải dox anh ta trước khi những người khác làm điều đó.
“LockBitSupp, anh là một gã thông minh. Anh đã nói rằng vấn đề không còn là tiền nữa, và anh muốn có một triệu nạn nhân trước khi dừng lại, nhưng đôi khi anh cần biết khi nào nên bỏ cuộc. Đã đến lúc rồi, bạn cũ của tôi ạ,” DiMaggio viết.
“Anh luôn thật lòng với tôi, và tôi muốn thật lòng với anh. Hãy lấy tiền của anh và tận hưởng cuộc sống trước khi anh rơi vào tình huống không thể. Giống như REvil, anh đã đẩy mọi thứ đi quá xa. Đã đến lúc phải bước tiếp. Tôi không ghét anh; tôi ghét những gì anh làm, và tôi không thích chỉ trích anh hôm nay vì chúng ta đã biết nhau từ lâu. Sự thật là nếu tôi không làm điều này hôm nay, thì sẽ có người khác làm. Tôi quá tôn trọng anh với tư cách là một đối thủ để có thể nhìn anh bị một gã hề nào đó với sổ tay OSINT xé xác, đó là tất cả những gì cần thiết bây giờ khi danh tính của anh đã được biết đến. Với lịch sử của chúng ta, điều đó cần phải đến từ tôi. Đã đến lúc phải bước tiếp”, anh viết.
DiMaggio cho biết kể từ đó ông không nhận được phản hồi từ Khoroshev.
Khi nói chuyện cởi mở về hoạt động của mình, DiMaggio cho biết ông hy vọng sẽ cho thấy cách các nhà nghiên cứu có thể tìm ra thông tin về tội phạm mạng bằng cách xâm nhập vào nhóm của họ, chứ không chỉ thu thập dữ liệu từ các vụ hack hoặc ẩn núp trên các diễn đàn. Nhưng DiMaggio cũng cho biết ông muốn các nhà nghiên cứu biết rằng việc làm như ông đã làm có thể gây ra hậu quả, mặc dù hiện tại, ông chỉ có tin đồn rằng Khoroshev muốn trả thù, mặc dù không có gì xảy ra.
DiMaggio nói: “Không ai có thể thoát khỏi chuyện này mà không bị tổn hại khi bạn giao chiến với những tên tội phạm như thế này”.