Mỹ và Europol triệt phá mạng lưới proxy SocksEscort, phong tỏa hàng triệu USD tiền mã hóa sau 15 năm hoạt động ngầm

Theo CoinDesk đưa tin ngày 12 tháng 3 (giờ địa phương), Bộ Tư pháp Mỹ (DOJ) và Cơ quan Hợp tác Tư pháp Hình sự Liên minh châu Âu Europol vừa phối hợp triệt phá mạng lưới *SocksEscort* – hạ tầng *từ tiền mã hóa* ngầm hoạt động gần 15 năm, bị tội phạm mạng lạm dụng để ẩn danh khi tấn công. Chiến dịch quốc tế này dẫn tới việc thu giữ hàng chục tên miền, máy chủ và phong tỏa số *từ tiền mã hóa* trị giá hàng triệu đô la.

*bình luận* Việc đánh trực diện vào “xương sống” của hạ tầng ẩn danh cho thấy cơ quan chức năng đang dịch chuyển trọng tâm, không chỉ truy bắt từng hacker mà nhắm tới toàn bộ chuỗi cung ứng phục vụ tội phạm *từ tiền mã hóa*.

Hoạt động suốt 15 năm, SocksEscort bị xác định là một mạng lưới proxy quy mô lớn, cung cấp lớp “trung gian” cho các nhóm tội phạm mạng che giấu vị trí thật. Theo thông cáo, chiến dịch phối hợp đã thu giữ 34 tên miền và đồng loạt chặn 23 máy chủ đặt tại 7 quốc gia. Cùng với đó, khoảng 3,5 triệu đô la *từ tiền mã hóa* (tương đương khoảng 5,2 tỷ won) đã bị phong tỏa, bị xem là nguồn thu từ hoạt động phạm tội.

Trên bề mặt, SocksEscort vận hành như một dịch vụ proxy thông thường. Tuy nhiên, kết quả điều tra cho thấy đây là “lớp hạ tầng” nòng cốt của nhiều chiến dịch tấn công: từ chiếm đoạt tài khoản, phát tán mã độc tống tiền (ransomware) cho tới các vụ lừa đảo *từ tiền mã hóa*. Thông qua lớp proxy này, kẻ tấn công có thể che giấu địa chỉ IP thực, khiến các cuộc tấn công trông giống như xuất phát từ người dùng bình thường.

Theo dữ liệu điều tra, SocksEscort đã lây nhiễm và kiểm soát khoảng 369.000 thiết bị tại 163 quốc gia. Danh sách nạn nhân bao gồm router gia đình, thiết bị IoT và địa chỉ IP của người dùng Internet phổ thông. Những thiết bị này bị cài mã độc AVRecon, sau đó được biến thành “máy chủ proxy mini”, cho phép tội phạm mạng mượn danh luồng truy cập hợp pháp để lách qua hệ thống phòng vệ của ngân hàng và các sàn giao dịch *từ tiền mã hóa*.

Đáng chú ý, từ đầu năm 2024, trung bình mỗi tuần có thêm khoảng 20.000 thiết bị mới bị lây nhiễm, cho thấy tốc độ mở rộng của botnet ngày càng tăng. Cơ quan chức năng ước tính trong suốt thời gian vận hành, mạng lưới này đã giúp tạo ra ít nhất 5,8 triệu đô la (khoảng 8,6 tỷ won) tiền thu bất chính. Một trường hợp điển hình được trích dẫn là nạn nhân tại New York bị chiếm quyền tài khoản thông qua SocksEscort và mất khoảng 1 triệu đô la *từ tiền mã hóa* (xấp xỉ 1,5 tỷ won).

Chiến dịch triệt phá được tiến hành dưới mật danh “Operation Lightning”, với sự tham gia của lực lượng chức năng ít nhất 8 quốc gia, trong đó có Pháp, Đức và Hà Lan. Khác với cách làm truyền thống tập trung vào việc lần theo từng cá nhân hacker, Operation Lightning nhắm thẳng vào hạ tầng cho phép tội phạm vận hành các chiến dịch xuyên biên giới.

Một lãnh đạo Europol nhấn mạnh, các dịch vụ proxy như SocksEscort đóng vai trò “lá chắn ẩn danh” cho luồng tiền bất hợp pháp di chuyển qua nhiều khu vực tài phán. Một khi hạ tầng này bị tháo dỡ, nhiều mắt xích trong mạng lưới tội phạm *từ tiền mã hóa* cũng mất đi lớp bảo vệ quan trọng.

Từ góc nhìn pháp lý và điều tra, chiến dịch lần này không chỉ kết thúc bằng việc hạ màn mạng lưới SocksEscort. Dữ liệu thu được từ các máy chủ bị thu giữ đang mở ra “giai đoạn hai” của cuộc truy quét. Theo thông tin được công bố, dịch vụ SocksEscort ghi nhận khoảng 124.000 người dùng đăng ký. Những người này đã sử dụng IP “giống IP hộ gia đình” để né các hệ thống phát hiện gian lận dựa trên địa chỉ IP của nhiều sàn *từ tiền mã hóa*.

Bằng việc mượn danh mạng hộ gia đình và các thiết bị IoT bị chiếm dụng, tội phạm đã triển khai nhiều hình thức tấn công khác nhau: chiếm quyền tài khoản, tấn công thử mật khẩu hàng loạt, thao túng giá thông qua giao dịch giả tạo, hay chiếm đoạt quyền kiểm soát tài khoản trên các nền tảng tài chính số. Phần lớn những hoạt động này vốn rất khó truy dấu do được ngụy trang thành truy cập “bình thường” của người dùng thật.

Phó Giám đốc FBI Jason Bilnoski cho biết, trên server thu giữ còn lưu trữ “khối lượng lớn” dữ liệu truy cập và giao dịch. Ông nhấn mạnh, hồ sơ của hàng nghìn người dùng đã bị lộ, và những dữ liệu này sẽ tiếp tục được sử dụng làm căn cứ cho các đợt truy tố mới trong thời gian tới.

*bình luận* Điều này đồng nghĩa nhiều đối tượng từng tin rằng mình “nặc danh” khi dùng hạ tầng như SocksEscort có thể đối diện rủi ro pháp lý, đặc biệt trong các vụ rửa tiền, lừa đảo và tấn công vào tài khoản *từ tiền mã hóa*.

Tác động của vụ việc đang lan sang toàn bộ thị trường *từ tiền mã hóa* và ngành an ninh mạng. Cơ quan quản lý tại nhiều khu vực tài phán được cho là sẽ tiếp tục siết chặt ranh giới giữa “công cụ bảo vệ quyền riêng tư hợp pháp” và “hạ tầng che giấu tội phạm”. Các công cụ proxy, VPN, mixer hay dịch vụ tăng cường ẩn danh nhiều khả năng sẽ bị soi kỹ hơn về mặt tuân thủ.

Một số sàn giao dịch tuân thủ quy định đã bắt đầu nâng cấp hệ thống đánh giá rủi ro truy cập, trong đó có cơ chế phân biệt kết nối đến từ nhà cung cấp dịch vụ Internet (ISP) hợp pháp hay từ botnet, proxy bị lạm dụng. Điều này có thể dẫn đến yêu cầu xác minh sâu hơn với những kết nối nghi ngờ, thậm chí từ chối hoặc giới hạn giao dịch trong trường hợp hệ thống nghi nhận rủi ro cao.

*bình luận* Về lâu dài, trend mới có thể khiến các bên tham gia thị trường *từ tiền mã hóa* phải đầu tư thêm vào công nghệ chống gian lận, phân tích hành vi và kiểm soát truy cập. Người dùng cuối cũng cần cân nhắc kỹ khi sử dụng các dịch vụ ẩn danh không rõ nguồn gốc, vì dữ liệu của họ hoàn toàn có thể trở thành tang chứng trong một cuộc điều tra xuyên biên giới.

Mạng lưới SocksEscort đã bị triệt phá, nhưng dữ liệu, dấu vết giao dịch và hồ sơ truy cập trên các máy chủ thu giữ cho thấy cuộc chiến pháp lý mới với tội phạm *từ tiền mã hóa* chỉ mới bắt đầu. Với hướng tiếp cận tập trung vào hạ tầng, các chiến dịch tương tự Operation Lightning nhiều khả năng sẽ còn tiếp diễn, tạo sức ép ngày càng lớn lên những “mạng lưới ngầm” từng được xem là không thể lần ra dấu vết.