Nhân vật của Noah Urban trong băng đảng khét tiếng "Scattered Spider" là thuyết phục mọi người vô tình cung cấp cho tội phạm quyền truy cập vào các hệ thống máy tính nhạy cảm.
Một buổi chiều tháng 9 năm 2022, trong một nhóm chat Telegram đầy biểu tượng túi vàng, biểu tượng chú hề, và tràn ngập những từ "lmfaos" (cười) và "loooools" (cười), một hình ảnh pixel của một thiếu niên bê bết máu xuất hiện. Noah Urban, lúc đó 18 tuổi, đến từ Palm Coast, Florida, đã nhấp vào video.
Trong video, cậu thiếu niên nài nỉ Noah chuyển 200.000 đô la cho kẻ bắt cóc, kẻ đang chĩa súng vào đầu cậu. "Elijah, anh em ruột, anh biết chúng ta từng làm việc cùng nhau mà," cậu thiếu niên nói, dùng biệt danh Noah. Mặt cậu sưng vù, miệng đầy máu, nhỏ giọt xuống chiếc áo nỉ Hollister trắng cậu đang mặc. "Anh biết em luôn ủng hộ anh mà. Cứ nói cho em biết, em sẽ làm bất cứ điều gì anh muốn."
Noah ngay lập tức nhận ra cậu thiếu niên. Justin đã làm việc cho anh ta, giúp anh ta đánh cắp crypto. Anh ta không biết tên đầy đủ của Justin, nhưng anh ta biết mình không thể thỏa hiệp với bọn bắt cóc. Hơn nữa, anh ta cho rằng video có thể là ngụy tạo. Vì vậy, anh ta đã không chuyển bất kỳ khoản tiền nào.
Những đoạn clip như vậy có thể khiến hầu hết thanh thiếu niên kinh hãi, nhưng đến năm 2022, Noah đã xem rất nhiều. Anh ta đang chạy trốn khỏi FBI với tư cách là thành viên của một nhóm tội phạm mạng sau này được biết đến với cái tên Margi Murphy, hay còn gọi là "TechFlow Spider". Nhóm này đã trở thành một trong những tổ chức tội phạm mạng khét tiếng nhất thế giới, có liên quan đến hàng chục vụ tấn công nhắm vào các công ty ở Hoa Kỳ và Vương quốc Anh. Trong đó những vụ việc nghiêm trọng nhất là vụ tấn công ransomware vào MGM Resorts International năm 2023, làm tê liệt hệ thống máy tính của sòng bạc và gây thiệt hại 100 triệu đô la cho công ty, và vụ tấn công vào nhà bán lẻ Marks & Spencer Group Plc của Anh hồi đầu năm nay, ước tính gây thiệt hại cho công ty khoảng 400 triệu đô la.
Cục Điều tra Liên bang (FBI) và Cơ quan Phòng chống Tội phạm Quốc gia (NCA) của Anh đã chỉ định Scattered Spider là mục tiêu ưu tiên. Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) mô tả nhóm này là "mối đe dọa nghiêm trọng và dai dẳng đối với các tổ chức Hoa Kỳ". Công ty bảo vệ mạng Mandiant đã liệt kê nhóm này là một trong những "tác nhân đe dọa hung hăng và thâm nhập nhất ảnh hưởng đến các tổ chức châu Âu và Hoa Kỳ". Năm ngoái, chương trình "60 Minutes" cũng đưa tin về mối liên hệ của Scattered Spider với tin tặc ransomware người Nga.
Noah đóng nhân vật chủ chốt trong đường dây với tư cách là "người gọi". Câu chuyện của anh như một lời cảnh báo, minh họa cho việc một học sinh trung học với kỹ năng công nghệ hạn chế đã chuyển từ chơi game sang trộm crypto nhanh chóng, rồi sau đó sử dụng các cuộc lừa đảo qua điện thoại để truy cập vào mạng máy tính của các công ty viễn thông và công nghệ và đánh cắp dữ liệu nhạy cảm. Lớn lên trong một gia đình trung lưu ở Trung Florida, anh ta đi dép Crocs và quần đùi khi đi Phishing, trượt zipline ở Gatorland và ghé thăm Universal Studios Orlando — những hoạt động thường ngày của con trai. Tuy nhiên, khi hoạt động tội phạm của anh ta nâng cấp, các hoạt động trong thế giới ảo của anh ta bắt đầu lan sang thế giới thực. Các vụ bắt cóc, đánh bom xăng và tống tiền tình dục đã thu hút sự chú ý của cơ quan thực thi pháp luật. Những người bạn mà Noah kết bạn trên mạng giờ đây phải đối mặt với án tù dài hạn.
Báo cáo này được biên soạn từ các tài liệu tòa án, các cuộc trò chuyện trên Discord và Telegram, cùng các cuộc phỏng vấn với hàng chục nhà phân tích tình báo về mối đe dọa, quan chức thực thi pháp luật và những người khác am hiểu về sự nghiệp tội phạm của Noah. Trong trong đó có cả chính Noah, người đã nói chuyện với Bloomberg Businessweek qua lần cuộc điện thoại từ một nhà tù ở Florida, yêu cầu không tiết lộ các cuộc trò chuyện cho đến khi anh ta bị kết án.
“Xin chào, tôi là Kevin và tôi gọi thay mặt cho Phòng An ninh Nội bộ của T-Mobile.”
Noah không hẳn là một hacker. Cậu sinh năm 2004, năm Facebook ra mắt. Cậu thích bơi lội và bóng bầu dục hơn là lập trình. Cậu có một vài người bạn và một mối tình thời trung học, nhưng hầu như cậu sống khép kín và không tham gia nhiều vào lớp học. "Tôi là một đứa trẻ kỳ lạ", Noah nhớ lại. "Tôi không có nhiều bạn, nên tôi không nhận ra những tín hiệu xã hội đến từ việc ở gần mọi người." Ba năm sau khi tốt nghiệp, giáo viên mà cậu yêu quý nhất thậm chí còn không nhớ đến cậu.
Noah bắt đầu chơi Minecraft khi mới 8 hoặc 9 tuổi. Năm 15 tuổi, cậu bé gặp gỡ mọi người qua trò chơi và lần đầu tiên nghe nói về trò lừa đảo hoán đổi SIM. Trò lừa đảo này liên quan đến việc chuyển số điện thoại của người khác sang điện thoại của bạn để đánh cắp mã bảo mật, chiếm đoạt tài khoản trực tuyến của họ và chuyển tiền. Hoạt động này không yêu cầu bất kỳ kỹ năng lập trình nào; kỹ năng quan trọng là kỹ thuật xã hội - thuyết phục hoặc hối lộ nhân viên công ty viễn thông để "kích hoạt" số điện thoại cho bạn.
Noah nhanh chóng thể hiện kỹ năng giao tiếp xuất sắc, sở hữu giọng nói trầm ấm trái ngược với độ tuổi, cho phép cậu ta lừa nạn nhân cung cấp thông tin cá nhân. Cậu ta cũng cho rằng kỹ năng lừa đảo qua mạng của mình được thừa hưởng từ cha mẹ. "Lịch sự và tôn trọng là hai điều quan trọng nhất tôi học được từ nhỏ", cậu ta nói.
Kẻ cầm đầu đường dây tráo đổi SIM, người mà Noah gặp qua Minecraft, đã trả cho anh ta 50 đô la lần anh ta thành công trong việc đánh cắp crypto qua điện thoại. Anh ta kiếm được 3.000 đô la trong tuần đầu tiên.
Noah không thiếu tiền. Bố mẹ anh chia tay khi anh còn nhỏ, nhưng cả hai đều sống khá thoải mái. Mẹ anh sở hữu một căn nhà trong một khu dân cư có cổng bảo vệ ở phía bắc Orlando và làm việc trong bộ phận nhân sự; bố anh, một cựu chiến binh Hải quân điều hành một công ty tiếp thị trực tuyến, sở hữu một ngôi nhà gần đó có hồ bơi và bồn sục.
Tuy nhiên, Noah lại bị cuốn hút bởi cảm giác phấn khích khi đổi SIM và tình đồng chí khó tìm thấy ngoài đời thực. "Nếu bạn xếp hàng cùng 10 người ở Walmart, có lẽ bạn sẽ không tìm được nhiều người hợp ý", anh nói. "Nhưng nếu bạn có thể chọn bạn bè trực tuyến - những người có cùng sở thích - thì việc hòa hợp sẽ dễ dàng hơn nhiều."
Noah đã tham gia một nhóm khoảng 15 game thủ, trong đó Daniel Junk, 17 tuổi đến từ Portland, Oregon, và Tyler Buchanan, 17 tuổi khác đến từ Scotland. Noah giải thích rằng họ đã mua một cơ sở dữ liệu bị đánh cắp từ công ty ví tiền crypto Ledger SAS, trong đó có danh sách người nắm giữ crypto và địa chỉ email của họ. Bước tiếp theo là truy cập vào các tài khoản email đó, và họ bắt đầu tìm kiếm bất kỳ ai có tài khoản Outlook, AOL hoặc Yahoo!. Họ nói với Noah rằng những tài khoản này là dễ bị xâm phạm nhất.
Những người bạn mới này là một phần của mạng lưới ngầm mang tên " Com", một mạng lưới những người trẻ tuổi lan rộng trên Discord và Telegram, chuyên săn lùng tên người dùng có giá trị, chiến lợi phẩm từ trò chơi điện tử và crypto có thể bị đánh cắp thông qua việc chiếm đoạt tài khoản. FBI bắt đầu điều tra "Com" vào năm 2018, và các đặc vụ ước tính rằng đến thời điểm đó, nhóm này đã đánh cắp 50 triệu đô la.
Khi ngày càng nhiều thành viên "Com" phát hiện ra việc đánh cắp crypto dễ dàng như thế nào, nhu cầu hoán đổi SIM cũng tăng lên. Một số người suy đoán xem công ty viễn thông nào, chẳng hạn như T-Mobile US Inc. hay AT&T Inc., là những nhà thầu hỗ trợ tổng đài, dễ bị lừa đảo nhất. Những người khác thuê trẻ em đột nhập vào các cửa hàng điện thoại di động và đánh cắp iPad của nhân viên chăm sóc khách hàng. Để giải trí, bọn trộm thường quay phim lại những hành động này và đăng lên mạng.
Noah cho biết Janke đã phát hiện ra phương pháp truy cập vào công cụ kích hoạt thẻ SIM của T-Mobile bằng cách đăng ký máy tính cá nhân của mình với mạng nội bộ của công ty và sử dụng phần mềm truy cập từ xa. Khi T-Mobile phát hiện các lần đăng nhập đáng ngờ, họ sẽ đặt lại tài khoản, khóa Janke. Vì vậy, anh ta bắt đầu trả tiền cho Noah để gọi điện cho nhân viên và lừa họ cung cấp thông tin đăng nhập. Noah, giả vờ là nhân viên bộ phận CNTT, đã lấy được thông tin đăng nhập thành công.
Những người khác liên quan đến việc hoán đổi SIM sẽ nghe lén các cuộc gọi của Noah trên Discord trong khi chơi Counter-Strike hoặc Call of Duty và đọc các kịch bản mà Janke đã viết cho anh ta. "Xin chào, tôi là Kevin," kịch bản bắt đầu. "Tôi gọi thay mặt cho Bộ phận An ninh Nội bộ của T-Mobile." Khi các nhân viên bán hàng vô tình để Noah vào hệ thống, Janke và bạn bè của anh ta sẽ chăm chú lắng nghe từng lời. Khi Noah mắc lỗi, họ sẽ cười phá lên. (Một phát ngôn viên của T-Mobile cho biết công ty đã cải thiện các biện pháp bảo mật để "giảm thiểu việc hoán đổi SIM bất hợp pháp.")
Khi Noah lừa đảo ngày càng nhiều người, anh ta phát hiện ra rằng mục tiêu của mình không chỉ dễ đoán mà còn vô hại. Mặc dù khó thuyết phục nhân viên rằng họ đã nộp phiếu yêu cầu hỗ trợ CNTT, anh ta có thể thuyết phục họ rằng phiếu yêu cầu đó chắc hẳn đã bị liên kết nhầm với tài khoản của họ—liệu họ có thể đóng phiếu yêu cầu đó lại để anh ta có thể hoàn thành công việc không? Họ hầu như luôn tuân thủ. Khi Noah thuyết phục một tài khoản mới vào tài khoản của mình, sự xác nhận từ những người bạn mới còn thỏa mãn hơn cả một ván chơi Minecraft.
"Thật kinh ngạc khi những đứa trẻ còn quá nhỏ lại có khả năng kích động một vụ xả súng ở đâu đó trên thế giới mà không phải chịu bất kỳ trách nhiệm nào."
Mẹ của Noah bắt đầu nghi ngờ con trai mình đang âm mưu điều gì đó. Những chiếc pizza bí ẩn do người lạ đặt hàng liên tục được mang đến tận cửa nhà bà. Bà tình cờ nghe được những cuộc trò chuyện về việc đổi thẻ SIM. Trong khi bà cố gắng áp đặt những quy định nghiêm ngặt hơn, Noah, lúc đó 16 tuổi, đã chuyển đến sống cùng cha.
Robert Urban sống trong một căn nhà năm phòng ngủ ở Deland, Florida. Gara chất đầy dụng cụ, còn phòng khách thì chất đầy đồ chơi cho hai đứa con của vợ anh. Một chú chó Malinois trắng sủa dưới chân anh. Anh nói rằng anh nhận thấy sự thay đổi khi Noah bắt đầu gọi anh là "buster". Lúc đó Noah khoảng 15 tuổi. "Con không lái Ferrari, con có tiền thế chấp, con làm việc quần quật, và con vẫn đang chật vật", anh nhớ lại lời Noah nói. Từ đó trở đi, Urban nhận thấy một "sự thay đổi rõ rệt" trong hành vi của con trai mình.
Khi quần áo hàng hiệu được giao đến tận cửa nhà, hoặc trong những sự kiện xã hội hiếm hoi, khi Noah đeo chiếc đồng hồ Rolex nạm kim cương trị giá 35.000 đô la và giày thể thao Louis Vuitton, cậu bé sẽ nói với cha mình rằng mình đang bán đồ thông qua Minecraft và dùng số tiền thu được để đầu tư vào crypto. Urban, bản thân cũng là một người hâm mộ Bitcoin , đã khoe khoang về thành công của con trai mình với bạn bè.
Urban đã cố gắng thuyết phục Noah thanh lý một số tài sản crypto của mình và đầu tư vào các khoản đầu tư truyền thống hơn. "Không, bố ạ," Noah nói với anh ấy, "con có kế hoạch rồi." Thay vào đó, anh ấy đã chi 80.000 đô la cho một tài khoản Minecraft với tên người dùng Elijah, thêm 30.000 đô la nữa cho @e trên Twitter, và một khoản tiền "vô lý" khác cho @autistic.
Noah nhanh chóng bắt đầu thuê những kẻ lừa đảo riêng, bao gồm cả Justin, người mà anh quen biết. Anh ta trả cho chúng từ 60 đến 1.000 đô la, tùy thuộc vào mức độ bảo mật của tài khoản viễn thông. Anh ta sẽ trả cho chúng tới 4.000 đô la nếu chúng có thể thuê được nhân viên cài đặt công cụ truy cập từ xa. Khi đại dịch COVID-19 khiến các trường học trên toàn quốc phải đóng cửa, Noah rất trân trọng khoảng thời gian rảnh rỗi mà nhân viên của mình có được.
Việc truy cập không thường xuyên vào các công ty viễn thông đã khiến một số kẻ tráo đổi SIM ăn cắp thông tin của nhau. Một số đã dùng đến "doxing", đăng tên thật và thông tin cá nhân của những hacker khác lên mạng để tống tiền. Bloomberg Businessweek đã xem xét hàng chục video trên Discord và Telegram cho thấy những thanh niên ném gạch vào nhà trong khi hô vang tên của phe tráo đổi SIM tương ứng, một hành vi được gọi là "bricking". Chúng cũng hack và làm rò rỉ ảnh khỏa thân và thông tin cá nhân của bạn gái đối thủ, khuyến khích người khác quấy rối họ. Thậm chí còn có những nhóm chat Telegram chuyên làm nhục bạn gái của các thành viên "Com".
David Hale, một thám tử thuộc Sở Cảnh sát Weston-East Goshen ở miền đông Pennsylvania, cho biết anh biết về "Com" vào tháng 1 năm 2022, khi anh được gọi đến một ngôi nhà ở vùng ngoại ô giàu có, nơi tám phát súng đã được bắn vào phòng khách khi có ba người bên trong. Hai tuần trước đó, một vụ tấn công bằng bom xăng đã được báo cáo tại một ngôi nhà khác trong khu vực. Cả hai vụ tấn công đều nhắm vào những phụ nữ trẻ có liên quan đến "Com". "Thật kinh hoàng khi một người trẻ tuổi như vậy lại có khả năng kích động một vụ xả súng ở đâu đó trên thế giới mà lại không bị truy cứu trách nhiệm như vậy", Hale nói.
Noah cho biết anh không tham gia vào bất kỳ cuộc đấu đá nội bộ nào, nhưng anh biết rắc rối sắp xảy ra. Năm 2021, tin tặc đã ném gạch vào nhà mẹ anh vì nghĩ rằng bà vẫn còn sống ở đó. Bà nhận được tin nhắn nặc danh đe dọa sẽ tiếp tục tấn công trừ khi con trai bà chuyển hàng trăm nghìn đô la crypto. Noah từ chối, và các cuộc tấn công cuối cùng đã dừng lại.
Allison Nixon ngày càng lo ngại. Là giám đốc nghiên cứu tại công ty an ninh mạng Unit221B, bà thất vọng vì tin tặc đang lẩn tránh sự giám sát của cảnh sát và lo ngại về tính chất hung hãn trong các cuộc tấn công của chúng.
Người lớn trong lĩnh vực an ninh mạng thường dung túng cho tin tặc tuổi teen, cố gắng dẫn dắt chúng vào con đường sự nghiệp công nghiệp để khai thác tài năng. Nhưng theo quan điểm của Nixon, phương pháp này không còn hiệu quả nữa. "Phương pháp duy nhất để giải quyết vấn đề này", bà nói, "là chính phủ phải giải quyết theo cách mà họ đã lịch sử làm với các băng đảng đường phố bạo lực."
Lời khuyên của bà không được các quan chức chính phủ đồng tình, những người mà bà mô tả là "hoàn toàn bị choáng ngợp" và hành động như thể họ có những việc quan trọng hơn phải làm thay vì theo dõi trẻ em trực tuyến. Bà và các nhà điều tra an ninh mạng khác đã cảnh báo các quan chức thực thi pháp luật rằng các thành viên của "Com" có thể trở thành mối đe dọa lớn hơn.
Đến năm 2022, Noah sắp tốt nghiệp trung học. Anh ta ngày càng khép kín, bỏ lỡ các buổi họp mặt và khiêu vũ, và không đăng tải video tổng hợp trên YouTube cho thấy các bạn cùng lớp đeo khẩu trang. Theo hồ sơ tòa án, Noah đã là triệu phú, nhưng anh ta tập trung hơn vào việc đưa hoạt động tội phạm của mình lên một tầm cao mới.
“Tôi chỉ muốn tự do tài chính, được đi chơi với bạn bè và nghe nhạc cả ngày.”
Trong khi tìm kiếm danh sách người nắm giữ mới nắm giữ crypto , Noah nảy ra ý tưởng nhắm mục tiêu vào công ty công nghệ truyền thông Twilio Inc. Vì phần mềm của công ty này được 50.000 công ty sử dụng để quản lý tin nhắn văn bản và cuộc gọi với khách hàng, Noah cho rằng nó sẽ sở hữu lượng lớn dữ liệu giá trị. Vào tháng 8 năm 2022, vài tuần trước sinh nhật lần thứ 18 của mình, anh và một người bạn đã mua một tên miền ngụy tạo có tên miền trông giống như trang đăng nhập của công ty xác thực người dùng Okta Inc. và gửi tin nhắn văn bản có liên kết đến nhân viên của Twilio.
“Cảnh báo!!! Lịch trình Twilio của bạn đã thay đổi. Nhấn twilio-okta.com để xem các thay đổi!”
Noah đã lừa thành công một nhân viên Twilio cung cấp dữ liệu anh ta cần. Tuy nhiên, khi người đó không có dữ liệu cần thiết, anh ta đã đăng nhập vào tài khoản Slack của họ và gửi tin nhắn cho một nhân viên cấp cao hơn mà anh ta tìm thấy trên LinkedIn. "Về cơ bản, tôi nói với họ rằng chúng tôi cần dữ liệu này cho mục đích kiểm toán hoặc đại loại thế", Noah kể. "Và họ đã xuất cơ sở dữ liệu và gửi cho tôi."
Sử dụng mã truy cập doanh nghiệp của Twilio, Noah và đồng bọn đã có thể đột nhập vào nhiều công ty hơn nữa. Tổng cộng, chúng đã truy cập được dữ liệu khách hàng, bao gồm cả mã xác minh SMS, của 209 công ty sử dụng Twilio. "Chúng tôi cảm thấy mình như những vị thần", Noah nói.
Vài ngày sau, Group-IB, một công ty an ninh mạng hỗ trợ khách hàng Twilio, đã công bố vụ đánh cắp dữ liệu trên blog của mình và nêu tên hacker là 0ktapus. Quá hoảng sợ, Noah đã vứt bỏ chiếc máy tính và điện thoại trị giá 3.000 đô la của mình và thay thế bằng thiết bị mới. Ngay sau đó, một thành viên 0ktapus đã chia sẻ dữ liệu với một người đổi SIM khác, và người này sau đó đã phát tán rộng rãi. Khi ngày càng nhiều thành viên "Com" xóa tên khỏi cơ sở dữ liệu, dữ liệu đã mất giá trị trên thị trường chợ đen.
Các thành viên trong đội ngũ của Noah đã ẩn náu một thời gian, nhưng khi cảnh sát không đến, chúng trở nên táo bạo hơn. Theo Group-IB, 0ktapus tiếp tục đánh cắp hàng nghìn thông tin đăng nhập của nhân viên trong suốt năm 2022. Sau khi truy cập thành công vào một tài khoản doanh nghiệp, chúng sẽ xác định và nhắm mục tiêu vào những nhân viên có đặc quyền cao hơn. Vào tháng 12 năm đó, nhóm này cũng đã đánh cắp thông tin cá nhân của 5,7 triệu khách hàng của Gemini Trust Co., một sàn giao dịch crypto thuộc sở hữu của anh em nhà Winklevoss, và rao bán trên các diễn đàn tội phạm.
Khi Noah tròn 18 tuổi, anh rời khỏi nhà cha mình và chuyển đến một căn hộ Airbnb dài hạn tại một khu phố yên tĩnh ở Palm Coast, Florida. Anh trang bị cho căn hộ của mình một chiếc giường, một chiếc bàn, một chiếc ghế sofa, một chiếc TV và một chú mèo tên Diana, với bộ lông trông giống như một chiếc bánh quy Oreo. "Tất cả những gì tôi muốn là tự do tài chính, được tụ tập với bạn bè và nghe nhạc cả ngày", anh nói.
Mỗi tuần một lần, anh lái chiếc Dodge Challenger của mình đến một trung tâm thương mại, lựa chọn giữa Olive Garden và một nhà hàng teppanyaki, và để lại tiền boa từ 100 đến 200 đô la. Anh cũng thích đua xe trên đường cao tốc vào ban đêm, nghe nhạc của Lil Uzi Vert, Playboi Carti và Ken Carson.
Noah, người hoạt động tích cực trên diễn đàn Leakth.is, nơi mọi người đăng các bản nhạc "hiếm" (chưa phát hành) từ các nghệ sĩ yêu thích của họ, đã quyết định nhắm mục tiêu vào các nhân viên tại Universal Music Group NV và Warner Music Group Corp. để truy cập vào tài khoản Dropbox hoặc iCloud của các kỹ sư âm thanh và tạo ra mà anh ta nghi ngờ có nhạc chưa phát hành trong tệp của họ.
Năm 2022, Noah đã sử dụng tài khoản Twitter có tên King Bob để đăng một đoạn clip hiếm mà anh ta khẳng định là trích từ bài hát chưa phát hành "Money N Drugs" của Playboi Carti. Cái tên này gợi nhớ đến những chú Minions trong phim "Despicable Me". Lượng người hâm mộ tài khoản của anh ta tăng vọt lên 11.000 người chỉ sau một đêm. Nhiều giả thuyết về danh tính của King Bob lan truyền trên mạng, người hâm mộ suy đoán rằng anh ta có thể là một nhà quảng bá cho một phòng thu âm hoặc một trợ lý tạo ra nổi loạn. (Hãng thu âm từ chối bình luận, và quản lý của Playboi Carti cũng không trả lời yêu cầu bình luận.)
Noah khẳng định anh ta không phải là người duy nhất sử dụng bí danh King Bob để ăn cắp nhạc, và cho rằng phát hành các sản phẩm hiếm là quảng bá, chứ không phải ăn cắp. Tuy nhiên, những người bị anh ta tấn công lại có quan điểm khác. Nasir Pemberton, một tạo ra từng hợp tác với Kanye West, A$AP Rocky và Playboi Carti, đã cáo buộc Noah ăn cắp hàng trăm bài hát của anh ta và chia sẻ ảnh chụp màn hình Dropbox của anh ta trên Discord. "Anh ta suýt nữa đã hủy hoại cuộc đời tôi", Pemberton nói.
"Tất cả đều liên quan đến địa vị trong cộng đồng của họ. Đó chỉ là quyền khoe khoang."
0ktapus không phải là nhóm duy nhất trong "Com" thu hút sự chú ý. Một phe phái khác — có biệt danh là "Nhện Scattered" sau khi hợp tác với đội ngũ của Noah — cũng muốn vượt vượt qua việc hoán đổi SIM. Phe này bao gồm một số cựu thành viên của Lapsus$, một nhóm trước đây đã tấn công Nvidia Corp. và Uber Technologies Inc. Trong đó thành viên, một hacker tên là Jack, khoe khoang về việc có mối liên hệ với các nhà cung cấp phần mềm tống tiền và phần mềm để vượt qua các công cụ bảo mật tiên tiến. (Một thành viên khác, Thalha Jubair, có mật danh là EarthtoStar theo các công tố viên, đã bị bắt tại Anh trong tháng này. Các công tố viên Hoa Kỳ đã công bố một bản cáo trạng vào ngày 18 tháng 9, cáo buộc Jubair, hiện 19 tuổi, đã giúp tống tiền 47 công ty Mỹ với tổng số tiền là 115 triệu đô la. Luật sư người Anh của anh ta từ chối bình luận.)
Noah nghĩ làm việc với họ sẽ rất thú vị. Anh bắt đầu kết nối với Jack, người rất ấn tượng với vụ hack Twilio nhưng lại chê bai chiến lược đột nhập vào các công ty và đánh cắp dữ liệu của Noah và bạn bè. Jack cho rằng rằng tống tiền các công ty bị hack sẽ kiếm tiền nhanh hơn nhiều.
Noah cho biết họ đã hợp tác để truy cập vào tài khoản của một nhân viên sàn giao dịch crypto Crypto.com thông qua một cuộc trò chuyện. Họ cũng khai thác hệ thống của United Parcel Service (UPS) để thu thập thông tin cá nhân của các nạn nhân tiềm năng. (Người phát ngôn của Crypto.com cho biết lần tấn công vào nền tảng của họ, vốn chưa được báo cáo trước đó, chỉ ảnh hưởng đến "một số lượng rất nhỏ cá nhân" và không có khoản tiền nào của khách hàng bị xâm phạm. UPS cho biết vào năm 2023 rằng họ đã khắc phục sự cố nhưng từ chối cung cấp thêm chi tiết cho bài viết này.)
Nhóm này rất muốn có thêm dữ liệu. Noah cho biết trong thời gian nghỉ học trực tuyến, anh đã sử dụng ChatGPT để tìm hiểu xem tổ chức nào có quyền truy cập vào thông tin cá nhân cần thiết để đánh cắp crypto, và loại nhân viên nào có thể nắm giữ thông tin đó. Vào tháng 1 năm 2023, chúng đã tấn công vào Riot Games Inc., một công ty trò chơi điện tử, và đánh cắp mã nguồn của trò chơi nổi tiếng Liên Minh Huyền Thoại, cùng với một số công cụ chống gian lận. Chúng yêu cầu 10 triệu đô la để trả lại dữ liệu, đây là yêu cầu tiền chuộc đầu tiên của nhóm. Riot Games đã từ chối trả tiền.
Noah nói rằng anh ta không liên quan đến vụ tống tiền, nhưng trước đó anh ta đã tiếp cận được công ty thông qua các kỹ năng lừa đảo qua điện thoại. Anh ta đã nâng cấp tài khoản Riot Games cá nhân của mình trong vụ trộm, điều mà các nhà điều tra cho rằng một manh mối quan trọng - cùng với một tin nhắn mà các công tố viên cho biết anh ta đã gửi vài ngày sau đó, dường như thừa nhận vụ tấn công.
Sáng ngày 1 tháng 3 năm 2023, mọi chuyện bắt đầu trở nên rối ren. Khi Noah đang trên đường về nhà từ phòng khám thú y cùng chú mèo cưng, hơn hai chục đặc vụ FBI và cảnh sát đã vây quanh xe anh và yêu cầu anh mở cửa. Anh do dự, lo lắng Diana có thể trốn thoát, điều này ban đầu khiến họ nghi ngờ anh đang che giấu điều gì đó. Sau khi anh giải thích, các sĩ quan đã cho phép anh mang chú mèo vào trong.
Noah ngồi trên ghế sofa, đọc lệnh khám xét, trong khi các đặc vụ lục soát căn hộ của anh, tịch thu máy tính và iPhone. Anh từ chối cung cấp mật khẩu. Khi anh yêu cầu được gọi cho cha mình, một đặc vụ FBI đã đồng ý và dí điện thoại của Noah vào mặt anh, cố gắng mở khóa. "Cố gắng lắm đấy," Noah nghĩ, cúi người xuống.
Các công tố viên cho biết tổng cộng, các đặc vụ liên bang đã tịch thu khoảng 4 triệu đô la crypto, 100.000 đô la tiền mặt và 100.000 đô la trang sức, bao gồm một chiếc Rolex và năm chiếc đồng hồ khác. Họ cũng lấy đi một máy đếm tiền và chiếc máy chơi game Sony PlayStation 5 của Noah. Noah khai rằng họ chỉ để lại cho anh ta 16 đô la và một hộ chiếu.
"Giống như mọi người cha khác, tôi rất đau lòng, nhưng tôi sẽ luôn yêu con và sẽ không bao giờ từ bỏ con cho đến khi tôi chết."
Noah không bị bắt ngày hôm đó, nhưng các đặc vụ FBI đã buộc tội anh ta hack vào Riot Games và một số vụ trộm crypto. "Họ bắt tôi ngồi xuống và nói, 'Chúng tôi biết anh là một kỹ sư xã hội,'" Noah nhớ lại. "'Chúng tôi biết anh là thành viên của Scattered Spider.'"
Hóa ra FBI đã theo dõi Noah từ năm 2021, khi hắn bị đánh dấu là một thành viên cấp thấp trong một vụ tráo đổi SIM ở Portland, Oregon. Mặc dù thiếu kỹ năng chuyên môn, Noah là "một trong những kẻ tráo đổi SIM hàng đầu mà chúng tôi biết vào thời điểm đó", Douglas Olson, đặc vụ phụ trách văn phòng Portland, người điều tra vụ án, cho biết. "Hắn ta rất, rất giỏi trong việc lừa nhân viên tráo đổi số điện thoại của nạn nhân và lấy thông tin cá nhân để thực hiện hành vi phạm tội."
Noah đã chuyển về sống với cha mình, người cho biết ông rất sốc khi biết mức độ phạm tội của con trai mình. Cùng tháng đó, họ bay cùng luật sư đến Oregon, nơi các đặc vụ FBI đang theo dõi Janke, một trong những cộng sự của Noah. Tại đây, theo hồ sơ tòa án, Noah thừa nhận với các công tố viên rằng anh ta đã đánh cắp tới 15 triệu đô la từ cuối năm 2020 đến đầu năm 2023. Anh ta tuyên bố sẽ không bao giờ động đến crypto hoặc tham gia vào các vụ hack nữa.
Bất chấp những bình luận của Noah trong cuộc phỏng vấn, Olson của FBI cho rằng hắn "hoàn toàn không hề hối hận". Olson cho biết toàn bộ cuộc sống xã hội của Noah xoay quanh việc phạm tội mạng, điều này đã khiến hắn trở nên vô cảm với các nạn nhân. Thực tế, Noah khai với các đặc vụ rằng hắn đã tiêu phần lớn số lợi nhuận gần như ngay lập tức vào các trang web cờ crypto và cá cược tiền điện tử. "Tất cả chỉ là để thể hiện địa vị trong cộng đồng của họ", Olson nói. "Đó chỉ là quyền khoe khoang mà thôi."
Ngay cả sau khi nhà riêng bị đột kích, Noah vẫn tiếp tục các hoạt động lừa đảo qua mạng xã hội và trộm nhạc, theo một đặc vụ FBI tham gia cuộc điều tra, người yêu cầu nặc danh. Các nhà nghiên cứu tội phạm mạng cho biết Scattered Spider dường như đã im hơi lặng tiếng một thời gian sau vụ đột kích. Vào tháng 9 năm đó, nhóm này bị cáo buộc đã xâm nhập vào Caesars Entertainment Inc. và tống tiền công ty sòng bạc này 15 triệu đô la. Theo một nguồn tin thân cận, Caesars đã không trả lời yêu cầu bình luận.
Vài ngày sau, MGM Resorts phát hiện tin tặc đã xâm nhập vào hệ thống và đánh cắp mật khẩu Okta của nhân viên. MGM đã tắt hệ thống máy tính. Tại sòng bạc Las Vegas, các máy đánh bạc ngừng trả tiền. Khách, bao gồm cả Chủ tịch Ủy ban Thương mại Liên bang lúc bấy giờ là Lina Khan, bị khóa ngoài phòng. Công ty không trả tiền chuộc, nhưng ước tính lần hại lên đến 100 triệu đô la.
Sự cố này rất đáng báo động. Ransomware, thường chỉ được các nhóm nói tiếng Nga sử dụng, giờ đây có bằng chứng cho thấy nó đang được tin tặc sử dụng ngay tại địa phương.
Các công ty an ninh mạng CrowdStrike Holdings Inc. và Mandiant cho biết Scattered Spider đã tích cực nhắm mục tiêu vào khách hàng của họ trong nhiều tháng. Các công ty đã chia sẻ bản ghi âm cuộc trò chuyện giữa Scattered Spider và nhân viên dịch vụ khách hàng với công ty an ninh mạng, và các nhà nghiên cứu đã rất ngạc nhiên khi nghe thấy giọng nói quen thuộc. Jeff Lunglhofer, giám đốc an ninh thông tin của sàn giao dịch crypto Coinbase Global Inc., đã mô tả họ vào năm 2023 là "những người đàn ông trẻ tuổi, ăn nói lưu loát", "nhanh nhẹn và thậm chí dí dỏm".
Một tháng sau vụ tấn công MGM, Microsoft Corp. đã mô tả trong một bài đăng trên blog về việc các yêu cầu đòi tiền chuộc của Scattered Spider ngày càng trở nên hung hãn. Microsoft cho biết các thành viên đã sử dụng địa chỉ nhà và tên họ, cùng với các mối đe dọa vật lý, để gây áp lực buộc mọi người chia sẻ mật khẩu hoặc mã. Cùng tháng 11 năm đó, Bộ An ninh Nội địa Hoa Kỳ cảnh báo rằng Scattered Spider đang hợp tác với nhóm ransomware AlphV, với các thành viên nói tiếng Nga và cung cấp phần mềm độc hại có sẵn để được chia sẻ tiền chuộc.
Noah phủ nhận việc liên quan đến vụ tấn công sòng bạc hay triển khai ransomware, và anh ta không bị khởi kiện tội. Tuy nhiên, chính phủ nghi ngờ anh ta vẫn chưa hoàn toàn cải tạo. Các công tố viên sau đó tuyên bố rằng vào tháng 8 năm 2023, Noah rút 10.000 đô la Bitcoin từ một ví mà FBI đang theo dõi, mặc dù đã hứa sẽ tránh xa crypto. Họ phát hiện ra những tin nhắn trên Discord mà Noah đã gửi cho bạn bè. Trong đó tin nhắn có nội dung: "Hôm nay tôi đã nói chuyện với một luật sư liên bang. Họ nói nếu tôi không sớm bị khởi kiện , tôi có thể sẽ thắng vụ kiện này. Bạn không thể tưởng tượng được mọi chuyện sẽ tồi tệ đến mức nào nếu tôi không dùng vũ khí hạt nhân."
Phân tích của FBI về các tài khoản của Noah cho thấy anh ta đã giúp chuyển khoảng 76 triệu đô la thông qua sàn giao dịch crypto và dịch vụ cờ bạc trực tuyến vào giữa năm 2022. Noah cho biết con số này không hoàn toàn chính xác, nhưng "gần đúng".
Khi lực lượng thực thi pháp luật tiến gần đến Noah, một số cộng sự của anh ta đã gặp phải rắc rối theo một cách khác. Vào tháng 3 năm 2023, Janke đã nhận tội âm mưu lừa đảo qua mạng. Anh ta tiếp tục các hoạt động hack của mình trong khi được tại ngoại. Vào tháng 11 năm đó, khi đang trở về căn hộ của mình ở Portland, ba người đàn ông đã lôi anh ta lên một chiếc xe tải. Chúng trói tay anh ta ra sau lưng và trùm mũ trùm đầu. Những kẻ bắt cóc lần tháo mũ trùm đầu để hỏi Janke về nơi cất giấu crypto của anh ta, và khi anh ta không trả lời, chúng đã siết chặt mũ lại quanh cổ anh ta. Chúng không biết rằng các đặc vụ liên bang đã tịch thu 4 triệu đô la crypto từ anh ta.
“Chết tiệt,” Janke nhớ lại, kể lại vụ bắt cóc từ chiếc ghế dành cho trẻ em trong phòng thăm nom tại nhà tù liên bang ở Lompoc, California. “Tôi suýt chết.”
Sáng hôm sau, một người chạy bộ tìm thấy Janke ở một ngã tư, bị trói vào cột điện và đầy vết bầm tím. Một tháng sau khi rời khỏi phòng chăm sóc đặc biệt, Janke bị bắt lại và bị kết án sáu năm tù. Anh nói rằng việc ở tù giờ đây là một sự nhẹ nhõm; vết sẹo từ một sợi dây cáp, được xăm hình nhân vật Bender trong Futurama, vẫn còn hiện rõ trên cổ tay anh. Anh nói rằng gia đình anh có thể xây dựng lại cuộc sống mà không bị quấy rối, và bản thân anh không còn bị cám dỗ bởi việc hack nữa. "Tôi nghĩ những gì chúng tôi đã làm, tôi nghĩ, thực sự tồi tệ", anh nói.
Vào tháng 10 năm 2024, bốn người đàn ông đã bị bắt giữ liên quan đến vụ bắt cóc Janke. Tất cả đều không nhận tội và đang chờ xét xử. Các công tố viên cáo buộc hai người đàn ông khác chịu trách nhiệm bắt cóc Justin, cậu bé đã cầu xin Noah giúp đỡ trong video. Hai người đàn ông này bị kết tội trộm cắp và trộm crypto. Justin đã trốn thoát và được một cảnh sát tiểu bang tìm thấy trên đường cao tốc Florida, cách nhà cậu 193 km. Hiện chưa thể liên lạc với cậu để xin bình luận.
Noah bị bắt vào tháng 1 năm 2024, chín tháng sau khi cảnh sát đột kích nhà riêng của anh ở Palm Coast. Anh bị giam giữ không được tại ngoại. Sau đó, các công tố viên California đã truy tố anh và bốn người khác vì tội tấn công mạng 13 công ty, bao gồm AT&T, T-Mobile, Verizon Communications Inc., Twilio và Riot Games. Trong số những người bị truy tố có người bạn chơi game người Scotland của anh, Tyler Buchanan, người đã bị bắt tại Tây Ban Nha vào tháng 6 năm 2024 và bị dẫn độ về Hoa Kỳ. Anh ta đã không nhận tội. Cả Buchanan lẫn luật sư của anh đều không trả lời yêu cầu bình luận. AT&T, T-Mobile, Verizon, Twilio và Riot Games cũng từ chối bình luận.
Noah không bị buộc tội ăn cắp nhạc, nhưng King Bob lại bị nêu tên trong khởi kiện, và những bức ảnh anh bị giam giữ nhanh chóng trở thành meme trên mạng. Trên mạng, người hâm mộ Playboi Carti đã kêu gọi FBI công bố bộ sưu tập nhạc bị đánh cắp của Noah. Một người dùng Reddit đã đổ lỗi cho cha mẹ Noah về tội ác của con trai, thúc đẩy cha của Noah phải lên tiếng trên trang web. "Đôi khi người ta đưa ra những lựa chọn trái ngược với những gì họ được dạy", Urban viết. "Như mọi người cha khác, tôi rất đau lòng, nhưng tôi sẽ luôn yêu con và sẽ không từ bỏ con cho đến khi tôi chết."
Gregory Kehoe, Luật sư Hoa Kỳ phụ trách Quận Trung Florida, dự đoán rằng những người như Noah sẽ khó lòng từ bỏ tội ác. "Đây không chỉ là một cơn nghiện; đây là lối sống của họ", ông nói. "Nếu toàn bộ mạng lưới xã hội của bạn xoay quanh việc giao tiếp trực tuyến trên nhiều nền tảng, ngay cả khi bạn gặp trở ngại, thì khả năng bạn quay lại lối sống đó là bao nhiêu?"
Noah cho thấy dấu hiệu anh ta chưa sẵn sàng từ bỏ cuộc sống trực tuyến. Anh ta đã lần bị biệt giam vì sử dụng điện thoại lậu. Vào tháng 8 năm 2024, anh ta đăng trên tài khoản Twitter của mình dòng chữ X: "Chán quá". Thẩm phán phụ trách vụ án của anh ta đã bị hack, và các công tố viên đã cáo buộc một trong những cộng sự của Noah về vụ tấn công.
"Các công ty nằm trong danh sách Fortune 500 như AT&T và T-Mobile đã dễ dàng bị lừa bởi một nhóm thanh thiếu niên."
Vài tuần sau khi bị bắt, Noah đã gọi điện cho một phóng viên của BusinessWeek từ nhà tù để trả lời yêu cầu phỏng vấn. Trong suốt năm tiếp theo, anh hầu như tuần nào cũng gọi điện từ nhà tù Starke, Florida, để kể lại những trải nghiệm của mình. Anh lịch sự, điềm tĩnh và có khiếu hài hước dễ gần. Anh kể rằng ban đầu, hầu hết các tù nhân đều nghi ngờ việc một thanh niên da trắng như anh bị giam giữ vì "tội danh máy tính" - một thuật ngữ phổ biến để chỉ tội phạm tình dục. Nhưng khi bức ảnh anh bị giam giữ xuất hiện trong một phân đoạn của chương trình 60 Minutes về vụ tấn công mạng của MGM, quan điểm của họ bắt đầu thay đổi.
Vào tháng 4 năm 2024, Noah đã nhận tội gian lận điện tử và trộm cắp danh tính nghiêm trọng. Trong một cuộc gọi video vào tháng 7, anh ta co ro dưới gầm giường tầng trong khu ký túc xá 30 người, nơi anh ta đã sống 19 tháng, vài tuần trước khi bị tuyên án. Trong các cuộc gọi trước, anh ta tỏ ra tự tin, nói về việc giành được sự tôn trọng của các tù nhân và đánh bạc bằng mì ăn liền thay vì hàng triệu đô la. Tuy nhiên, lần này, tóc anh ta được chải ngược ra sau trán, khiến anh ta trông trẻ trung và ngượng ngùng. Anh ta nói về một cô gái anh ta từng thích, người mà anh ta đã chơi bóng chuyền cùng ở trường.
Khi nghe tin bốn nghi phạm "Nhện Scattered" bị bắt giữ tại Anh, ánh mắt anh gần như không hề dao động. Noah nói, chừng nào giới trẻ còn tiếp tục chiêu mộ lẫn nhau, tội ác này sẽ còn tiếp diễn. "Hy vọng là nó sẽ chấm dứt, nhưng tôi không nghĩ điều đó sẽ xảy ra."
Ngày 20 tháng 8 năm 2024, Noah ra hầu tòa liên bang ở Jacksonville để nghe tuyên án, mặc bộ đồng phục tù nhân màu xanh navy với dòng chữ "TÙ NHÂN" in ở lưng. Trong một cuộc điện thoại đêm hôm trước, anh ta nói rằng mình "hồi hộp và phấn khích", dự kiến không quá tám năm tù, và lạc quan về yêu cầu của luật sư là năm năm tù.
Luật sư của ông, Kathryn Sheldon, khai trước tòa rằng Noah bị những kẻ đồng lõa lớn tuổi hơn xúi giục và bị lôi kéo vào trò chơi mà anh ta cho rằng là một trò chơi. "Vấn đề không phải ở chỗ đổ lỗi cho Coinbase hay bất kỳ tổ chức nào khác", bà nói, "nhưng các công ty trong danh sách Fortune 500 như AT&T và T-Mobile đã bị một nhóm thanh thiếu niên lừa đảo quá dễ dàng".
Noah đã xin lỗi các nạn nhân và gia đình họ, đồng thời hứa sẽ nâng cao nhận thức về nạn bóc lột mà anh ta phải chịu trách nhiệm. "Bất cứ khi nào có thể ra ngoài, tôi muốn tập trung vào việc hoàn thiện bản thân", anh nói.
Nhưng ông đã không nhận được sự tha thứ như mong đợi. Thẩm phán Tòa án Liên bang Harvey Schlesinger, cựu công tố viên 85 tuổi, đã phục vụ tại tòa từ năm 1991, đã đọc lời khai của một số nạn nhân của Noah, bao gồm một cựu lính cứu hỏa, người đã dựa vào dự trữ crypto của mình để chi trả cho việc thụ tinh trong ống nghiệm và một người về hưu bị buộc phải làm công việc chuyển phát nhanh sau khi mất tiền. Một chủ doanh nghiệp ở Minneapolis, người có dự trữ crypto, hàng trăm nghìn đô la dành cho con cái, đã bị Noah đánh cắp, đã ngồi tại khán đài trong phiên tuyên án.
Thẩm phán tuyên án Noah 10 năm tù giam - dài hơn mức công tố viên yêu cầu. Thẩm phán cho biết mặc dù hầu hết các tội ác của Noah xảy ra khi còn là trẻ vị thành niên, nhưng rõ ràng hắn "thông minh hơn hầu hết". Bản án dài hơn được kỳ vọng sẽ có tác dụng răn đe. Hắn gần như không nhúc nhích khi thẩm phán đọc danh sách dài các nạn nhân mà hắn nợ nần và yêu cầu hắn bồi thường 13,4 triệu đô la.
Đêm hôm sau, Noah gọi điện từ nhà tù. Anh nói rằng mình hối hận vì đã làm tổn thương gia đình và các nạn nhân, nhưng anh có vẻ hy vọng vào những tình bạn mà mình đã xây dựng. "Tôi không nói những gì tôi đã làm là tốt - đó là một cộng đồng tồi tệ, và những gì tôi đã làm là xấu," Noah nói. "Nhưng tôi yêu cuộc sống của mình. Tôi yêu con người mình. Tôi mừng vì đã được sống theo cách tôi đã sống."
