Hệ thống điện thoại siêu mã hóa dành cho tội phạm đã âm thầm bị đánh sập như thế nào?
Công nghệ - Ngày đăng : 07:50, 19/11/2020
Có điều gì đó không bình thường đang diễn ra. Từ đầu năm 2020, hàng loạt cộng sự của Mark (bí danh của một kẻ buôn ma túy tại Anh) bị cảnh sát bắt giữ. Mark luôn chú trọng bảo mật hoạt động của mình, các thành viên trong nhóm đều sử dụng bí danh khi thảo luận công việc còn việc liên lạc luôn được thực hiện trên các điện thoại được mã hóa chặt chẽ bởi một công ty có tên Encrochat.
Vì các tin nhắn này được mã hóa ngay trên thiết bị, cảnh sát không thể thâm nhập vào điện thoại của chúng hay chặn bắt các tin nhắn được gửi đi như thường làm để đọc được nội dung các cuộc nói chuyện. Với các điện thoại mã hóa Encrochat, những tên tội phạm có thể thoải mái nói chuyện về chi tiết các thương vụ, với bảng báo giá, tên khách hàng cũng như các tham chiếu rõ ràng về số lượng ma túy mà chúng sẽ bán.
Nhưng không hoàn toàn là sự trùng hợp khi cùng lúc, cảnh sát trên khắp châu Âu và Anh đồng loạt bắt giữ hàng loạt tội phạm. Vào giữa tháng Sáu, các nhà chức trách còn bắt được thành viên của một băng đảng ma túy khác. Một vài ngày sau đó, lại có thêm một lô hàng ma túy bất hợp pháp trị giá hàng triệu USD bị thu giữ tại Amsterdam. Mark hoàn toàn không thể hiểu nổi chuyện gì đang xảy ra.
Cuộc tổng tấn công vào giới tội phạm
Tại Anh, đã có 746 nghi phạm bị bắt giữ sau khi cảnh sát phá vỡ được mạng điện thoại siêu mã hóa Encrochat
Điều Mark cùng hàng chục nghìn người dùng các điện thoại mã hóa Encrochat không biết chính là, các tin nhắn trên điện thoại của chúng không hoàn toàn bảo mật. Các nhà chức trách Pháp đã xuyên thủng mạng lưới của Encrochat, truy cập và cài đặt một công cụ hack đặc biệt của mình để âm thầm đọc các tin nhắn trao đổi giữa người dùng trong nhiều tháng nay. Các nhà điều tra sau đó chia sẻ những tin nhắn này với các cơ quan đồng nghiệp trên khắp châu Âu.
Bằng việc xuyên thủng lớp bảo mật trong mạng lưới Encrochat, các nhà điều tra tại châu Âu có thể theo dõi theo thời gian thực "hơn 100 triệu tin nhắn mã hóa" được gửi giữa những người dùng Encrochat, bao gồm các kế hoạch mua bán, các chỉ dẫn rửa tiền, và thậm chí lên kế hoạch giết người.
Lực lượng thực thi pháp luật Hà Lan ra thông báo cho biết, các tin nhắn này "mang lại cái nhìn sâu sắc về một số lượng lớn đến mức không tưởng các tội ác nghiêm trọng, bao gồm những chuyến vận chuyển ma túy lớn quốc tế và các phòng thí nghiệm sản xuất ma túy, các vụ giết người, cướp của, tống tiền, hành hung trọng thương và bắt cóc con tin. Các hành vi buôn ma túy và rửa tiền quốc tế đã trở nên rõ ràng như ban ngày."
Riêng tại Hà Lan, "cho đến nay cuộc điều tra đã dẫn tới việc bắt giữ hơn 100 nghi phạm, thu giữ một số lượng lớn ma túy (hơn 8.000 kg cocaine và 1.200 kg ma túy đá), phá hủy 19 phòng thí nghiệm ma túy tổng hợp, thu giữ hàng chục vũ khí tự động, đồng hồ đắt tiền và 25 ô tô, bao gồm cả các phương tiện với khoang xe ẩn và gần 20 triệu Euro tiền mặt."
Một máy điều chế ma túy bị thu giữ trong cuộc truy quét.
Đặc điểm chung của những người bị bắt giữ là họ đều sử dụng loại điện thoại mã hóa Encrochat.
Các điện thoại siêu mã hóa
Trên website của mình, Encrochat cho biết, đây là "một giải pháp bảo mật end-to-end" có thể "đảm bảo tính ẩn danh," và rằng tin nhắn sử dụng Encrochat "tương đương như một cuộc nói chuyện thông thường giữa hai người trong một căn phòng trống".
Công ty cho biết, "máy chủ của chúng tôi, được đặt ở nước ngoài trong các trung tâm dữ liệu riêng, không bao giờ khởi tạo, lưu trữ hay giải mã các khóa bảo mật, nội dung tin nhắn hay dữ liệu người dùng." Website công ty còn cho biết, Encrochat có các đại lý tại Amsterdam, Rotterdam, Madrid và cả Dubai, nhưng chúng được bảo mật rất cao và không hoạt động như một công ty công nghệ thông thường.
Dù trong email của mình, Encrochat xem mình như một công ty hợp pháp với khách hàng là những người muốn cuộc hội thoại của mình được bảo mật, như các chuyên gia bảo mật, các luật sư từ 140 quốc gia, nhưng theo nhiều nguồn tin từ thế giới ngầm của Motherboard, phần nhiều trong số họ là tội phạm. Các nhà chức trách Pháp ước tính, khoảng 90% khách hàng của Encrochat tại Pháp "có liên quan đến các hành vi phạm tội."
Cũng không dễ để mua được một thiết bị của Encrochat. Một tù nhân từng sử dụng thiết bị Encrochat đã giải thích làm thế nào để mua được nó từ một người bán – vốn được giới thiệu qua một người quen khác.
"Dường như anh ta cũng có cửa hàng chính thức nhưng tôi không gặp anh ta ở đó. Tôi gặp anh ta dưới phố và nó trông giống như một vụ bán ma túy. Tôi nói chuyện với anh ta bằng điện thoại và đi tới thành phố đó để gặp anh ta."
Về cơ bản, các điện thoại của Encrochat là những thiết bị Android tùy chỉnh, với một số mẫu máy là chiếc "BQ Aquaris X2" – một thiết bị Android được công ty BQ của Tây Ban Nha ra mắt năm 2018.
Từ các thiết bị này, Encrochat sẽ cài đặt chương trình nhắn tin mã hóa của riêng họ. Sau đó các tin nhắn sẽ được điều hướng qua máy chủ riêng của công ty, và thậm chí họ còn gỡ bỏ cả GPS, camera và chức năng microphone trên điện thoại. Các điện thoại Encrochat còn có chức năng xóa sạch nhanh toàn bộ thiết bị sau khi nhập mã PIN và chạy song song 2 hệ điều hành cùng lúc.
Nếu một người dùng muốn thiết bị trông như vô hại, họ có thể khởi động nó vào Android thông thường. Còn nếu muốn chuyển sang trao đổi các tin nhắn nhạy cảm, họ có thể khởi động lại và chuyển sang hệ điều hành của Encrochat. Công ty bán các điện thoại này theo mô hình thuê bao và chi phí mỗi năm lên đến hàng nghìn USD cho mỗi thiết bị.
Các đại lý của Encrochat cũng thường chạy quảng cáo về các sản phẩm này trên các website dành cho tội phạm – một cách tiếp thị hàng hóa đến đúng đối tượng khách hàng mà họ hướng đến. Dần dần, Encrochat trở nên đặc biệt phổ biến với các nhóm tội phạm ở châu Âu.
Nhân chứng nói với Motherboard: "Chúng đã trở thành tiêu chuẩn trong ngành."
Những dấu hiệu bất thường
Vào tháng Năm vừa qua, một số người dùng Encrochat nhận thấy có vấn đề bất thường: tính năng xóa sạch nhanh thiết bị không hoạt động. Một đối tác của Encrochat lúc đó cho rằng có lẽ người dùng đã quên mất số PIN mới của mình hoặc tính năng đó không được cấu hình chính xác. Không có gì đáng ngại hết, chỉ là lỗi người dùng thôi.
Thế nhưng không lâu sau đó, Encrochat đã lấy được một mẫu máy Aquaris X2 gặp vấn đề về tính năng xóa sạch nhanh để tìm hiểu. Hóa ra nó không hoàn toàn do lỗi người dùng. Họ tìm thấy một malware nằm trong thiết bị này. Nói cách khác, chiếc điện thoại đã bị hack.
Cách Encrochat bảo mật các đoạn hội thoại trên thiết bị
Không thiếu những trường hợp các công ty cung cấp điện thoại mã hóa bị rò rỉ dữ liệu người dùng. Năm 2017, một ai đó đã tạo ra một website và đăng tải toàn bộ dữ liệu về người dùng của Ciphr, một công ty về điện thoại mã hóa khác, bao gồm cả địa chỉ email và các mã IMEI liên quan đến mỗi thiết bị.
Nhưng trường hợp này của Encrochat lại hoàn toàn khác. Malware này nằm trong chính thiết bị Encrochat, nghĩa là nó có thể đọc được các tin nhắn viết ra và lưu trữ trên chính thiết bị trước khi chúng được mã hóa và gửi qua internet. Điều này chính là thảm họa đối với một công ty có nhiệm vụ chính là bảo vệ nội dung các cuộc trao đổi cho những khách hàng cần bảo mật cao của mình.
Họ còn nhận ra rằng, malware này được tạo riêng cho các máy Aquaris X2. Không chỉ chặn tính năng xóa nhanh, malware này còn được thiết kế để tránh bị phát hiện, ghi lại mật khẩu màn hình khóa và sao chép lại dữ liệu ứng dụng.
Nhận ra rằng đây là một cuộc tấn công có chủ đích, chỉ 2 ngày sau, Encrochat đã đưa ra một bản cập nhật cho các thiết bị Aquaris X2 này để phục hồi lại các chức năng đặc biệt của điện thoại và thu thập thông tin về malware đã được cài đặt trên các điện thoại Encrochat trên khắp thế giới này. Công ty còn bổ sung thêm tính năng giám sát các thiết bị này để theo dõi nó mà không cần phải có mặt tận nơi.
Tuy nhiên, gần như ngay sau khi bản vá cập nhật được cài đặt, những cuộc tấn công lại được phát động lại, lần này còn có vẻ nguy hiểm hơn trước. Malware đã quay lại và giờ đây, nó còn có thể thay đổi cả mật khẩu màn hình khóa chứ không chỉ ghi lại như trước. Các hacker không những không dừng lại mà họ còn tấn công leo thang hơn nữa.
Đến lúc này tình hình đã trở nên khẩn cấp. Encrochat gửi tin nhắn thông báo cho tất cả người dùng của mình về cuộc tấn công đang diễn ra. Công ty cũng thông báo đến nhà cung cấp SIM của họ, hãng viễn thông KPN để chặn kết nối giữa thiết bị và máy chủ của malware. Encrochat cũng chặn dịch vụ SIM riêng của mình dù đang chuẩn bị đẩy một bản cập nhật khác tới thiết bị - họ không thể chắc chắn rằng liệu bản cập nhật có mang theo malware hay không.
Không lâu sau khi Encrochat phục hồi lại dịch vụ SIM của mình, KPN mới gỡ bỏ tường lửa nhằm cho phép máy chủ của hacker kết nối lại với điện thoại. Encrochat đã mắc bẫy (công ty cho rằng nhà mạng này đã hợp tác với các nhà chức trách để vượt qua lớp bảo mật của mình, tuy nhiên KPN từ chối bình luận về điều này).
Lần này Encrochat quyết định tự mình tắt toàn bộ các dịch vụ. "Sau đó chúng tôi quyết định tắt ngay lập tức dịch vụ SIM và mạng lưới." Họ tin rằng, đây không phải là hành vi của công ty đối thủ mà giống như đến từ chính phủ.
Tin nhắn cho thấy sự tuyệt vọng của Encrochat khi không thể ngăn nổi cuộc tấn công mạng từ lực lượng chức năng
Encrochat gửi tin nhắn đến các khách hàng của mình: "Do mức độ tinh vi của cuộc tấn công và phần code của malware, chúng tôi không còn có thể đảm bảo mức độ bảo mật cho thiết bị của bạn nữa. Bạn được khuyến cáo nên tắt máy và tiêu hủy hoàn toàn thiết bị của mình ngay lập tức."
Nhưng lúc này đã quá muộn. Lực lượng thực thi pháp luật đã trích xuất được một lượng khổng lồ bộ nhớ cache cho dữ liệu trong điện thoại Encrochat. Toàn bộ các đế chế ma túy hàng triệu USD đã hiện ra lồ lộ dưới các tin nhắn văn bản và hình ảnh trong thiết bị.
Bên cạnh nội dung tin nhắn trao đổi về các đơn hàng ma túy, cũng như các kế hoạch phạm tội, còn có hình ảnh với các đống ma túy lớn chuẩn bị được chất lên phương tiện vận chuyển. Các khối cocaine nặng đến hàng cân. Các bịch chất đầy thuốc ectasy. Những nắm cần sa. Thậm chí cả hình ảnh các thành viên trong những gia đình tội phạm và nội dung cuộc trao đổi giữa chúng với các tổ chức tội phạm khác.
Các ảnh chụp tin nhắn cũng cho thấy thông báo của Encrochat đã khiến các khách hàng của họ hoảng sợ như thế nào. Nhiều người cố gắng xác định xem liệu phiên bản thiết bị dùng Encrochat của họ có bị ảnh hưởng bởi đợt tấn công này hay không.
Ảnh chụp màn hình các tin nhắn do NCA (Cơ quan chống tội phạm quốc gia Anh) cung cấp
Không chỉ các đế chế tội phạm được hỗ trợ bởi những thiết bị Encrochat tan vỡ, chính hệ thống bán hàng của công ty cũng ảnh hưởng theo. Nguồn tin của Motherboard cho biết, các đại lý kinh doanh thiết bị Encrochat cũng không thể đăng nhập được vào trang chủ để theo dõi việc bán hàng cũng như các khoản tiền thanh toán.
Hiện tại, khi phương tiện liên lạc chính không còn, thế giới tội phạm dường như đang tan rã. Một số người chọn cách offline khi không còn thiết bị nào có thể tin tưởng. Một số khác cố gắng vượt biên bỏ trốn trước khi bị lần tới. Nguồn tin của Motherboard cho biết, giờ đây việc mua ma túy khối lượng lớn đã trở nên khó khăn hơn nhiều so với trước đây.
Tất nhiên, đây sẽ chưa phải là đoạn kết. Thị trường các điện thoại mã hóa vẫn còn nhiều người chơi khác và các nhà chức trách vẫn không thể ngăn chặn hết.
Tiền mặt được thu giữ tại nhà một nghi phạm sau khi mạng lưới Encrochat bị đánh sập
Năm 2018, FBI từng bắt giữ Vincent Ramos, chủ sở hữu của Phantom Secure, một công ty cung cấp các điện thoại mã hóa, vốn rất được ưa chuộng bởi các trùm băng đảng ma túy ở Sinaloa, Mexico. Khi đó, FBI đã thuyết phục Ramos cài đặt một backdoor vào trong hệ thống liên lạc của thiết bị - nhưng bị từ chối – còn hệ thống của Phantom Secure sụp đổ.
Vào năm ngoái, trang Motherboard còn phát hiện ra một tổ chức tội phạm ma túy cấp cao ở Scotland còn lập nên công ty có tên MPC, để cung cấp các điện thoại mã hóa cho các băng đảng khác. Và còn nhiều công ty khác nữa trên thị trường hiện nay. Sự sụp đổ của các công ty như Encrochat hay Phantom Secure đang tạo cơ hội cho họ chiếm lấy thị phần bị bỏ trống này.
Một công ty có tên Omerta đã phát đi các quảng cáo trực tiếp tới những khách hàng cũ của Encrochat. Một bài đăng trên blog của họ còn ghi rõ: "Encrochat đã bị hack, vô số người dùng bị lộ và bắt giữ - Vị vua đã chết." Trong email gửi tới Motherboard, Omerta còn tuyên bố: "Bạn may mắn thoát khỏi Sự kiện Đại Tuyệt chủng gần đây phải không? Giảm giá 10% để chúc mừng bạn nhé. Hãy gia nhập gia đình Omerta và thoải mái liên lạc với nhau."