Một sáng tháng 8/2017, hacker 23 tuổi với mái tóc xoăn nâu bước ra khỏi căn hộ Airbnb ở Las Vegas, nơi cậu ở trong một tuần rưỡi, để nhận bánh mì kẹp và khoai tây chiên McDonald’s đã đặt. Khi đứng trước sảnh, Hutchins thấy chiếc SUV đen đỗ bên đường, trông rất bí ẩn kiểu FBI. Và đó là khi cuộc đời cậu rẽ sang một trang khác ... 

Hacker giỏi nhất thế giới bị FBI bắt giữ vì lỗi lầm trong quá khứ 

Hutchins nhìn chằm chằm chiếc xe, đầu vẫn lơ mơ vì thiếu ngủ, tự hỏi: “Cuối cùng điều đó cũng đến ư?” Rồi cậu lập tức gạt đi, tự nhủ FBI chẳng bao giờ lộ liễu như vậy. Cậu nhận đồ ăn, quay vào trong tận hưởng bữa sáng, rồi gói ghém hành lý, bắt Uber ra sân bay với tấm vé hạng nhất về Anh. Cậu vừa trải qua một tuần bận rộn tại Defcon, một trong những hội thảo hacker lớn nhất thế giới, nơi cậu được ca tụng như người hùng.

Chưa đầy ba tháng trước đó, Hutchins cứu Internet khỏi một cuộc tấn công mạng được đánh giá là tồi tệ nhất lịch sử: mã độc tống tiền WannaCry. Mã độc này hoành hành từ ngày 12/5/2017, lây lan tại hơn 150 nước và phá hủy dữ liệu trên hàng trăm nghìn máy tính. Hutchins phát hiện tính năng giống như “công tắc” (kill-switch) ẩn trong đoạn mã, có thể ngừng mối đe dọa WannaCry.

Cậu tạo nên câu chuyện hấp dẫn khó cưỡng trên truyền thông: Hutchins, chàng hacker trẻ tuổi và rụt rè, một mình chống lại “quái vật” đe dọa thế giới số. Hình ảnh cậu ngồi trước màn hình máy tính trong phòng ngủ, nơi cậu sống cùng bố mẹ ở miền tây nước Anh xa xôi, thật bí ẩn. Ngập trong những lời tán tụng, Hutchins không nghĩ nhiều khi thấy chiếc SUV. Hồ sơ tại tòa sau này cho thấy, chiếc SUV đen đã bám theo Hutchins suốt thời gian cậu ở Las Vegas.

Khi Hutchins ngồi trong phòng chờ và viết dở thông điệp lên Twitter, ba người tiến lại gần, đề nghị cậu theo họ tới một lối đi riêng. Tại đó, cậu bị còng tay bởi người đàn ông có mái tóc đỏ. Cảm thấy sốc, Hutchins điểm qua những hoạt động trái phép có thể khiến hải quan để mắt tới. Chắc chắn, cậu nghĩ, không thể là “thứ đó”, bởi nó đã xảy ra vài năm trước và chưa từng được nhắc đến. Hay cậu để quên cần sa trong túi?

Với giọng thân thiện, những người này, tự giới thiệu là đến từ FBI, hỏi cậu về quá trình học tập và Kryptos Logic, công ty bảo mật cậu đang làm việc. Rồi họ hỏi cậu về một chương trình có tên Kronos. “Kronos. Tôi biết”, cậu trả lời, cảm thấy tê cóng và hiểu rằng từ đây, cậu không thể trở về nhà.

Hành trình sa lầy trong thế giới tội phạm mạng

4 năm trước đó, rất lâu trước khi Marcus Hutchins trở thành anh hùng hay kẻ xấu trong mắt mọi người, bố mẹ cậu – Janet và Desmond – chuyển tới vùng Devon hẻo lánh ở Anh. Hutchins, lúc đó 9 tuổi, không hòa hợp với đám trẻ ở đây. Nhưng điều khiến cậu nổi bật là sự đam mê với máy tính so với lứa tuổi. Cha cậu thường phát cáu khi thấy con trai tháo rời chiếc máy tính Dell hoặc cài đầy chương trình lạ hoắc lên đó. Cậu sớm nhận thấy lập trình là “cánh cửa để làm bất cứ điều gì bạn muốn”, sau đó bắt đầu xây dựng danh tiếng vì tài năng thiên bẩm trong lĩnh vực bảo mật.

Hutchins bắt đầu nổi danh và khi 16 tuổi, cậu có một khách hàng nghiêm túc hơn, biệt danh Vinny. Vinny muốn một rootkit đa chức năng để bán trên các chợ đen của hacker. Thay vì trả trọn gói, ông ta sẽ chia sẻ một nửa lợi nhuận trong việc kinh doanh rootkit. Họ thường trao đổi ẩn danh, không lưu lại cuộc trò chuyện. Một lần, Hutchins ca thán không mua được loại “cỏ” chất lượng ở quê mình. Vinny nói sẽ gửi cho cậu từ trang thương mại mới thành lập Silk Road. Silk Road thực chất là chợ mai thúy trực tuyến mới ra đời năm 2011.

Trong ngày sinh nhật 17 tuổi, một bưu kiện được gửi tới nhà cậu, bên trong đầy “cỏ”, nấm gây ảo giác và thuốc lắc. Hutchins hoàn thành rootkit UPAS Kit trong 9 tháng và tới hè 2012, mã độc này bắt đầu được rao bán. Vinny trả cho cậu hàng nghìn USD dưới dạng bitcoin. Hutchins bỏ học, nói với cha mẹ rằng cậu đang tham gia dự án lập trình riêng.

Trong vài năm, Hutchins đã từng bước tiến vào đường hầm của tội phạm online. “Tôi không viết trojan ngân hàng”, cậu trả lời trước gợi ý của Vinny viết mã độc để hack tài khoản của những người gửi tiền vô tội. Người này liền nhắc nhở, với giọng điệu vừa đùa cợt vừa đe dọa, rằng ông ta biết rõ danh tính và địa chỉ nhà cậu. Nếu mối quan hệ kinh doanh của họ chấm dứt, ông ta sẽ gửi thông tin cho FBI. Hoảng sợ và giận dữ, nhưng Hutchins vẫn từ chối bởi cậu biết rõ Vinny cần kỹ năng của mình. Cuối cùng, hai bên thỏa thuận nâng cấp UPAS Kit mà không có tính năng web inject.

Sau 9 tháng, phiên bản mới của UPAS Kit đã sẵn sàng. Ngay khi nhận được code, Vinny tiết lộ đã thuê người khác tạo web inject. Hutchins sững sờ và hiểu cậu không thể chống lại Vinny. Mã độc đã viết xong. Và nói chung, cậu là tác giả của nó. Hutchins muốn dừng hợp tác, nhưng Vinny nói đằng nào ông ta cũng đã có mọi thứ cần thiết cho một trojan ngân hàng dù cậu có tham gia hay không. Mã độc vẫn được bán, trong khi cậu tốn công sức mà không được đồng nào.Tức giận vì rơi vào bẫy, Hutchins đành tiếp tục nâng cấp công cụ cho Vinny. Cậu biết rõ sớm muộn FBI cũng xuất hiện với lệnh bắt giữ. Cũng từ đó, cậu nhận ra tình yêu lập trình đã hoàn toàn biến mất.

Người hùng diệt WannaCry

Ngày 12/5/2017, Hutchins bắt đầu kỳ nghỉ kéo dài một tuần.

Hôm ấy, Henry Jones, bác sĩ gây mê ở Bệnh viện Hoàng gia London cách đó hơn 300 km, bắt đầu thấy điều gì đó không ổn. Ông và đồng nghiệp không thể đăng nhập vào hệ thống email. Thực ra, họ đã quen với việc này vì máy tính của họ vẫn đang chạy Windows XP, hệ điều hành đã gần 20 năm tuổi. Sau đó, chuyên gia IT tới và giải thích một virus đang lan khắp mạng lưới bệnh viện nước Anh. Một PC trong phòng khởi động lại và Jones thấy thông điệp rằng các file đã bị mã hóa, cần trả số bitcoin trị giá 3.000 USD để chuộc lại.

Jones được thông báo mọi ca phẫu thuật bị hoãn vì máy tính dừng hoạt động. Trong vài giờ, virus mã hóa dữ liệu tại phòng khám của hơn 600 bác sĩ, khiến 20.000 cuộc hẹn bị hủy, cũng như làm ngưng trệ hoạt động ở hàng chục bệnh viện. “Có bệnh nhân có thể phải chết vì việc này”, Jones nghĩ.

Các chuyên gia bảo mật gọi mã độc là WannaCry (Muốn khóc). Nó nguy hiểm bởi có thể làm biến mất toàn bộ dữ liệu và có tốc độ lây lan còn nhanh hơn các đại dịch lớn trong lịch sử. WannaCry khai thác lỗ hổng EternalBlue trên hệ điều hành Windows. Không chỉ hệ thống y tế Anh, nó ảnh hưởng tới hãng đường sắt Deutsche Bahn (Đức), nhà sản xuất ôtô Renault, Nissan, Honda, các sở cảnh sát ở Ấn Độ, hãng viễn thông Tây Ban Nha Telefónica, hãng chuyển phát FedEx và cả Boeing… Mức độ thiệt hại, ước tính trong buổi chiều hôm đó, là từ 4 tỷ đến 8 tỷ USD.

14h30, Marcus Hutchins mở máy tính và thấy thế giới Internet đang hoảng loạn. “Tôi chọn đúng tuần quái quỷ để nghỉ ngơi”, cậu viết trên Twitter. Trong vài phút, một người bạn hacker có tên Kafeine gửi Hutchins đoạn sao chép mã WannaCry. Cậu phát hiện trước khi mã hóa file, mã độc gửi lệnh tới trang web có địa chỉ như được gõ bừa iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Ở tuổi 23, Marcus Hutchins được coi là người hùng khi một mình ngăn vụ tấn công mạng nghiêm trọng nhất trong lịch sử – WannaCry bằng cách phát hiện ra nguyên lí hoạt động của mã độc này. Hutchins thu hút hơn 100.000 người theo dõi trên Twitter. Những người lạ cũng nhận ra và mời cậu đồ uống để cảm ơn vì cứu Internet. 

Khi một mã độc kết nối tới domain như vậy, thường có nghĩa nó đang liên lạc với một máy chủ điều khiển và ra lệnh từ xa. Hutchins chép địa chỉ vào trình duyệt và ngạc nhiên thấy site không tồn tại. Cậu lập tức vào dịch vụ đăng ký tên miền Namecheap và mua tên miền này với giá 10,69 USD. Hutchins hy vọng có thể kiểm soát một phần những máy tính nhiễm WannaCry từ tác giả mã độc, hay ít nhất có thể theo dõi số lượng và vị trí của máy tính bị nhiễm. Hành động này được giới bảo mật gọi là kỹ thuật sinkhole.

Ngay sau khi thiết lập tên miền trên cụm máy chủ của Kryptos Logic, nó bị dội về hàng nghìn kết nối từ những thiết bị “dính” WannaCry trên toàn cầu. Hutchins chia sẻ điều này lên Twitter và lập tức nhận hàng trăm email từ các nhà nghiên cứu, nhà báo, quản trị hệ thống…

Trong khoảng bốn giờ tiếp theo, cậu dựng bản đồ theo dõi lượt lây nhiễm mới, như cậu từng làm với botnet Kelihos, Necurs… Trước khi mã hóa file, mã độc kết nối tới địa chỉ web của Hutchin. Nếu không kết nối được, nó sẽ phá hủy nội dung trên máy tính. Nói cách khác, nếu tên miền của Hutchins tiếp tục hoạt động, các ca nhiễm mới vẫn lan rộng nhưng không gây thiệt hại vì mã độc đã bị cô lập. Hutchins đã tìm ra “công tắc” tắt mã độc.

“Nếu tên miền sập, khủng hoảng WannaCry sẽ được tái khởi động”, cậu nói

Ngay sau đó, một trong những botnet của mã độc Mirai mở cuộc tấn công DDoS với mục tiêu kéo sập tên miền Hutchins đang nắm giữ. Thậm chí, cảnh sát Pháp hiểu lầm tên miền sinkhole này thuộc về những tên tội phạm đứng sau WannaCry nên đã thu giữ hai máy chủ của công ty Kryptos. Trong một tuần, Hutchin gần như không ngủ để giữ “công tắc” tắt WannaCry không bị đụng tới.

Trong lúc đó, danh tính của Hutchins cũng bị phát hiện. Sáng 14/5/2017, một nhà báo xuất hiện trước cửa nhà Hutchins bởi cô nhận ra cậu qua một bức ảnh trên Facebook với chú thích MalwareTech. Báo chí Anh bắt đầu đăng loạt bài về “người dùng cứu thế giới từ phòng ngủ”. Hutchins thậm chí phải nhảy qua tường rào sau nhà để tránh phóng viên. Để không bị làm phiền, cậu chỉ đồng ý trả lời phỏng vấn AP, thậm chí căng thẳng tới mức còn đọc sai họ của mình.

Hutchins căng thẳng bởi lo ngại kẻ đứng đằng sau sẽ tung ra phiên bản mới của WannaCry để loại bỏ “công tắc” của cậu. Nhưng điều đó không xảy ra. Khi mối nguy hiểm qua đi, “sếp” Neino cảm thấy lo lắng cho tình trạng sức khỏe của Hutchins. Một tuần sau khi WannaCry bùng phát, cậu được trả hơn 1.000 USD cho mỗi giờ ngủ.

Đã ba năm trôi qua kể từ vụ Kronos, cuộc sống vẫn tốt đẹp. Cậu cho phép mình quên đi nỗi lo rằng hành động phạm pháp của mình sẽ phải trả giá. Cho tới ngày cuối ở Las Vegas, khi cậu nhìn thấy chiếc SUV màu đen.

Hutchins thú nhận với FBI rằng cậu tạo một phần mã độc Kronos nhưng đã dừng phát triển nó trước khi 18 tuổi. Chuỗi ngày tạm giam ở nơi cách xa quê hương hơn 8.000 km là khoảng thời gian cô đơn nhất đối với hacker 23 tuổi.

“Người hùng diệt WannaCry bị bắt tại Mỹ” là tiêu đề của hàng loạt bài báo vào ngày hôm sau. Những cuộc tranh cãi nổ ra trên mạng và trong giới bảo mật. Nhiều người ủng hộ Hutchins, nhưng cũng nhiều người tìm lại các hoạt động phạm pháp của cậu trên HackForums.

Tháng 4/2019, Hutchins đồng ý với một thỏa thuận rằng cậu sẽ nhận hai tội danh để các công tố viên giảm 8 tội danh khác. Với mỗi tội, Hutchins đối mặt 5 năm tù giam và khoản tiền phạt 250.000 USD.

“Tôi nhận hai tội liên quan tới việc viết mã độc nhiều năm trước khi tham gia công việc bảo mật. Tôi hối hận về hành động này và chịu mọi trách nhiệm cho lỗi lầm của mình”, Hutchins viết trên website.

Tuy nhiên, trong phiên tòa ở Milwaukee (Mỹ) tháng 7/2019, Hutchins được thả tự do, được phép trở lại Anh dưới sự giám sát và không bị phạt bất cứ khoản tiền nào.“Tôi không muốn là người chặn WannaCry hay người viết mã Kronos. Tôi chỉ muốn là ai đó có thể giúp mọi thứ tốt đẹp hơn”, Hutchins chia sẻ.