Cate Machine & Welding ở bang Wisconsin (Mỹ) là một công ty nhỏ do vợ chồng ông bà Gene và Lori Cate cùng các con trai họ điều hành. 46 năm qua, gia đình Cate cung cấp dịch vụ hàn, đã hàn rất nhiều thứ, từ bồn chứa phân bón, bộ phận máy bay chiến đấu đến khuôn làm pho mát, thậm chí kính vỡ của một nông dân. Và giống như nhiều doanh nghiệp nhỏ khác, họ có một chiếc máy tính cổ lỗ sĩ, bụi bặm ở trong văn phòng. Tuy nhiên, trong chiếc máy tính này diễn ra một trận chiến gián điệp chống gián điệp không bình thường.
Máy tính đã bị tin tặc Trung Quốc chiếm quyền điều khiển. Hacker sử dụng máy tính của gia đình Cate để lập kế hoạch và thực hiện các vụ tấn công mạng. Nhưng họ không biết rằng, một doanh nghiệp mới thành lập ở Thung lũng Silicon đã lần ra dấu vết của tin tặc Trung Quốc đến tận chiếc máy tính cổ lỗ, giám sát mọi bước đi của hacker theo thời gian thực và trong một số trường hợp, ngăn cản nỗ lực đen tối của họ.
“Khi họ lần đầu kể cho chúng tôi về điều này, chúng tôi bảo: Làm gì có chuyện đó”, ông Cate kể lại lần đầu biết tin máy chủ của gia đình vốn được dùng để quản lý dịch vụ hàn của gia đình đã bị bí mật sử dụng cho mục đích khác. “Chúng tôi thực sự hoảng sợ. Chúng tôi không biết là mình có thể bị sử dụng như là một đơn vị xâm nhập phục vụ các vụ tấn công do người Trung Quốc thực hiện”, ông Cate nói.
Một ngày giữa tháng 6/2016, các mục tiêu của hacker Trung Quốc dường như là một công ty giao đồ ăn mới thành lập ở Thung lũng Silicon, một công ty luật ở thành phố New York, một trong các hãng hàng không lớn nhất thế giới, một trường đại học danh tiếng của Mỹ cùng nhiều cơ quan, doanh nghiệp ở Thái Lan và Malaysia. Báo Mỹ New York Times đã được xem các hoạt động trên máy tính của gia đình Cate với điều kiện không nêu rõ tên các mục tiêu này.
Hoạt động tấn công mạng mang dấu ấn đặc trưng của nhóm hacker Trung Quốc C0d0s0. Đây là nhóm tin tặc “lính đánh thuê”, nhận tiền để tấn công mục tiêu theo yêu cầu. Các chuyên gia an ninh mạng của Mỹ đã theo dõi C0d0s0 trong nhiều năm. Nhóm này đã xâm nhập mạng máy tính của nhiều ngân hàng, công ty luật, công ty công nghệ và từng chiếm đoạt thành công website của tạp chí Forbes nổi tiếng để cài phần mềm độc hại hòng phát tán vào máy tính của những người ghé thăm website.
Thông tin tình báo phòng chống hacker
Để phòng chống những tin tặc như vậy, nhiều cơ quan, doanh nghiệp sẵn sàng mỗi năm bỏ ra khoản tiền lớn, có khi lên tới hàng chục triệu đô la Mỹ, cho các nhà cung cấp thông tin cảnh báo, phòng chống tấn công mạng. Họ theo dõi hacker, cố gắng xác định và đập tan các vụ tấn công trước khi chúng diễn ra. Công ty nghiên cứu thị trường Gartner ước tính, thị trường thông tin cảnh báo, phòng chống tấn công mạng sẽ tăng từ 255 triệu USD năm 2013 lên 1 tỷ USD năm 2017.
Nhiều cuộc tấn công mạng dựa vào một mạng lưới nhằng nhịt các máy tính bị chiếm quyền điều khiển từ xa, bao gồm thiết bị của những doanh nghiệp gia đình như Cate Machine & Welding. Tin tặc không nhằm vào dữ liệu của gia đình Cate mà chúng biến máy chủ của họ thành bệ phóng phục vụ các vụ tấn công nhằm vào những mục tiêu khác.
Những máy chủ này đem lại vỏ bọc hoàn hảo, khiến tin tặc hiếm khi bị phát hiện. Máy chủ dạng này thường không có hàng rào an ninh, bảo mật đủ mạnh, rất dễ bị xâm nhập. Khi máy tính bị chiếm quyền điều khiển từ xa, chủ của chúng hiếm khi phát hiện ra rằng, chúng đã trở thành công cụ đắc lực của gián điệp và kẻ cắp kỹ thuật số. Và ai mà lại đi nghi ngờ gia đình Cate cơ chứ?
Hai năm trước, gia đình Cate đón một đoàn khách lạ tới thăm; họ thông báo rằng máy chủ của gia đình đã trở thành công cụ của gián điệp Trung Quốc. Ông Cate hỏi: “Các ông đến từ Cơ quan An ninh Quốc gia (NSA)?”.
Trong số các vị khách có Blake Darché – người từng làm việc ở NSA nhiều năm trước khi gia nhập một công ty khởi nghiệp tên là Area 1 (Khu vực 1) với tư cách giám đốc bảo mật. Area 1 do 3 nhà phân tích của NSA thành lập, gồm Darché, Oren Falkowitz và Phil Syme. Họ đã huy động được 25,5 triệu USD vốn đầu tư từ nhiều quỹ đầu tư và hãng bảo mật ở Thung lũng Silicon. Area 1 tập trung theo dõi các vụ tấn công kỹ thuật số nhằm vào doanh nghiệp.
Ông Darché muốn bổ sung máy chủ của gia đình Cate vào mạng lưới hơn 50 máy chủ bị hacker thao túng. Area 1 bí mật theo dõi các máy chủ này, cụ thể là các luồng dữ liệu vào và ra để hiểu rõ các website, công cụ và phương pháp tấn công của tin tặc để hãng có thể ngăn cản chúng tấn công hệ thống của khách hàng, hoặc để có vài ngày, vài tuần, thậm chí vài tháng chuẩn bị đối phó trước khi hacker ra tay.
Gia đình Cate họp nội bộ. “Người ta phải làm việc rất vất vả mới tạo ra sản phẩm. Thế mà bọn hacker lại đánh cắp chúng. Vì vậy, chúng tôi đồng ý”, ông Cate nói. Area 1 trả phí lắp đặt – khoảng 150 USD. Ngay sau khi lắp đặt bộ cảm biến vào máy chủ của gia đình Cate, ông Darché đã nhận được kết quả. Area 1 bắt đầu giám sát nhóm hacker Trung Quốc C0d0s0.