Vụ tấn công mạng làm thay đổi lịch sử SEC

Khi một băng nhóm tội phạm mạng khét tiếng đến từ Ukraine tấn công vào một cơ sở dữ liệu quan trọng, SEC đã nhanh chóng hạ thấp mức độ nghiêm trọng của vụ việc. Nhưng một trong các tin tặc khẳng định hệ thống này đến nay vẫn là mục tiêu dễ bị tấn công.

Chương 1: Sám hối

Vụ việc, được trình bày trong đơn kiện dài 43 trang, đọc như một cuốn tiểu thuyết ly kỳ mua ở sân bay: Bọn tội phạm mạng người Ukraine đã xâm nhập vào một mạng máy tính khổng lồ lưu trữ các báo cáo lợi nhuận sắp được công bố của một số công ty lớn nhất nước Mỹ, rồi bán thông tin này cho một mạng lưới giao dịch mờ ám. Trong vụ việc này, SEC không chỉ là cơ quan điều tra, mà còn là nạn nhân. Tin tặc đã tìm ra cách đột nhập vào cơ sở dữ liệu Edgar của SEC, có lẽ là kho lưu trữ hồ sơ doanh nghiệp lớn nhất thế giới. Những tội phạm mạng này vốn đã bị SEC truy nã vì các hành vi trước đó. Chúng giống như những kẻ chạy trốn quay lại cướp phòng chứng cứ của cảnh sát trong khi cả đồn đang mải mê truy lùng chúng.

Vụ rò rỉ, được SEC công bố 16 tháng trước, đã trở thành cơn ác mộng với cơ quan này. Xét cho cùng, chính SEC là cơ quan xử phạt các công ty vì những sơ suất an ninh mạng. Một bài xã luận trên tờ Wall Street Journal giật tít: “Nỗi xấu hổ về an ninh mạng của SEC”. Các thượng nghị sĩ đã chất vấn Jay Clayton, chủ tịch SEC khi đó, về chuyện đã xảy ra và liệu SEC có còn đáng tin với các dữ liệu tài chính nhạy cảm hay không.

Thông cáo báo chí của SEC kèm đơn kiện dân sự đã phần nào trấn an dư luận. Lợi nhuận mà tin tặc thu được chỉ là vài triệu đô la. Lỗ hổng dẫn tới vụ tấn công đã được vá kịp thời. Dù những kẻ giao dịch đã thực hiện “nhiều bước để che giấu hành vi gian lận”, nhưng nhờ “phân tích tinh vi” của SEC, vụ án đã được phanh phui. “Hành động hôm nay cho thấy cam kết và năng lực của SEC trong việc vạch trần những âm mưu như thế này và xác định thủ phạm, ngay cả khi chúng hoạt động từ bên ngoài biên giới của chúng ta,” người đứng đầu bộ phận chấp pháp của SEC tuyên bố.

Cả SEC lẫn bộ Tư pháp (DOJ) đã truy tố các tin tặc vắng mặt với các tội danh gian lận chứng khoán và gian lận chuyển tiền. SEC cũng buộc tội bảy nhà giao dịch, gồm hai công dân Mỹ, vì đã tham gia âm mưu này, đồng thời mô tả bằng chứng chống lại họ là “rất rõ ràng”.

Đó là phiên bản chính thức của SEC về sự việc. Nhưng khi có người trong cuộc gợi ý tôi nên thử góc nhìn khác, tôi bắt đầu điều tra để tìm hiểu chính xác chuyện gì đã xảy ra, và liệu điều đó có thể tái diễn hay không. Tôi đã phỏng vấn người của DOJ, Mật vụ Mỹ, SEC và Cảnh sát mạng Ukraine; đã trò chuyện với các bị cáo đang bị áp lệnh cấm phát ngôn; và xem xét các bằng chứng thu giữ được từ các cuộc đột kích.

Những gì tôi phát hiện đã thách thức chính nền tảng của vụ kiện do SEC khởi xướng và cảnh báo nhiều nguy cơ đang phía trước. Sau khi bị xâm nhập một cách dễ dàng, SEC lại dồn nguồn lực điều tra vào những vật tế thần cấp thấp, những người khó thể là cầm đầu, và thật ra còn chưa chắc là tội phạm tài chính. Trong khi đó, những kẻ chủ mưu thực sự, cũng là những đối tượng nguy hiểm nhất, vẫn nhởn nhơ ngoài vòng pháp luật. Hệ thống từng bị tấn công vẫn tiếp tục được sử dụng. Và chính quyền Trump khi đó đang cắt giảm ngân sách cho an ninh mạng, vô hình trung làm suy yếu khả năng tự bảo vệ của các cơ quan chính phủ.

Ở trung tâm của câu chuyện này là một nhân vật gần như bị gạt ra khỏi bản tường thuật chính thức.

Chương 2: Vụ tấn công

Trong một tòa nhà chung cư tồi tàn bên ngoài thành phố Cherkasy, Ukraine, Olga Kuprina, hacker lừng danh biệt hiệu “Bóng ma trong vỏ bọc,” đang ngồi trước ba chiếc laptop. Đêm 22.12.2016, trời quang đãng và lạnh buốt bên dòng sông Dnieper, nhưng Kuprina, khi đó 34 tuổi, đã không bước chân ra ngoài suốt nhiều tuần. Cô bị một tay gangster tên Artem Radchenko giam giữ, người mà, theo lời cô kể lại với nhà chức trách và với tôi, liên tục gào thét yêu cầu cô làm việc trong khi hít cocaine. Ở phòng bên, một hacker thứ hai đang gõ phím điên cuồng. Những tên tay sai có vũ trang đứng canh gác.

Radchenko, khi đó mới 26 tuổi, ban ngày thường mặc đồ thể thao hàng hiệu, ban đêm đi giày da cá sấu. Hắn đã chiêu mộ Kuprina hai tháng trước để xâm nhập SEC và tìm các tài liệu chưa công bố. Hắn hy vọng sẽ bán được mỗi tài liệu với giá 200.000 đô la Mỹ trở lên và hứa chia cho cô một nửa. Nhưng khi Kuprina đòi phần của mình, cô kể Radchenko đã đánh vỡ mũi cô và không cho phép cô đi. (Radchenko đã từ chối trả lời các câu hỏi của Bloomberg Businessweek.)

Hiện giờ, ba ngày trước lễ Giáng sinh, Kuprina làm việc suốt đêm, thu thập tài liệu và chuyển vào một ổ USB. Lúc 5 giờ sáng, Radchenko rời đi với toàn bộ dữ liệu, kịp lúc cho một ngày giao dịch mới. Sau khi anh ta đi, Kuprina kể với tôi cô đã lén sao chép các tập tin vào một thư mục riêng của mình. Rồi cô ngả lưng trên một tấm nệm đặt trên sàn và nghĩ cách quay trở lại với cô con gái 7 tuổi.

Hệ thống Thu thập, phân tích và truy xuất dữ liệu điện tử của SEC — tức Edgar — vừa là một kỳ quan công nghệ thông tin, vừa như một con quái vật Frankenstein thở phì phò. Được tạo ra vào năm 1993 để các công ty nộp hồ sơ trực tuyến và để nhà đầu tư tra cứu, Edgar xử lý 3.000 hồ sơ mới và hàng triệu lượt tải mỗi ngày, vận hành bằng mã lập trình chắp vá, phần mềm lỗi thời và một hàng máy chủ phủ bụi bặm lắp đặt trong một tầng hầm ở Virginia.

“

Cấu trúc chắp vá của Edgar là giấc mơ với dân hacker, những kẻ luôn săn tìm các kẽ hở để khai thác.

Đến năm 2016, giới chức đã đồng thuận rằng hệ thống cần được thay thế, qua một kế hoạch nội bộ tên gọi Vụ nổ lớn (Big Bang). “Thách thức là làm sao thực hiện được thay đổi lớn lao này khi chúng ta vẫn đang điều khiển một chiếc máy bay phản lực siêu to khổng lồ trên bầu trời, không thể dừng lại mà không gây gián đoạn cho thị trường,” Rick Heroux, quan chức SEC chịu trách nhiệm cho kế hoạch hiện đại hóa, nhớ lại. “Luôn luôn có lý do để trì hoãn.”

Trong khi đó, bất cứ lúc nào cần vá víu phần mềm hoặc tính năng mới, người ta lại đưa nó thêm vào hệ thống hiện hữu. Cấu trúc chắp vá của Edgar là giấc mơ với dân hacker, những kẻ luôn săn tìm các kẽ hở để khai thác. Đúng như lời đồn, vào tháng 10.2016, bộ phận IT của SEC lưu ý thấy các địa chỉ IP từ Đông Âu xâm nhập vào nhiều phần của hệ thống lẽ ra là giới hạn truy cập. Nhóm kỹ thuật nhanh chóng xác định được một lỗ hổng phần mềm và tiến hành vá lỗi.

Câu hỏi đặt ra sau đó là liệu có nên công khai sự việc hay không. Theo quy định của chính SEC, các công ty phải công bố bất kỳ sự cố an ninh mạng nào có tính “trọng yếu,” nhưng giới quản lý IT không tìm thấy bằng chứng nào cho thấy thông tin chưa được công bố đã bị truy cập. Vì vậy, họ không đưa vụ việc ra công chúng.

Chương 3: Phát lộ

Ở một nơi khác trong trụ sở chính của SEC ở Washington, một tòa nhà bằng kính lớn được thiết kế để thể hiện tinh thần minh bạch của cơ quan này, các chuyên gia giám sát đang theo dõi thị trường nhằm phát hiện dấu hiệu của giao dịch nội gián. Các thành viên của đơn vị Chống lạm dụng thị trường lưu ý một số tài khoản môi giới ở Nga, Ukraine và Mỹ đang đặt cược với tiên đoán đúng như thần chỉ vài giờ hoặc vài ngày trước khi các công ty công bố báo cáo tài chính. Đầu năm 2017, trưởng đơn vị đã liên hệ với một công tố viên chuyên về tội phạm mạng tại văn phòng công tố liên bang ở New Jersey và thông báo: Chuyện đó lại đang xảy ra.

Từ năm 2010 đến 2014, tội phạm mạng nói tiếng Nga đã xâm nhập vào ba hãng thông tấn doanh nghiệp lớn của Mỹ — Business Wire, PR Newswire và Marketwired — và đánh cắp hàng nghìn báo cáo tài chính và thông cáo báo chí chưa được công bố, sau đó chuyển cho dân giao dịch để đổi lấy 40% lợi nhuận. Đây là ví dụ nghiêm trọng nhất cho đến thời điểm đó của loại hình tội phạm mới tên gọi “tấn công mạng để giao dịch.” Đường dây này đã kiếm được hơn 100 triệu đô la Mỹ trước khi bị DOJ, SEC và Mật vụ Hoa Kỳ triệt phá.

Một số thành viên sống tại Mỹ, bao gồm cả một mục sư Baptist, đã bị bắt giữ. Nhưng do không có hiệp ước dẫn độ giữa Mỹ và Ukraine, kẻ cầm đầu, một hacker 25 tuổi đô con, mặt búng ra sữa tên là Oleksandr Ieremenko, biệt danh Lamarez (chơi chữ mỉa mai theo từ “lame,” nghĩa là “đồ tồi”), vẫn nhởn nhơ ngoài vòng pháp luật. Hắn vẫn lái chiếc Lamborghini Huracán màu cam quanh Kyiv. Và giờ đây, theo quan sát của các điều tra viên, có vẻ hắn đã quay trở lại hoạt động.

Mật vụ Hoa Kỳ đã liên hệ với các hãng thông tấn, nhưng họ khẳng định không bị tấn công lần nữa. Các nhà chức trách tự hỏi vậy thì bọn hacker lấy đâu ra thông tin?

Kuprina được thả ra vào tháng 4.2017, sau khi một số người trong nhóm của Radchenko thuyết phục hắn để cô đi. Trước khi rời đi, Kuprina đã giấu vào túi xách một cuốn sổ tay đỏ và xanh có hình tượng Nữ thần Tự do trên bìa, cùng vài chiếc USB. Một vệ sĩ của Radchenko là người lái xe, và Kuprina đi ba tiếng đồng hồ để trở lại Kyiv, băng qua những cánh rừng phủ tuyết trắng, kinh hoàng trước nỗi sợ sẽ thủ tiêu. Nhưng thay vì vậy, cô được thả ở ngoại ô thành phố vào lúc rạng sáng. Khi về đến căn hộ nhà mình, cô ôm chầm lấy mẹ, chui vào giường nằm cạnh con gái và lịm đi vì kiệt sức.

Những ngày sau đó, nỗi sợ hãi của Kuprina dần biến thành cơn giận dữ. Cô gõ một tin nhắn Skype gửi cho Rich LaTulip, chuyên gia tội phạm mạng thuộc cơ quan Mật vụ Hoa Kỳ, người đã theo dõi cô suốt một thời gian dài đến mức gần như trở thành bạn bè. Có người đã hack SEC, cô nói với LaTulip, và cô có bằng chứng.

SEC đã đầu tư mạnh vào các công cụ phân tích dữ liệu nhằm phát hiện các giao dịch thành công đến mức phi lý. Trọng tâm của nỗ lực này là hệ thống Artemis, theo tên nữ thần săn bắn trong thần thoại Hy Lạp, hệ thống sẽ phân tích hồ sơ giao dịch và dữ liệu người dùng để tìm dấu hiệu hoạt động đáng ngờ.

Khi các điều tra viên tìm kiếm người có khả năng đã nhận thông tin nội gián, họ chú ý đến Sungjin Cho và David Kwon, hai tay giao dịch trong ngày ưa tiệc tùng sống cách nhau chỉ vài cây số ở khu Phố Hàn, Los Angeles. Trong vòng bốn tháng năm 2016, Cho (36 tuổi, còn sở hữu một căn hộ ở Bangkok) đã thực hiện các giao dịch trước thời điểm công bố báo cáo tài chính hơn một trăm lần, thu về 1,2 triệu đô la. Kwon thì kiếm được hơn 400 ngàn đô la. Các giao dịch của họ trùng khớp với hoạt động mua bán của một người Ukraine tên là Ivan Olefir, người cùng hai người bạn khác đã kiếm được hơn 800 ngàn đô la.

Các điều tra viên phát hiện ra Cho và Olefir cũng từng thắng đậm liên tục trong giai đoạn 2012-2014 khi giao dịch cổ phiếu của nhiều công ty mà hồ sơ bị Ieremenko đánh cắp trong các vụ tấn công vào các hãng thông tấn.

Cho là đồng sở hữu của CY Group, một công ty giao dịch nhỏ tại Los Angeles chuyên cấp vốn và quyền truy cập giá rẻ vào các sàn giao dịch Mỹ cho các nhà giao dịch độc lập từ khắp thế giới, gồm Olefir và một số người khác ở Kyiv. Công ty này đã bị một đơn vị khác của SEC điều tra vì hoạt động môi giới không phép.

Vào tháng 5.2017, tại khách sạn Hyatt Regency ở Kyiv, Kuprina đã gặp Rich LaTulip, một số đặc vụ khác của Mật vụ Hoa Kỳ và một người của cơ quan cảnh sát mạng Ukraine. Bằng tiếng Anh bập bẹ, cô kể lại câu chuyện về vụ tấn công vào hệ thống Edgar.

Sau khi đường dây hack các hãng thông tấn do Ieremenko điều hành bị triệt phá, hắn hợp tác với Radchenko, cậu ấm con nhà nông giàu có mà hắn quen từ giới ăn chơi ở Kyiv. Radchenko có tham vọng lớn nhưng kỹ năng kỹ thuật lại hạn chế. “Hắn chỉ là loại tay mơ đi sao chép người khác,” Kuprina nói khinh bỉ.

Theo lời Kuprina, Ieremenko và Radchenko đã bày ra một kế hoạch: Ieremenko sẽ tấn công tổng hành dinh, tức chính SEC, còn Radchenko kiếm tiền từ dữ liệu đánh cắp qua các mối quan hệ của anh ta trong giới chính trị và tội phạm có tổ chức ở Nga và Ukraine. Họ thuê văn phòng ở Kyiv và đăng ký công ty tại Anh với cái tên nghe có vẻ hợp pháp Benjamin Capital để thu hút nhà đầu tư bên ngoài.

“

“Có quá nhiều lỗ hổng mà quý vị không thể tưởng tượng nổi,”

Ieremenko phát hiện ra một khu vực trong hệ thống Edgar nơi các công ty có thể tải lên hồ sơ thử nghiệm để kiểm tra lỗi định dạng trước khi công bố chính thức. Một số hồ sơ dùng số liệu giả, nhưng nhiều hồ sơ khác là thật. Ieremenko nhanh chóng tải về hàng trăm hồ sơ thử nghiệm này mỗi tuần. Radchenko bán lại hồ sơ và tiêu xài hoang phí vào rượu vang cao cấp và một chiếc Bentley. Đến khi SEC vá được lỗ hổng này vào tháng 10.2016, quan hệ giữa hai người đã đổ vỡ.

Lúc đó, Radchenko đã chiêu mộ Kuprina. Trong chưa đầy hai tuần, theo lời cô kể với các đặc vụ, cô đã đột nhập được vào hệ thống Edgar. Cô chiếm quyền truy cập tạm thời của những người dùng được ủy quyền. Cố tiến hành tấn công giả mạo phishing bằng cách gửi email chứa liên kết độc hại đến các quản trị viên, ngụy trang dưới dạng thư từ đồng nghiệp trong SEC. Cô định vị được một lỗ hổng trên trang web nhận khiếu nại. Cô tìm thấy một bản danh sách liệt kê tiêu đề các hồ sơ chưa công bố. “Có quá nhiều lỗ hổng mà quý vị không thể tưởng tượng nổi,” cô nói với tôi. Từ tháng 10.2016 đến tháng 3.2017, Kuprina đã tải xuống hàng chục tài liệu chứa thông tin mật có thể ảnh hưởng đến giá cổ phiếu.

Sau cuộc gặp, LaTulip báo cáo những gì ông nghe được cho DOJ, và họ chuyển thông tin cho SEC. Nhưng theo các nguồn tin tham gia cuộc điều tra, các luật sư thuộc bộ phận chấp pháp của SEC ban đầu khó lòng tin nổi chính cơ quan này lại là mục tiêu: Họ khăng khăng rằng SEC luôn cẩn thận tránh lưu giữ thông tin nhạy cảm có thể tác động đến giá cả.

Một tuần sau, các công tố viên của DOJ bay đến Kyiv để trực tiếp thẩm vấn Kuprina. Lần này, Kuprina mang theo cuốn sổ tay màu đỏ xanh và các ổ USB. Chúng không chỉ tiết lộ những hồ sơ cô đã lấy và bằng cách nào, mà còn cho thấy Ieremenko đã làm gì trước khi cô tham gia.

Mất bốn tháng, đội ngũ IT của SEC mới xác minh được lời khai của Kuprina. “Chúng tôi cứ liên tục quay lại và nói, ‘Các anh cần kiểm tra lại lần nữa,’” một công tố viên nhớ lại. Khi cuối cùng họ tìm thấy dấu vết những kẻ tấn công, sự thật là không thể chối cãi: nguồn gốc của các giao dịch đáng ngờ mà SEC đã theo dõi suốt nhiều tháng chính là từ SEC.

Jay Clayton mới giữ chức Chủ tịch SEC được ba tháng khi được báo cáo về những thông tin từ Kyiv. Thay vì giữ kín trong khi các công tố viên chuẩn bị cho công tác truy tố, Clayton, một luật sư điềm đạm xuất thân từ công ty luật Sullivan & Cromwell, kiên quyết cho rằng SEC phải công khai sự việc. “Tôi nói, ‘Nghe này, mọi người, hãy nhìn vào vai trò của chúng ta trong hệ sinh thái này, chúng ta là cơ quan công bố thông tin, đây là vấn đề mà mọi công ty đều đang đối mặt, chúng ta phải xử lý nó giống như bất kỳ tổ chức hoạt động tốt nào cũng sẽ làm,’” ông nói với tôi.

Ngày 26.9.2017, Clayton xuất hiện trước ủy ban Ngân hàng Thượng viện để trả lời lý do vì sao SEC đã không bảo vệ được hệ thống Edgar và không công bố vụ xâm nhập từ một năm trước. Các nghị sĩ thừa nhận đó không phải lỗi của Clayton, nhưng trách nhiệm tìm ra thủ phạm giờ thuộc về ông. “Đây là chuyện lớn,” Thượng nghị sĩ Jon Tester (Đảng Dân chủ, tiểu bang Montana) nói lúc bấy giờ. SEC không cho biết chính xách thì họ đã phát hiện ra vụ hack như thế nào, nên không ai đặt câu hỏi điều gì sẽ xảy ra nếu Kuprina không lên tiếng tố giác.

Chương 4: Cuộc điều tra

Ngày 28.11.2018, Kuprina lên máy bay tại sân bay quốc tế Boryspil, ngoại ô Kyiv, cùng LaTulip và một đồng nghiệp của ông ở cơ quan Mật vụ Hoa Kỳ. Sáng hôm đó, cô đã tạm biệt mẹ và con gái, không biết bao giờ mới được gặp lại họ.

Sau khi Kuprina đứng ra tố giác vào năm trước, Bộ Tư pháp Hoa Kỳ đã đề nghị một thỏa thuận: Hãy đến Mỹ, nhận tội, giúp chúng tôi điều tra tội phạm mạng, và chúng tôi sẽ làm tất cả những gì có thể để giảm nhẹ bản án và giúp cô bắt đầu một cuộc sống mới. Không còn nhiều lựa chọn, Kuprina đã đồng ý. Trong các cuộc gặp với quan chức chính phủ tại đại sứ quán Mỹ ở Kyiv, cô kể lại toàn bộ hành trình phạm tội của mình.

“

Cô bắt đầu đánh cắp dữ liệu thẻ tín dụng và bán trên các diễn đàn, với biệt danh Ghost in the Shell (tựa một manga và anime viễn tưởng nổi tiếng), vì cô luôn cố không để lại dấu vết.

Sinh ở Kyiv năm 1982, Kuprina là con gái của hai nhà khoa học và cháu gái một vị tướng KGB. Sự sụp đổ của Liên Xô đẩy gia đình cô vào cảnh nghèo khó. Kuprina thường tháo rời các thiết bị điện tử ngay trên bàn bếp, đọc ngấu nghiến sách hướng dẫn kỹ thuật phức tạp từ đầu đến cuối, và mày mò trên các diễn đàn nhắn tin thời tiền internet, nơi cô lần đầu được tiếp xúc với thế giới hacker. Cô bắt đầu đánh cắp dữ liệu thẻ tín dụng và bán trên các diễn đàn, với biệt danh Ghost in the Shell (tựa một manga và anime viễn tưởng nổi tiếng), vì cô luôn cố không để lại dấu vết. Một trong những bộ phim yêu thích của cô là Hackers (1995). Cô đồng cảm với nhân vật do Angelina Jolie thủ vai, một người phụ nữ quyến rũ, tự tin giữa thế giới đầy những người đàn ông bốc đồng, vụng về trong giao tiếp xã hội.

Năm 2007, sau khi lấy bằng thạc sĩ kép về khoa học máy tính và kỹ thuật IT, Kuprina kết hôn với một hacker khác. Không lâu sau đó, cô mang thai. Giới tội phạm mạng tinh hoa thường hoạt động theo mô hình hợp tác, và từ năm 2007 đến 2017, Kuprina đã tham gia hàng loạt vụ tấn công mạng đình đám nhắm vào Citigroup, JetBlue Airways, Nasdaq, Dow Jones, Business Wire, thậm chí cả NASA.

Cô tập tành đua xe hơi và mua một căn hộ ven sông. Thỉnh thoảng, cô cho con gái nghỉ học ở trường tiểu học để đi cùng mẹ trong những chuyến lái xe đi gặp gỡ đối tác, trong tiếng nhạc techno vang dội. Nhưng cuộc phiêu lưu hấp dẫn và hái ra tiền đấy ngày càng trở nên u ám. Chồng cô bỏ đi. Và cô mất quyền truy cập vào công nghệ và mật khẩu sau một cuộc đột kích, buộc phải làm việc ngày đêm trong khi mẹ cô chăm sóc cháu ngoại. Khi bước lên máy bay, Kuprina chỉ còn là một bà mẹ đơn thân, nghiện rượu, với nhiều kẻ thù nguy hiểm sau lưng.

Sau khi đặt chân đến Mỹ, Kuprina bị đưa vào một trại giam ở Newark, bang New Jersey, và được phát cho bộ đồ tù màu cam. Những tuần tiếp theo, các công tố viên liên tục thẩm vấn cô về lỗ hổng trong hệ thống Edgar, cách cô thiết lập các lỗ giun liên kết giả và lý do cô tin rằng những hacker khác từng xâm nhập hệ thống trước cô và Ieremenko.

Sau phiên điều trần của Clayton trước Thượng viện, Văn phòng Tổng Thanh tra (OIG) của SEC bắt đầu tiến hành phỏng vấn nhân viên. Trọng tâm của cuộc điều tra không phải là chi tiết về vụ tấn công mạng, mà là lý do nào khiến cánh cửa két sắt mong manh đến vậy — và tại sao không ai lên tiếng khi thấy nó đã bị cạy mở. Những người từng đọc báo cáo của OIG mô tả nó là cực kỳ gay gắt, nhưng tài liệu này chưa bao giờ được công bố vì chứa thông tin nhạy cảm liên quan đến an ninh mạng của SEC. (SEC từ chối mọi yêu cầu cung cấp thông tin từ tôi, ngay cả các bản đã có kiểm duyệt. Họ cũng từ chối cử người trả lời phỏng vấn về vụ hack hoặc hệ thống Edgar.)

Thay vào đó, vào ngày 21.9.2018, OIG công bố một bản tóm tắt nhạt nhẽo vỏn vẹn một trang cho biết “hệ thống Edgar thiếu sự quản trị phù hợp” và “quy trình xử lý sự cố” của SEC cần được cải thiện. Bản thông cáo hầu như không được để ý trên truyền thông. Tương tự là sự kiện giám đốc thông tin và cố vấn an ninh mạng cấp cao của SEC ra đi vài tuần sau đó.

Sau khi công bố vụ xâm nhập, SEC đã đề nghị Quốc hội cấp thêm ngân sách để cải thiện an ninh mạng cho họ. Tuy nhiên, thay vì thay thế Edgar, giám đốc của văn phòng Quản lý Edgar mới thành lập lại chọn phương án gia cố hệ thống hiện hữu. Đây là sự thay đổi thái độ đáng ngạc nhiên: Từ năm 2014, SEC đã chi 10,6 triệu đô la cho hai nhà thầu để thiết kế một mạng mới dễ sử dụng hơn, ít bị gián đoạn hơn và quan trọng nhất là an toàn hơn trước những kẻ xâm nhập. Giờ thì dự án Vụ nổ lớn đã bị xếp xó.

Quyết định này đã chọc giận Rick Heroux, quan chức SEC phụ trách dự án cải tổ. Tháng 10.2018, ông thông báo sẽ từ chức với SEC. Trong bức thư lời lẽ gay gắt mà Businessweek có được, ông mô tả Edgar là “cũ kỹ và dễ vỡ,” có nguy cơ sụp đổ hoàn toàn. “SEC đang tham gia một cuộc chạy đua vô cùng quan trọng để ngăn chặn thảm họa,” ông viết.

Trong quá trình điều tra vụ hack các hãng thông tấn, nhà chức trách tìm thấy nhiều bằng chứng rõ ràng liên kết các hacker với các nhà giao dịch, gồm email và hồ sơ tài chính. Một người tham gia đã hợp tác với chính quyền và sẵn sàng ra làm chứng trước tòa.

Vụ Edgar hóa ra không dễ xử lý. Sau khi xin được lệnh khám xét email và tài khoản iCloud của các hacker, DOJ lập danh sách những nghi phạm mà họ cho rằng đã nhận các báo cáo tài chính bị đánh cắp. Hoạt động riêng rẽ, sau khi nghe lén điện thoại của Radchenko, cảnh sát mạng Ukraine xác định được sáu doanh nhân ở Nga và Ukraine đã mua lại các tài liệu này. Trong các biên bản mà tôi được nghe kể lại, Ieremenko và Radchenko than phiền rằng khách hàng kiếm được cả chục triệu đô la, trong khi họ chỉ được vài trăm nghìn. Nhưng nhà chức trách không thể tìm thấy bằng chứng là đã có giao dịch phạm pháp. Theo lời những người chỉ điểm, những người mua đã học cách né thị trường Mỹ, mà giao dịch công cụ phái sinh qua các hãng môi giới nước ngoài.

Có hai ngoại lệ, hai người có mối liên hệ rõ ràng với Radchenko, đã kiếm được 1,4 triệu đô la gần như hoàn toàn từ giao dịch cổ phiếu các công ty bị hack trên thị trường Mỹ, rồi rút tiền mặt. Nhưng vì Mỹ không có hiệp ước dẫn độ với Ukraine và Nga, khó có khả năng hai người này sẽ bị đưa ra trước công lý.

Rồi còn có Cho, Kwon và Olefir, những tay giao dịch trong ngày đã bị hệ thống giám sát của SEC phát hiện. Họ thường xuyên thực hiện giao dịch trong khoảng thời gian từ khi một hồ sơ bị đánh cắp đến khi báo cáo tài chính chính thức công bố. Tỉ lệ cược thắng của họ vượt xa bất kỳ khả năng dự đoán hợp lý nào.

Rà soát sơ bộ các cuộc trao đổi của bộ ba này lại không cho thấy mối liên hệ rõ ràng nào với vụ hack. Chỉ có một email duy nhất từ năm 2016, trong đó Cho viết cho một người bạn ở Thái Lan mà anh ta đang quản lý giúp tài khoản 5.000 đô la. “Bất kỳ tài khoản bên ngoài nào… đều phải cắt phế cho nhóm lập trình,” Cho viết, và nói thêm rằng mức phí là 45%. Có thể cụm từ “nhóm lập trình” ám chỉ các hacker, vốn từng đòi 40% với bất kỳ khoản lợi nhuận nào trong vụ hack các hãng thông tấn?

Các điều tra viên cũng phát hiện một chuỗi email đầy hứa hẹn từ năm 2010 giữa Ieremenko và một doanh nhân trẻ người Ukraine, được SEC đặt biệt danh là “Cá nhân số 4.” Người này thuộc nhóm bạn của Olefir và từng có tài khoản tại công ty của Cho trong thời gian xảy ra vụ hack các hãng thông tấn. Dù các email không liên quan trực tiếp — doanh nhân này đang tìm lập trình viên cho một dự án tiền mã hóa — và xảy ra từ trước vụ hack các hãng thông tấn, nhưng chúng vẫn gợi lên khả năng có mối liên hệ ngầm.

Với dữ liệu giao dịch và các email trong tay, SEC cảm thấy đủ tự tin để bắt đầu soạn đơn kiện chống Ieremenko, người đã để lại dấu vết số xuất trong Edgar, cùng sáu, bảy người giao dịch khác. Nội bộ SEC xuất hiện áp lực lớn đòi đưa vụ việc đến hồi kết. Hơn nữa, ai biết được nhà chức trách sẽ còn tìm thấy những gì một khi họ xâm nhập vào điện thoại các tay giao dịch? Hoặc khi lục soát nhà họ? Có thể họ sẽ tìm được một nhân chứng sẵn sàng lên tiếng.

DOJ, vốn đang tiến hành một cuộc điều tra song song, thì thận trọng hơn. Giới chức phụ trách mảng hình sự của DOJ, với quyền truy tố và bỏ tù, buộc phải đáp ứng tiêu chuẩn bằng chứng cao hơn so với các cơ quan dân sự như SEC, và ngoài các bản ghi giao dịch, không có gì cụ thể liên kết nhóm các nhà giao dịch này với tội ác.

Không như hai người bạn của Radchenko, những kẻ đặt cược lớn rồi nhanh chóng rút lui, nhóm của Cho không hề rút tiền hay che giấu hoạt động; họ giao dịch qua các tài khoản môi giới ở Mỹ dưới tên thật, và trong trường hợp của Cho, thậm chí cả tên mẹ anh ta. Các công tố viên bắt đầu xây dựng cáo trạng tập trung hoàn toàn vào Ieremenko và Radchenko. Họ lên kế hoạch đột kích các nhà giao dịch và bổ sung họ vào cáo trạng nếu tìm thấy bằng chứng cụ thể trong quá trình khám xét.

Chương 5: Đột kích

Vào lúc 4g30 sáng ngày 8.1.2019, Cho bị đánh thức bởi tiếng đập mạnh phát ra từ sân sau căn nhà phố mới tân trang của anh ở trung tâm Los Angeles. Lảo đảo đi xuống cầu thang trong chiếc quần lót, anh sững sờ thấy các đặc vụ vũ trang của FBI và Mật vụ Hoa Kỳ đang đứng chờ bên ngoài cửa kính.

Mở cửa ra, một đặc vụ la lớn.

Cho làm theo lệnh, và khoảng một tá đặc vụ ập vào trong, theo lời kể của anh sau này. Họ còng tay anh và cả người phụ nữ mà anh mới hẹn hò được ba tuần, rồi dẫn cô xuống phòng karaoke dưới tầng hầm. Một đặc vụ mặc áo gió có logo FBI yêu cầu Cho giao nộp điện thoại. Rồi ông ta đưa cho anh một lệnh khám xét và bắt đầu tra hỏi: Máy tính HP anh dùng từ năm 2012 đến 2014 đâu? Mấy cái MacBook của anh đâu? Anh có bao nhiêu điện thoại?

Các đặc vụ dựng một chiếc bàn tạm, nơi một chuyên gia pháp y bắt đầu kiểm tra thiết bị của Cho.

Mật khẩu là gì? vị chuyên gia hỏi.

Số 1, Cho nhớ là đã đáp vậy.

Anh đánh vần được không? vị chuyên gia hỏi, có vẻ bối rối.

Ý tôi là, cứ gõ đúng như vậy, số 1, Cho đáp.

Lúc này, Cho đang run lên vì lạnh và hỏi liệu anh có thể mặc quần dài được không. Khoảng một tiếng sau, một đặc vụ dẫn anh lên tầng trên, vào một phòng ngủ ngập ánh đèn neon, nơi có một chiếc két sắt gắn vào tường. Mã mở két là gì? đặc vụ hỏi. Cho chần chừ, không muốn tiết lộ. Có cần khoan két không? đặc vụ hỏi. Cho đành đồng ý và nhập dãy số. Bên trong là một ít thuốc lắc và một túi lớn nấm ảo giác.

Tôi tổ chức tiệc tân gia tối nay mà! Cho giải thích.

Đặc vụ không đổi sắc mặt. Chúng tôi không đến đây vì mấy thứ đó, anh ta nói. Anh có chơi chứng khoán đúng không? Đúng, tôi có một công ty giao dịch, Cho đáp. Anh có biết Oleksandr Ieremenko không? Không, Cho nói. Còn Artem Radchenko? Cho nói không. Ivan Olefir? Anh ấy là đối tác của tôi ở Ukraine, Cho nói. Có chuyện gì vậy? Anh đã bao giờ giao dịch dựa trên thông tin bị hack chưa? Chưa bao giờ, Cho nói.

“Tôi cũng không biết chúng tôi mong sẽ tìm thấy gì, nhưng anh ta chẳng giống tội phạm máu mặt chút nào,” một đặc vụ tham gia cuộc lục soát nhớ lại. “Chỉ là một gã trai trẻ ngờ nghệch, hoảng loạn vì chúng tôi phát hiện ra chỗ đồ chơi bay bổng của anh ta.”

Cách đó hơn ba cây số, David Kwon đang run lập cập ngoài hành lang căn hộ nhà mình, trong khi đặc vụ FBI lục tung mọi thứ bên trong. Khi họ rời đi, anh nguyền rủa ngày đã gặp Cho. Chỉ trong hai tuần, tên cả hai người sẽ xuất hiện khắp nơi, từ CNBC đến New York Times.

Trong tháng đó, SEC đệ trình đơn kiện chi tiết dài 43 trang. Tuy nhiên, tài liệu này chỉ kể một phần câu chuyện. Một mặt, cái tên Kuprina hoàn toàn bị xóa khỏi hồ sơ. Bất kỳ ai đọc đơn kiện và thông cáo báo chí đi kèm đều sẽ kết luận rằng vụ tấn công Edgar chỉ diễn ra từ tháng 5 đến tháng 10.2016 và do một mình Ieremenko thực hiện. Đơn kiện viết sau tháng 10.2016, “những người khác” đã thực hiện “các nỗ lực khác,” nhưng những nỗ lực đó có vẻ không thành công.

Tuy nhiên, theo lời hơn nửa tá điều tra viên từ DOJ, cơ quan Mật vụ và Cảnh sát mạng Ukraine, lẫn chính Kuprina, Kuprina đã tiếp tục tải xuống các tài liệu giá trị trong sáu tháng nữa, đến tận tháng 3.2017. Họ nói bằng chứng nằm trong cuốn sổ tay và USB của cô. SEC, vốn đã đệ đơn kiện trước khi thẩm vấn Kuprina, từ chối bình luận về mâu thuẫn này.

“

Đến tận ngày nay, sự thật về gần như mọi khía cạnh của vụ hack Edgar, từ quy mô số tiền phi pháp kiếm được đến vai trò của Kuprina trong việc tố giác, chưa bao giờ được công bố.

Ngoài ra, đơn kiện của SEC còn không phản ánh được quy mô thực sự của đường dây tội phạm, hoàn toàn không nhắc tới các doanh nhân Đông Âu khách hàng chính của Radchenko. Thay vì vậy, SEC tập trung vào Cho, Kwon, Olefir và một vài cá nhân nhỏ lẻ khác. Nhóm này chỉ kiếm được khoảng 3,6 triệu đô la. Đó chỉ là số lẻ so với hàng chục triệu mà các cơ quan điều tra hình sự ở Mỹ và Ukraine tin là khoản lợi nhuận thật sự, dựa trên liên lạc và điện thoại bị ghi âm của các hacker.

Cách SEC trình bày vụ việc giúp họ tránh được phần nào sự bẽ mặt. Đến tận ngày nay, sự thật về gần như mọi khía cạnh của vụ hack Edgar, từ quy mô số tiền phi pháp kiếm được đến vai trò của Kuprina trong việc tố giác, chưa bao giờ được công bố.

Phiên bản hẹp của SEC biến Cho thành tâm điểm của âm mưu này. Email mà anh viết cho người bạn ở Thái Lan yêu cầu một khoản hoa hồng để trả cho các lập trình viên ư? SEC gọi email đó là để chỉ “việc trả thù lao cho Ieremenko và những người khác cộng tác với anh ta.”

Trong phần “mạng lưới liên kết” của đơn kiện, SEC mô tả Cá nhân số 4, cộng sự của Olefir, là mắt xích kết nối giữa nhóm hacker và các nhà giao dịch, và có nhắc đến, nhưng không trích dẫn trực tiếp, email về tiền mã hóa mà người này gửi cho Ieremenko vào năm 2010.

Vụ kiện của SEC khá mỏng về bằng chứng, nhưng cơ quan này vẫn lạc quan rằng các máy tính xách tay và thiết bị thu giữ trong các cuộc đột kích, một khi được phân tích, sẽ cung cấp thêm bằng chứng.

Chương 6: Lỗ hổng

Vào một ngày thứ tư u ám tháng 4.2019, Cho và luật sư của anh, Sean Prosser, cựu công tố viên của SEC, hạ cánh xuống New Jersey trước cuộc gặp với DOJ. Với Cho, vài tuần vừa qua căng thẳng vô cùng. Bạn bè nghi ngờ anh. Đối tác kinh doanh thì xa lánh. Cha anh, giáo sư ngành tài chính từng cố vấn cho cơ quan tương đương SEC ở Hàn Quốc, cũng từ chối nhấc máy khi anh gọi. Sau bữa tối hôm đó, Prosser nói Cho đừng uống nữa và hãy đi ngủ sớm. Ngay cả nếu tôi có xỉn quắc cần câu, thì câu chuyện của tôi vẫn không thay đổi, vì đó là sự thật, Cho đáp. Nhớ đừng say xỉn đó, Prosser nói.

Sáng hôm sau, tại văn phòng FBI ở Newark, Cho và luật sư của anh ngồi trong phòng họp, đối diện với đại diện từ DOJ và SEC. Đây là một cuộc gặp chuẩn bị cho phiên tòa, không ghi biên bản và không thể dùng làm bằng chứng ở tòa. Nhưng nếu Cho nói dối, anh có thể bị truy tố tội hình sự. Biết rõ thói quen nói dài dòng của Cho, Prosser dặn anh nếu thấy ông chạm nhẹ vào chân, thì hãy ngừng nói.

Theo lời kể của nhiều người tham dự, Cho nói với nhóm điều tra rằng vụ kiện chống lại anh là một sai lầm, và anh có lời giải thích rõ ràng. Cho nói suốt nhiều năm, anh cùng nhóm của Olefir đã theo dõi các công ty sắp công bố báo cáo tài chính, tìm kiếm dấu hiệu mua bán bất thường có thể chỉ ra rằng có người đang giao dịch dựa trên thông tin nội gián.

Họ mua các nguồn dữ liệu ít người biết, theo dõi các giao dịch bóng tối (“dark pool,” tức các giao dịch đặt lệnh và tiến hành giao dịch không công khai ý định cho tới khi giao dịch thực sự diễn ra, nhằm tránh để việc đặt lệnh ảnh hưởng tới giá chứng khoán), và phát triển thuật toán để nhận diện khi những người tham gia tìm cách âm thầm gom cổ phiếu.

Khi phát hiện giao dịch đáng ngờ, họ sẽ bám theo, điều chỉnh khoản cược tùy theo mức độ tin tưởng vào dấu hiệu đó. Vì vậy không có gì lạ khi hoạt động giao dịch của họ đôi khi khớp với các vụ hack — chiến lược của họ là vậy. Trong các tin nhắn, họ gọi chung những người giao dịch nội gián, mà Cho thề là họ không biết biết danh tính cụ thể, bằng biệt danh “quỹ siêu cấp.”

Cho và Olefir quen nhau từ năm 2007, khi Olefir và một nhóm bạn người Ukraine đăng ký làm khách hàng của CY Group. Khác với phần lớn nhà đầu tư cá nhân, Olefir, con trai một viên cảnh sát, sống nội tâm và có bằng tiến sĩ khoa học, cho thấy khả năng kiếm lời ổn định.

Năm 2009, Cho đến Kyiv thăm Olefir và nhóm của anh, rồi ở lại cả tháng. Khi Cho mua căn hộ ở Bangkok, Olefir cũng đến nghỉ mát. Cho dần đầu tư ngày càng nhiều tiền cho Olefir, đổi lấy một phần lợi nhuận, rồi còn cho Olefir cả quyền truy cập vào tài khoản của bạn bè để giao dịch. (Với bạn bè, Cho nói chính anh là người thực hiện giao dịch, có tham khảo ý kiến từ một nhóm “lập trình viên” ở Ukraine.) Hai người thường gọi nhau là tovarich, tiếng Nga nghĩa là “đồng chí.”

“

Đó có phải là hành vi của một người đang nắm trong tay thông tin gần như chắc thắng không? Cho hỏi.

Khi các công tố viên gặng hỏi Cho về việc anh thực sự biết gì về chiến lược giao dịch của Olefir, Cho thừa nhận rằng sau khi SEC đệ đơn kiện, anh bắt đầu nghi ngờ. Olefir sống cùng thành phố với nhóm hacker. Anh ta là người đưa ra hầu hết các quyết định giao dịch. Nhưng Cho nói anh đã gạt bỏ nghi ngờ khi nhớ ra Olefir luôn rất cẩn trọng, gần như lúc nào cũng phòng ngừa rủi ro và hiếm khi đặt cược quá vài chục nghìn đô, dù hoàn toàn đủ sức chơi tiền triệu. Đó có phải là hành vi của một người đang nắm trong tay thông tin gần như chắc thắng không? Cho hỏi.

Để chứng minh lời giải thích của anh không phải là nói vuốt đuôi, Cho đưa ra một email từ năm 2013 từ Olefir gửi cho nhà môi giới của họ, người lúc đó thắc mắc làm sao họ có thể đoán đúng một mạch nửa tá cổ phiếu liên tiếp. Trong email, mà tạp chí Businessweek đã xem được, Olefir viết “chiến lược [của chúng tôi] dựa trên tham gia thị trường trước khi một quỹ đầu cơ hoặc một hãng có năng lực thao túng thị trường thực hiện một giao dịch rất lớn theo chiều hướng bất thường.” Ngoài ra, họ còn xem xét các yếu tố “đột biến về khối lượng quyền chọn mua hoặc bán,” tốc độ tăng mua hoặc bán, và liệu cổ phiếu đó có tiền sử về giao dịch mang tính tiên đoán hay không.

Rồi còn cuộc điều tra của SEC với CY Group giai đoạn 2015-2017, do công ty này thu hoa hồng mà không có giấy phép, dẫn đến khoản phạt 35.000 đô la. Công ty đã phải giao nộp hàng loạt tài liệu, bao gồm dữ liệu giao dịch. Cho nhớ lại mình đã nói với các điều tra viên lúc đó: Loại ngu ngốc nào lại đi giao dịch nội gián dưới chính tên mình, khi SEC đang dò xét nghiêm ngặt? Tôi đâu gan tới cỡ đó!

Nhưng trên thiết bị và dịch vụ đám mây của Cho, nhà chức trách quả đã tìm thấy bằng chứng.

Bằng chứng về thuốc kích thích để giải trí. Về giao dịch bằng tài khoản môi giới đứng tên người khác Về việc chuyển tiền cho những dự án không hề tồn tại. Cho thậm chí đã làm giả thẻ An sinh xã hội cho bạn gái, và vẫn còn lưu mẫu phôi trên ổ cứng.

Điều mà nhà chức trách không tìm thấy, trong vô số những đoạn hội thoại qua tin nhắn hay bất kỳ tài liệu nào khác, là bằng chứng liên kết anh với tội danh nghiêm trọng mà họ đang điều tra. Không hề có báo cáo kết quả kinh doanh nào hết. Và không có gì cho thấy anh từng biết hay liên lạc với các hacker trong vụ Edgar hoặc vụ hack các hãng tin.

Ngoài ra, lực lượng cảnh sát mạng Mỹ và Ukraine, vốn đã theo dõi Ieremenko, Radchenko và Kuprina nhiều năm, chưa từng nghe nói tới Cho, Olefir hay bạn bè họ. Nếu Cho quả thực là thành viên của một đường dây giao dịch nội gián, anh ta đã xoay xở xóa sạch được mọi dấu vết.

Ngày 19.4, một ngày sau buổi gặp tại Newark, DOJ thông báo với Prosser rằng họ sẽ không tiếp tục điều tra Cho. Họ cũng gửi email, mà Businessweek đã xem được, nói rằng họ sẽ rút trát triệu tập Cho ra trước đại bồi thẩm đoàn trong vụ truy tố Ieremenko và Radchenko. DOJ đã kết luận rằng Cho không còn thông tin gì giá trị để cung cấp cho họ.

Chương 7: Kết tội

Mọi hy vọng của Cho và bạn bè rằng SEC cũng sẽ quyết định tương tự nhanh chóng bị dập tắt. Tháng 1.2020, kinh tế gia của SEC, Thomas Dunn, nộp bản tuyên bố chứa phân tích thống kê làm cơ sở cho vụ kiện của cơ quan này. Nội dung bản tuyên bố gây nhiều bối rối khi đọc.

Dunn tính toán rằng khả năng nhóm người này tình cờ chọn trúng nhiều công ty có hồ sơ bị đánh cắp như vậy là “1 trên 1 nghìn tỉ.” Nhưng trước đó ở Newark, Cho đã nói với nhà chức trách, bao gồm cả một đại diện của SEC, rằng nhóm của anh không chọn mục tiêu một cách ngẫu nhiên: Họ chủ ý xác định các công ty dễ bị rò rỉ thông tin.

Một phần trong báo cáo của Dunn được dành để chứng minh rằng Cho, Kwon, Olefir và bạn bè của Olefir thường giao dịch đồng loạt. Nhưng những nhà giao dịch này, tất cả đều thuộc cùng một công ty nhỏ, chẳng gặp vấn đề gì khi thừa nhận điều đó. Phân tích khó thể bất lợi hơn cho bên nguyên khi nó cho thấy hoạt động của các nhà giao dịch giống với hai người bạn của Radchenko, những người mà họ khẳng định họ không hề quen biết. SEC đã làm nổi bật thông tin phù hợp với phiên bản sự kiện của bên bị, và lại trình bày nó thành bằng chứng của bên nguyên.

Từ tháng 5 đến tháng 10.2016, theo phân tích của Dunn, Cho đã thực hiện 66 giao dịch trên tài khoản cá nhân với các công ty bị hack. Tỉ lệ thắng của anh là 89%, và anh kiếm được khoảng 650 ngàn đô la. Cùng khoảng thời gian, Kwon thực hiện 18 giao dịch và đúng 78%, trong khi Olefir thực hiện 95 giao dịch với tỉ lệ thắng 70%. Một công ty mà Cho và Olefir cùng sở hữu, Capyield Systems, cũng có tỉ lệ thành công tương tự.

Dunn còn đưa ra một bảng số liệu khác cho thấy hiệu suất giao dịch của những người giao dịch khi mua bán cổ phiếu những công ty không bị xâm nhập. Trong số 150 giao dịch như vậy của Cho, chỉ 39% là có lãi, và anh lỗ 18.000 đô la. Tỉ lệ giao dịch thắng của Olefir cũng tương tự và cũng thua lỗ. Kwon thì có lãi một chút sau 63 giao dịch, và đúng khoảng một nửa số lần đặt cược.

Lập luận của SEC là những người giao dịch chỉ kiếm được tiền khi mua bán cổ phiếu các công ty đã bị hack, suy ra họ ắt phải gian lận. Nhưng các luật sư bên bị phản biện rằng nếu đã có thông tin nội gián trong tay, tại sao họ lại giao dịch một cách mù quáng. Tại sao lại thực hiện số lượng giao dịch gấp ba lần với các công ty mà họ không có lợi thế gì? Nếu đây là nỗ lực nhằm đánh lạc hướng, thì những người giao dịch trong vụ các hãng tin doanh nghiệp bị hack chưa từng bị ghi nhận đã làm điều tương tự.

Hai người bạn của Radchenko (mà khác với Olefir, đơn giản là đã biến mất trước SEC) cũng vậy. Và nếu chiến lược thực sự của những người giao dịch ở CY Group là xác định và ăn theo giao dịch nội gián, như họ tuyên bố, thì chẳng phải là lợi nhuận của họ sẽ giống giống như vậy sao—tức lãi lớn khi phát hiện đúng hành vi mờ ám, và gần như hòa vốn khi các tín hiệu hóa ra chỉ là ảo ảnh?

Việc SEC dựa vào số liệu thống kê đặc biệt quan trọng, bởi vì một năm sau khi đệ đơn kiện, họ vẫn chưa tìm được bằng chứng mới nào để củng cố cho vụ kiện. SEC cũng thể hiện thái độ né tránh kỳ lạ trước một bằng chứng then chốt — email Cá nhân số 4 gửi cho Ieremenko. Luật sư của Cho đã đe dọa sẽ khiếu nại lên thẩm phán vì SEC không chịu giao nộp email đó.

SEC cũng từ chối cung cấp cho tôi bản sao email đó. Vào năm 2024, tôi đã lần ra được Cá nhân số 4 ở Bắc Âu. Anh ta đồng ý trả lời các câu hỏi qua một ứng dụng nhắn tin với điều kiện được giữ kín danh tính. Cá nhân số 4 nói anh ta đã gửi “một hai tin nhắn gì đó” cho Ieremenko khi đang tìm cách khởi động một dự án tiền mã hóa. “Với tôi, anh ta chỉ là một lập trình viên như bao người khác. Tôi chưa bao giờ làm ăn gì với anh ta cả.” Cá nhân số 4 nói cáo buộc anh và Olefir tham gia đường dây giao dịch nội gián là “chuyện tào lao.” Anh cũng nói mình chưa từng bị SEC hay bất kỳ cơ quan chức năng nào của Mỹ thẩm vấn.

Khi Cho cuối cùng ngồi xuống để tham gia buổi cung khai ghi hình với SEC vào tháng 2.2020, anh mặc áo sơ mi ngắn tay, tóc cạo sát hai bên và bù xù phía trên, tâm trạng khá tự tin. Đại diện SEC là Christopher Bruckmann, một luật sư tranh tụng để râu dê mặc bộ vest tối màu.

Bruckmann hỏi Cho về phản ứng của anh khi đọc cáo trạng. “Đó là một cú sốc với tôi,” Cho nói. “Tôi không hề biết những hacker đó là ai… Trong đầu tôi lúc đó chỉ nghĩ, ‘Các anh có thể kiểm tra bất kỳ máy tính nào, bất kỳ thứ gì các anh muốn, làm ơn. Chắc chắn là đã có nhầm lẫn lớn.’”

Khi được yêu cầu giải thích phương pháp giao dịch dựa trên báo cáo tài chính, Cho đáp: “Bất kỳ báo cáo tài chính hay thông báo nào có khả năng làm thị trường biến động, sẽ luôn có một số thông tin rò rỉ. Và nếu anh phát hiện được chuyển động đó, thì đó chính là chiến lược.” Anh tỏ ra mơ hồ về chi tiết cụ thể, nói rằng thường thì Olefir là người theo dõi luồng tin và ra quyết định. “Tôi không giỏi kỹ thuật lắm,” Cho nói.

Trước khi trở thành một người giao dịch, Cho từng học ngành khoa học máy tính tại đại học Carnegie Mellon. “Đó là một chuyên ngành khó đấy,” Bruckmann nhận xét.

“Tôi có những đối tác rất thông minh trong phòng thí nghiệm,” Cho đáp và mỉm cười. “Tôi ăn theo họ… để cha mẹ tôi vui lòng thôi.”

“Anh nói là anh ăn theo, anh có đối tác thông minh trong phòng thí nghiệm. Anh có gian lận không?” Bruckmann hỏi.

“Có thể có một chút,” Cho nói, giờ nụ cười mỉm đã trở thành cười toe toét.

Kỹ năng đích thực của Cho có lẽ là khai thác tài năng của người khác. Điều đó trở nên rõ ràng khi anh giải thích cách anh kiếm được phần lớn số tiền trong giai đoạn Edgar bị hack. Cho phát bực vì Olefir chỉ đặt những khoản cược quá nhỏ trong tài khoản giao dịch chung của họ.

Nhưng bạn thân của Cho là Kwon có một tài khoản riêng. Vì vậy Cho chỉ đạo Kwon thực hiện các giao dịch bắt chước Olefir, mà không nói với Kwon rằng họ đang “ăn theo” tay giao dịch người Ukraine. Chính hành động đó, vào mùa hè năm 2016, đã khiến Kwon vướng vào vụ kiện. Thông tin đấy là cú sốc với Olefir, tovarich của Cho, khi Olefir theo dõi buổi cung khai qua Zoom.

Tháng 9.2020, Kuprina lần đầu tiên bước vào trụ sở SEC tại Washington. Tháng trước đó, cô đã nhận tội với DOJ liên quan đến vụ hack hệ thống Edgar cùng năm vụ tấn công khác. Vụ án của cô được giữ kín, và việc tuyên án được hoãn lại trong khi cô tiếp tục hợp tác với chính quyền. Cô cảm thấy khó chịu khi biết danh sách các chiến tích lớn nhất của cô sẽ được giữ bí mật, khiến cô không được cộng đồng hacker nể phục, nhưng cô hiểu vì sao điều đó là cần thiết.

“

Cô nói mình thành công là nhờ gia đình — “Tôi lớn lên trong một gia đình toàn điệp viên” — và do hoàn cảnh bắt buộc.

Kuprina kể với tôi rằng cô đã luôn bị cánh đàn ông coi thường. Cô nhớ lại khi còn trẻ từng đi tìm thầy học. “Có một gã, cũng tiếng tăm lắm, nói với tôi: ‘Cô sẽ không bao giờ trở thành hacker được đâu.’ Điều đó làm tôi tức điên lên.” Cô nói mình thành công là nhờ gia đình — “Tôi lớn lên trong một gia đình toàn điệp viên” — và do hoàn cảnh bắt buộc. Cô nói khi đó ở Ukraine, cơ hội rất ít ỏi, và tấn công mạng không hẳn bị coi là tội phạm. Còn được kính trọng là khác. Cô cũng nhấn mạnh động lực và sự đa tài của mình. Hồi nhỏ, cô học toán rất giỏi, nhưng cũng từng theo học trường nghệ thuật. Cô chơi đàn piano. Cô viết nhạc. Cô từng nói với mẹ rằng tấn công mạng cũng là nghệ thuật. Đó là tư duy trừu tượng, tư duy sáng tạo, là lắp các mảnh ghép hình lại với nhau.

Chuyến đi đến thủ đô nước Mỹ là sự giải thoát với Kuprina, bởi cuộc sống của cô ở ngoại ô New Jersey chẳng khác gì cảnh lưu đày. Sau khi rời nhà tù, cô sống tạm trong một khách sạn Candlewood Suites dành cho khách lưu trú dài hạn, không điện thoại, không internet, và phải tuân thủ giờ giới nghiêm 7 giờ tối.

Cứ cách vài ngày, một đặc vụ của Mật vụ Mỹ sẽ chở cô đến quán cà phê Wegmans, nơi họ ngồi nói chuyện hàng giờ về những chiến tích của cô. Ngoài những lần đó, cô tập yoga ở khoảng trống gần cửa ra vào; vẽ rồng; đọc sách về kỹ thuật thao túng tâm lý; và xem phim 90 Day Fiancé hoặc Dr. Phil với phụ đề để cải thiện tiếng Anh. Đôi khi cô nhớ con gái và mẹ đến mức không thể ra khỏi giường.

Theo Kuprina nhớ lại, trong một phòng họp của SEC, các công tố viên đã vặn hỏi cô về những bị cáo có tên trong cáo trạng. Nếu cô làm chứng rằng cô có biết Cho, Olefir và những người khác, thì đó sẽ là lời xác nhận quý giá vô ngần với họ. Cô nói với họ rằng Radchenko đã cố gắng tách biệt hoàn toàn nhóm hack và nhóm giao dịch. Dù vậy, cô cũng có thoáng thấy qua tên vài tay làm ăn chưa bị truy tố trong danh sách của DOJ. Nhưng cô khẳng định không hề biết các tay giao dịch trong ngày mà SEC đã xác định. Cô thậm chí chưa từng nghe đến tên họ.

David Kwon lần đầu gặp Cho vào năm 2015 tại bữa tiệc tổ chức trong một biệt thự ở Beverly Hills. Kwon vốn thích giao dịch cổ phiếu, nhưng từng thua lỗ lớn vài lần, lên tới tiền triệu đô, đồng nghĩa bất kỳ khoản lợi nhuận nào từ các giao dịch sau này sẽ không phải đóng thuế. Một tối nọ, Cho đề xuất họ cùng sử dụng một tài khoản cũ của Kwon để giao dịch chung.

Không lâu sau đó, vào tháng 8.2016, Kwon nhận được cuộc gọi từ Cho bảo anh ta lập tức dừng mọi việc đang làm và mua quyền chọn cổ phiếu của FireEye, một công ty an ninh mạng của Mỹ sắp công bố báo cáo kết quả kinh doanh. Trong hai tháng tiếp theo, Cho gọi cho Kwon khoảng hơn chục lần, luôn vào cuối phiên giao dịch trong ngày tại Mỹ. Khi những cuộc gọi ngừng dần, Kwon cũng không để tâm nhiều, cho đến khi FBI phá cửa nhà anh bằng dùi phá cửa chuyên dụng.

Tin chắc rằng mình sắp phải ngồi tù, Kwon rơi vào vòng xoáy rượu chè bê tha và trầm cảm. Trong một buổi làm việc với SEC, anh được cho phép dùng Xanax để giảm căng thẳng. Rồi SEC quăng ra chiếc phao cứu sinh: Nếu Kwon chịu ký một bản tuyên bố buộc tội Cho, hoàn trả 165.000 đô la lợi nhuận từ giao dịch (bằng chưa đến một nửa số tiền anh bị cáo buộc đã kiếm được), và đồng ý ra làm chứng chống lại bạn mình trước tòa, thì anh có thể tránh được hình phạt và tiếp tục được giao dịch. Theo lời khuyên của luật sư, Kwon chấp nhận thỏa thuận của SEC, dù anh luôn khẳng định mình không hề biết gì về âm mưu đã nói tới.

Bản tuyên bố của Kwon, được nộp vào ngày 11.3.2020, tấn công trực tiếp vào nhân cách của Cho. Trong đó, Kwon viết rằng Cho thường mượn đồ của anh mà không hỏi, và ở miễn phí trong nhà Kwon suốt nhiều tháng trời trong khi căn hộ của Cho đang sửa chữa. Cho đôi khi còn sử dụng tài khoản ngân hàng của Kwon để thực hiện chuyển khoản cho khách hàng, với lý do là ngân hàng của anh, FBME Bank, đã bị đóng cửa. Kwon viết bây giờ thì anh “đã bắt đầu tin rằng” những giao dịch đó có liên quan đến âm mưu hack và giao dịch nội gián.

Tuy nhiên, ngoài những lời cạnh khóe, bản tuyên bố của Kwon về cơ bản ăn khớp với lời khai của Cho. Kwon viết rằng Cho từng nói anh ta đã “phát hiện ra một quỹ siêu lợi nhuận” đã không hoạt động vài năm và giao dịch chỉ thi thoảng, nhưng rất thành công. “Cho tuyên bố anh ta không biết danh tính của quỹ siêu lợi nhuận đó,” Kwon viết.

Thực ra, Kwon sau này nói với tôi rằng anh chưa bao giờ nghi ngờ bạn mình dính líu đến một đường dây giao dịch nội gián, cho đến khi cả hai bị truy tố. Nhưng nếu chính quyền nói Cho có liên hệ với các hacker Ukraine, thì anh còn biết cãi làm sao?

Ngày 9.4, SEC công bố thỏa thuận dàn xếp ngoài tòa với Kwon. (Một người bạn của Olefir, từng bị cáo buộc kiếm được 58.000 đô la, cũng dàn xếp với nhà chức trách cũng trong giai đoạn này. Anh này từ chối trả lời phỏng vấn.) Kwon dùng tiền trong tài khoản giao dịch của anh và Cho để trả cho luật sư và SEC.

Chương 8: Dàn xếp

Trong khoảng 700 vụ kiện mà SEC tiến hành mỗi năm, khoảng 98% kết thúc bằng dàn xếp ngoài tòa. Điều này phản ánh rõ cán cân quyền lực và các động lực đã ăn sâu vào hệ thống. Chính quyền muốn tránh phí tổn và sự bất định khi đưa vụ việc ra xét xử; bên công tố thì có động cơ giải quyết án nhanh; còn với hầu hết bị đơn cá nhân, theo đuổi một chiến lược bào chữa vững chắc là tốn kém đến không tưởng. Thỏa thuận dàn xếp giúp giảm thiểu chi phí, rủi ro và đảo lộn cho cả hai bên. Đồng thời, thỏa thuận cũng có thể giúp SEC tránh được nguy cơ bẽ mặt nếu truy tố sai.

Đến mùa Thu năm 2020, Cho đã cạn tiền. Hoạt động kinh doanh đình trệ, và bạn gái anh thì đang mang thai. Để có tiền chi trả các khoản phí pháp lý, Cho đã phải rao bán căn nhà phố ở Los Angeles, nơi phòng karaoke hầu như chưa được sử dụng. Luật sư Prosser nói với anh rằng nếu vụ việc ra tòa xét xử, sẽ phải tốn thêm ít nhất một triệu đô la nữa.

Prosser đã cố gắng thuyết phục SEC rút lại vụ kiện, nhưng họ vẫn khăng khăng. Vì không thể tìm ra mối liên hệ rõ ràng giữa nhóm của Cho và các hacker, SEC chuyển hướng sang lập luận pháp lý “âm mưu đồng phạm,” về cơ bản có nghĩa là khẳng định bị đơn lẽ ra phải biết có hành vi gian dối đang diễn ra.

Ngày 21.9, Prosser viết cho cơ quan quản lý: “Tóm lại, quá trình điều tra đã cho thấy các dữ kiện cụ thể liên quan đến mức độ trách nhiệm của ông Cho rất khác so với... những gì đội ngũ điều tra đã cáo buộc trong đơn kiện ban đầu.” Sau gần hai năm, chính quyền vẫn chưa đưa ra được “bất kỳ bằng chứng nào cho thấy ông Cho biết về vụ tấn công Edgar vào bất kỳ thời điểm nào... hoặc từng nhận được dù chỉ một thông tin không công khai quan trọng từ vụ tấn công đó (ngay cả chỉ là gián tiếp).”

Prosser đề xuất dàn xếp với khoản phạt tượng trưng 150.000 đô la, chỉ là số lẻ so với khoản tiền 1,2 triệu đô la mà SEC cáo buộc Cho đã thủ lợi bất chính, và còn ít nữa so với khoản phạt gần 4 triệu đô la theo hy vọng của họ. Trong vòng một tuần, SEC quay lại với đề nghị mặc cả 200.000 đô la.

“Sao không đề nghị đưa Vaseline đây để thông đít tôi luôn đi,” Cho viết cho luật sư, khăng khăng là sẽ không trả xu nào nữa. Khi SEC đề xuất 175 ngàn đô la, Cho cuối cùng miễn cưỡng đồng ý. Prosser an ủi anh qua một email rằng kết quả đó sẽ “giúp anh có một lời giải thích với người khác, rằng bất chấp những cáo buộc là anh đã thu lợi một triệu đô la, SEC cuối cùng phải đồng ý dàn xếp với khoản tiền chỉ bằng một phần năm số đó.”

Giống như hầu hết những ai từng dàn xếp ngoài tòa với SEC, Cho ký một lệnh nói anh không thể “nhận hay bác bỏ” các cáo buộc. Anh bị cấm nói bất kỳ điều gì có thể hàm ý đơn kiện của SEC là không chính xác.

Ra mắt từ năm 1972 nhằm ngăn bị đơn dàn xếp ngoài tòa rồi sau đó tuyên bố mình vô tội, “lệnh cấm phát ngôn” của SEC đã gây nhiều tranh cãi. Một số người chỉ trích cho rằng các lệnh đó cho phép các tập đoàn tránh phải thừa nhận hành vi sai trái. Những người khác coi đó là sự vi phạm tính minh bạch và quyền tự do ngôn luận.

Năm ngoái, SEC đã bác bỏ một kiến nghị nhằm hạn chế việc sử dụng các lệnh này, lý lẽ của vị chủ tịch sắp mãn nhiệm cho rằng đó là một công cụ thiết yếu. Hester Peirce, ủy viên thuộc Đảng Cộng hòa của SEC, đã đăng tải ý kiến phản đối, trong đó viết: “Quyền tự do lên tiếng phản đối chính phủ và các quan chức chính phủ là điều thiết yếu trong một xã hội tự do, nơi người dân được đặt ở vị trí tối thượng.”

Tháng 11.2020, lệnh bịt miệng đã khiến Cho phải im lặng trong khi SEC khoe khoang về chiến thắng mới nhất của họ trong vụ Edgar.