Mark Sokolovsky. Ảnh: Bộ Tư pháp Mỹ
Theo trang Market Watch, ba tuần sau khi Nga bắt đầu thả bom vào Ukraine vào cuối tháng 2, một lập trình viên máy tính trẻ tuổi người Ukraine tên là Mark Sokolovsky đã leo lên chiếc Porsche Cayenne cùng bạn gái để tránh xa cuộc giao tranh.
Cặp đôi này đã đi qua Ba Lan và sau đó là Đức, rồi dừng lại ở Hà Lan, nơi họ nghĩ rằng đã an toàn. Họ không biết rằng FBI và các nhà điều tra ở châu Âu đã theo dõi họ suốt từ đó đến nay.
Vào cuối năm ngoái, Sokolovsky, 26 tuổi, đã có tên trong một bản cáo trạng hình sự tại tòa án liên bang ở Texas, cáo buộc anh ta là nhân vật chủ chốt đằng sau một loại phần mềm độc hại phổ biến có tên Raccoon Infostealer. Các công tố viên cho rằng Raccoon Infostealer đã lây nhiễm hàng triệu máy tính trên khắp thế giới, ăn cắp thông tin tài chính và tiền từ vô số nạn nhân.
Vài ngày sau khi Sokolovsky sang nước này, cảnh sát Hà Lan đã bắt giữ anh ta tại Amsterdam với các tội danh gian lận máy tính, gian lận điện tử, rửa tiền và đánh cắp danh tính. Anh ta phải đối mặt với hơn 20 năm tù nếu bị kết tội và vẫn bị giam giữ ở Hà Lan trong khi tìm cách để không bị dẫn độ đến Mỹ.
Vụ án này vẫn là một bí mật cho đến tuần trước, khi nhà chức trách thông báo về việc bắt giữ Sokolovsky để nỗ lực tìm các nạn nhân của anh ta. Sau khi bắt giữ anh ta, các nhà điều tra cho biết họ đã tìm cách bẻ khóa bộ nhớ cache khổng lồ chứa dữ liệu bị đánh cắp lên tới hàng triệu địa chỉ email và thông tin đăng nhập.
Trong thông báo, các công tố viên và FBI cho biết họ đã thiết lập một trang web để những người nghi mình là nạn nhân có thể kiểm tra xem liệu thông tin cá nhân có nằm trong số dữ liệu được các nhà điều tra thu hồi hay không.
Ông Ashley Hoff, luật sư Mỹ tại cho Quận Tây Texas, nơi thụ lý vụ kiện, cho biết: “Đây là một vụ án toàn cầu rất, rất lớn”.
Raccoon Infostealer
Raccoon Infostealer là một lớp chương trình ngày càng phổ biến được gọi là Malware-as-a-Service (MaaS – phần mềm độc hại dưới dạng dịch vụ). Các lập trình viên phát triển chương trình Maas thường không tự đánh cắp thông tin của mọi người mà thay vào đó trao quyền cho những tội phạm mạng khác sử dụng. Những kẻ này sử dụng phần mềm để lấy cắp thông tin của mọi người. Một bản sao tất cả thông tin bị đánh cắp cũng được những người vận hành Raccoon lưu giữ.
Giống như các loại phần mềm hợp pháp nào, Raccoon Infostealer cung cấp dịch vụ hỗ trợ khách hàng 24 giờ và đưa ra các bản cập nhật lập trình thường xuyên. Chi phí là 75 USD một tuần hoặc 200 USD một tháng.
Raccoon Infostealer xuất hiện lần đầu tiên vào đầu năm 2019 và ban đầu được chào bán trên các nền tảng tiếng Nga vốn phổ biến với tội phạm mạng và sau đó là các nền tảng tiếng Anh. Với khẩu hiệu “Chúng tôi ăn cắp, bạn xử lý”, phần mềm nhanh chóng rơi vào tầm ngắm của các chuyên gia an ninh mạng.
Ông Oleg Skulkin, một chuyên gia an ninh mạng tại công ty Group-IB (Singapore), cho biết: “Vì nó được phân phối dưới dạng MaaS nên không chỉ một người hoặc một nhóm sử dụng mà là nhiều tội phạm mạng, vì vậy nó khá phổ biến. Đối với hầu hết tội phạm mạng, mua hoặc thuê phần mềm độc hại dễ dàng hơn nhiều. Đơn giản là vì rẻ hơn”.
Vào tháng 3, ngay sau khi Sokolovsky bị bắt, những người vận hành Raccoon đã gửi thông báo tới khách hàng rằng họ cần phải đóng cửa vì xung đột ở Ukraine đã làm gián đoạn hoạt động.
Mặc dù nhiều người trong ngành an ninh mạng giải thích thông báo ngừng hoạt động của Raccoon có nghĩa là các lập trình viên chủ chốt đã thiệt mạng trong những ngày đầu xung đột ở Ukraine, nhưng thực ra, thông báo có thể ám chỉ đến vụ bắt giữ Sokolovsky.
Một vài tháng sau, một phiên bản mới của phần mềm đã được khởi chạy lại, có một số chỉnh sửa quan trọng trong lập trình.
Trên đường chạy trốn
Sokolovsky đến từ thành phố Kharkiv ở miền đông Ukraine và theo học đại học ở đó. Trong những ngày đầu xung đột, thành phố này đã bị các lực lượng Nga bắn phá nặng nề.
Theo một thông tin trên blog của Brian Krebs, một phóng viên và nhà phân tích an ninh mạng có uy tín, các nhà chức trách đã có thể kết nối Sokolovsky với Raccoon thông qua tài khoản iCloud của anh ta. Tài khoản này đã được sử dụng để thiết lập một số tài khoản nhất định gắn với chương trình phần mềm độc hại.
Điều này giúp các nhà chức trách theo dõi các chuyển động của Sokolovsky, lấy được một bức ảnh chụp Sokolovsky giơ một xấp tiền lớn gần mặt.
Ảnh chụp xe của Sokolovsky. Ảnh: KrebsOnSecurity
Trong nhiều tháng, các nhà điều tra đã theo dõi Sokolovsky qua lại giữa Kharkiv và thủ đô Kiev của Ukraine. Sau đó, vào cuối tháng 3, anh ta đến Ba Lan, gần biên giới với Đức. Sokolovsky bị chụp ảnh khi đang lái xe sang Đức trên chiếc Porsche Cayenne cùng bạn gái ở ghế phụ.
Vào thời điểm đó, đàn ông Ukraine dưới 60 tuổi không được phép rời Ukraine, vì họ sẽ phải nhập ngũ. Các nhà điều tra cho rằng Sokolovsky có thể đã hối lộ để rời khỏi Ukraine.
Vài ngày sau, các nhà chức trách đã có thể bắt giữ Sokolovsky ở Amsterdam sau khi bạn gái của anh ta đăng ảnh họ ở cùng nhau lên Instagram ở đó.
Vào tháng 9, một tòa án Hà Lan đã chấp nhận đề nghị của Mỹ về dẫn độ Sokolovsky đến Texas để đối mặt với các cáo buộc, nhưng anh ta đã kháng cáo phán quyết.
Các công tố viên nói rằng mặc dù Sokolovsky đóng một vai trò quan trọng trong phát triển chương trình Raccoon, nhưng anh ta có một số đồng phạm.
Theo các công tố viên, trong số dữ liệu được FBI phục hồi có khoảng 50 triệu thông tin xác thực, bao gồm địa chỉ email, thông tin đăng nhập tài khoản ngân hàng, địa chỉ tiền điện tử và số thẻ tín dụng. Họ cho rằng chưa tìm thấy tất cả dữ liệu bị đánh cắp thông qua Raccoon Infostealer và đang tiếp tục điều tra.
Một số dữ liệu được khôi phục gồm thông tin đăng nhập của một số công ty Mỹ và các thành viên quân đội có quyền truy cập vào các hệ thống của lực lượng vũ trang.