“Vết đen” trong quá khứ
14 năm trước đó, rất lâu trước khi Marcus Hutchins trở thành anh hùng hay kẻ xấu trong mắt mọi người, bố mẹ cậu - Janet và Desmond - chuyển tới vùng Devon hẻo lánh ở Anh. Hutchins, lúc đó 9 tuổi, không hòa hợp với đám trẻ ở đây. Nhưng điều khiến cậu nổi bật là sự đam mê với máy tính so với lứa tuổi. Cha cậu thường phát cáu khi thấy con trai tháo rời chiếc máy tính Dell hoặc cài đầy chương trình lạ hoắc lên đó. Cậu sớm nhận thấy lập trình là “cánh cửa để làm bất cứ điều gì bạn muốn”.
Sinh nhật 13 tuổi, sau nhiều lần “đấu tranh”, cha mẹ cũng đồng ý mua cho cậu máy tính riêng. Bà Janet lo con trai quá mê đắm trong thế giới số nên cài công cụ kiểm soát vào máy tính nhưng cậu dễ dàng chiếm lại quyền quản trị. “Chẳng có cách nào quản được Marcus bởi nó luôn thông minh hơn chúng tôi”, Janet nói.
Khi lang thang trên các diễn đàn, Hutchins thấy một hacker tạo “sâu” (worm) MSN ẩn dưới bức ảnh JPEG. Khi ai đó mở ra, “sâu” sẽ tự gửi tới mọi người trong danh sách chat. Hutchins không biết “sâu” đó ra đời với mục đích gì, nhưng cậu đặc biệt ấn tượng và muốn tạo ra một thứ như vậy.
Một năm sau, Hutchins chia sẻ thành quả đầu tiên lên forum: một công cụ đánh cắp mật khẩu mà người dùng lưu trên web. Mã độc đầu tiên của Hutchins được khen ngợi, dù cậu không biết dùng mật khẩu đánh cắp vào việc gì, đơn giản nó rất “ngầu”. Năm 15 tuổi, gia đình Hutchins chuyển tới một căn nhà mới.
Cùng khoảng thời gian này, cậu tham gia cộng đồng HackForums, nơi đầy rẫy chia sẻ về botnet - mạng lưới máy tính bị nhiễm mã độc, chuyên dùng để tấn công từ chối dịch vụ (DdoS). Hutchins cũng tự tạo botnet đầu tiên với 8.000 máy tính ma. Cậu cũng bắt đầu “sự nghiệp” cung cấp dịch vụ web hosting cho các website bất hợp pháp. Trong một lần đăng đoạn mã độc thử nghiệm, một thành viên HackForums tỏ ra ấn tượng và đề nghị cậu viết chương trình chống các phần mềm diệt virus. Cậu được trả 200 USD.
Khách hàng tiếp theo trả 800 USD để tạo rootkit ăp cắp mật khẩu mạng. Hutchins bắt đầu nổi danh và khi 16 tuổi, cậu có một khách hàng nghiêm túc hơn, biệt danh Vinny. Vinny muốn một rootkit đa chức năng để bán trên các chợ đen của hacker. Thay vì trả trọn gói, ông ta sẽ chia sẻ một nửa lợi nhuận trong việc kinh doanh rootkit. Họ thường trao đổi ẩn danh, không lưu lại cuộc trò chuyện. Một lần, Hutchins ca thán không mua được loại “cỏ” chất lượng ở quê mình. Vinny nói sẽ gửi cho cậu từ trang thương mại mới thành lập Silk Road.
 |
| Marcus Hutchins (bìa phải) luôn là chuyên gia hàng đầu của các IT công nghệ |
Silk Road thực chất là chợ ma túy trực tuyến mới ra đời năm 2011. Vinny hỏi địa chỉ và ngày sinh của Hutchins. Trong ngày sinh nhật 17 tuổi, một bưu kiện được gửi tới nhà cậu, bên trong đầy “cỏ”, nấm gây ảo giác và thuốc lắc. Hutchins hoàn thành rootkit UPAS Kit trong 9 tháng và tới hè 2012, mã độc này bắt đầu được rao bán. Vinny trả cho cậu hàng ngàn USD dưới dạng bitcoin. Hutchins bỏ học, nói với cha mẹ rằng cậu đang tham gia dự án lập trình riêng.
Sau đó, Vinny đề nghị nâng cấp lên UPAS Kit 2.0 với công cụ keylogger ghi lại mọi hoạt động mà nạn nhân gõ từ bàn phím, khả năng nhìn thấy màn hình của họ và quan trọng hơn, ông muốn chèn nội dung vào trang mà nạn nhân đang xem, kỹ thuật gọi là web inject. Yêu cầu cuối khiến Hutchins thấy khó chịu. Web inject có mục đích rất rõ ràng: để thực hiện các vụ lừa đảo qua ngân hàng. Đa số ngân hàng đòi hỏi hai lớp bảo mật khi thực hiện giao dịch chuyển tiền.
Hệ thống sẽ gửi tin nhắn chứa mã số tới điện thoại của khách hàng và yêu cầu nhập mã vào trang web để xác thực. Web inject giúp hacker qua mặt lớp bảo mật này. Trong vài năm, Hutchins đã từng bước tiến vào “vết đen” của tội phạm mạng, nhưng đề nghị của Vinny khiến cậu không chấp nhận, bởi những người vô tội sẽ bị lấy đi những khoản tiết kiệm. “Tôi không viết trojan ngân hàng”, cậu trả lời. Người này liền nhắc nhở, với giọng điệu vừa đùa cợt vừa đe dọa, rằng ông ta biết rõ danh tính và địa chỉ nhà cậu.
Nếu mối quan hệ kinh doanh của họ chấm dứt, ông ta sẽ gửi thông tin cho FBI. Vừa sợ vừa giận, nhưng Hutchins vẫn từ chối bởi cậu biết rõ Vinny cần kỹ năng của mình. Cuối cùng, hai bên thỏa thuận nâng cấp UPAS Kit mà không có tính năng web inject. Sau 9 tháng, phiên bản mới của UPAS Kit đã sẵn sàng.
Ngay khi nhận được mã, Vinny tiết lộ đã thuê người khác tạo web inject. Hutchins sững sờ và hiểu cậu không thể chống lại Vinny. Mã độc đã viết xong. Và nói chung, cậu là tác giả của nó. Hutchins muốn dừng hợp tác, nhưng Vinny nói đằng nào ông ta cũng đã có mọi thứ cần thiết cho một trojan ngân hàng dù cậu có tham gia hay không. Mã độc vẫn được bán, trong khi cậu tốn công sức mà không được đồng nào. Dù rất tức giận nhưng đã bị Vinny đưa vào bẫy, Marcus Hutchins đành tiếp tục nâng cấp công cụ cho Vinny.
Lúc đó, Zeus là một trong những trojan ngân hàng khét tiếng, nên Vinny quyết định đổi tên UPAS Kit thành “Kronos” - cha của Zeus trong thần thoại Hy Lạp. Từ khi cái tên “Kronos” xuất hiện, Marcus đã bắt đầu nghĩ đến những hậu quả khi bị FBI điều tra.
Năm 19 tuổi, gia đình Hutchins chuyển nhà lần nữa. Rồi cậu quen một người tên Randy qua diễn đàn. Sau khi đề nghị viết mã độc ngân hàng nhưng bị từ chối, người này nhờ cậu viết một số ứng dụng doanh nghiệp và giáo dục. Randy tỏ ra là người hào phóng và còn hỏi địa chỉ để gửi hẳn một chiếc máy tính xịn để làm quà. Dĩ nhiên cậu đồng ý vì những gì họ làm hoàn toàn hợp pháp. Không như Vinny, Randy rất cởi mở về cuộc sống cá nhân. Hai người trở nên thân thiết, thậm chí gọi điện video với nhau. Randy tin tưởng Hutchins đến mức gửi cậu số tiền ảo giá trị hơn 10.000 USD để nhờ giao dịch giúp.
Một sáng mùa hè 2015, Hutchins tỉnh dậy và phát hiện nhà mất điện khiến máy tính bị tắt và mất trắng giao dịch 5.000 USD tiền bitcoin Hutchins gọi cho Randy, thú nhận đã làm mất tiền của ông. Để bù đắp, cậu tiết lộ mình là tác giả Kronos. Do Randy từng nói muốn mã độc ngân hàng trước đây, cậu đề nghị cung cấp cho ông một bản miễn phí và Randy đồng ý.
Một lần nữa, Hutchins nhận ra mình mắc một sai lầm ghê gớm. Nếu Randy bị bắt khi sử dụng mã độc thì Marcus sẽ bị cảnh sát hỏi thăm. Sau lần này, Hutchins dừng hợp tác với Vinny và cả Randy, chấm dứt những năm tháng đen tối trong thế giới tội phạm mạng.
Cơ hội hiếm có
Nhưng rồi sau ánh hào quang người hùng, Marcus bị bắt tại sân bay. Lập tức thông tin này đã thu hút sự chú ý của giới truyền thông. Những cuộc tranh cãi nổ ra trên mạng và trong giới bảo mật. Nhiều người ủng hộ Hutchins, nhưng cũng nhiều người tìm lại các hoạt động phạm pháp của cậu trên HackForums. Hutchins sau đó được tại ngoại với số tiền bảo lãnh 30.000 USD.
Tháng 4/2019, Hutchins đồng ý với một thỏa thuận rằng cậu sẽ nhận hai tội danh để các công tố viên giảm 8 tội danh khác. Với mỗi tội, Hutchins đối mặt 5 năm tù giam và khoản tiền phạt 250.000 USD. “Tôi nhận hai tội liên quan tới việc viết mã độc nhiều năm trước khi tham gia công việc bảo mật. Tôi hối hận về hành động này và chịu mọi trách nhiệm cho lỗi lầm của mình”, Hutchins viết trên website.
Tuy nhiên, trong phiên tòa ở Milwaukee (Mỹ) tháng 7/2019, Hutchins được thả tự do, được phép trở lại Anh dưới sự giám sát và không bị phạt bất cứ khoản tiền nào. “Tôi không muốn là người chặn WannaCry hay người viết mã Kronos. Tôi chỉ muốn là ai đó có thể giúp mọi thứ tốt đẹp hơn”, Hutchins chia sẻ sau khi trải qua mọi chuyện, từ đỉnh cao danh vọng tới ngày phải ra hầu tòa.
