Tôi vô tình khiến cảnh sát Hà Lan "tắt nguồn" cái bẫy mật ong DDoS của chính họ

Operation PowerOFF là gì?

Trước khi đi vào phần thú vị, chúng ta cần tóm tắt nhanh về bối cảnh. Operation PowerOFF là một nỗ lực quy mô lớn của quốc tế nhằm ngăn chặn các dịch vụ tấn công từ chối dịch vụ phân tán (DDoS) theo hình thức thuê. Mặc dù chiến dịch này bao gồm các cơ quan như FBI, Cơ quan Tội phạm Quốc gia Anh (NCA) và Europol, nhưng toàn bộ hoạt động dường như được phối hợp chặt chẽ bởi Cảnh sát Hà Lan.

Cảnh sát Hà Lan dường như là đơn vị vận hành cơ sở hạ tầng thực tế cho các hoạt động này. Họ đã hoạt động khá lâu nay và trong nhiều năm, họ đã quản lý thu hồi khoảng một trăm tên miền và thực hiện một số vụ bắt giữ lẻ tẻ.

Trang chủ của Cyberzap

Đào sâu vào "Cyberzap"

Tôi đã dành thời gian tìm hiểu về Operation PowerOFF và trong quá trình điều tra, tôi tình cờ phát hiện ra một trang web có tên là https://cyberzap.fun/.

Nó không trông hoàn hảo và chuyên nghiệp lắm, nhưng chắc chắn trông đủ "legit" (đáng tin cậy). Nó phản chiếu hoàn hảo hàng nghìn trang web booter do các script kiddie tạo ra trôi nổi trên internet. Nó không hoàn hảo, nhưng rõ ràng đã có nhiều công sức được bỏ vào đó. Họ thậm chí còn thiết lập các tệp robots.txt, sơ đồ trang web, thẻ meta thân thiện với SEO và mọi thứ mà một trang web thực sự cần để xếp hạng trên công cụ tìm kiếm.

Tuy nhiên, có một điểm lộ liễu lớn nếu bạn bắt đầu soi xét kỹ một chút. Cảnh sát Hà Lan cực kỳ thích sử dụng bit.nl làm máy chủ lưu trữ. Và khi bạn kiểm tra bản ghi DNS MX, Cyberzap đã sử dụng bit.nl cho máy chủ thư của họ.

Tôi quyết định đăng ký để xem sâu sắc đến mức nào. Tôi chỉ muốn cho họ biết rằng tôi đang nghiên cứu, không phải là một "kẻ khủng bố mạng" đang hoạt động. Vì vậy, tôi đã đăng ký với email [email protected].

(Tôi tiếc là không chụp được màn hình trang đăng ký, nhưng nó có cả captcha turnstile và mọi thứ).

Ngạc nhiên thay, họ thậm chí còn gửi một email kích hoạt thật! Với liên kết kích hoạt có nhúng mã token và một mã thủ công bạn có thể nhập.

Dashboard của Cyberzap

Bảng điều khiển (dashboard) trông có vẻ hơi trống trải, nhưng vẫn đáng tin. Nó có các biểu đồ tốc độ mạng giả được cập nhật theo thời gian thực và bộ đếm giả số lượng bot đã kết nối.

Tôi muốn xem điều gì sẽ xảy ra nếu tôi "đặt một cuộc tấn công".

Một lần nữa, tôi không muốn họ nghĩ tôi là một hacker xấu, vì vậy tôi đã nhập một tên miền ngớ ngẩn.

Bạn có thể chọn Bitcoin, Monero, PayPal hoặc Thẻ tín dụng.

Nhưng bất kể bạn chọn gì, nó sẽ chỉ load khoảng vài giây, sau đó hiển thị thông báo: Lỗi thanh toán - Có lỗi xảy ra khi xử lý thanh toán của bạn. Vui lòng thử lại hoặc liên hệ hỗ trợ.

Bạn có thể xem các cuộc "tấn công" trong quá khứ của mình trong tab lịch sử, nơi nó sẽ chỉ hiển thị rằng thanh toán đã thất bại.

Họ thực sự chỉ để bạn chứng minh ý định phạm tội, lấy địa chỉ IP và email của bạn, và họ có lẽ dự định sử dụng những thứ đó làm "bằng chứng" nếu cần thiết.

Chiến thuật gây sợ hãi: Netcrashers

Cyberzap được định nghĩa là một "cái bẫy" bí mật. Nhưng họ cũng vận hành một loại trang web khác. Tôi đã tìm thấy https://netcrashers.net/ vào khoảng cùng thời điểm.

Trang web này trông giả hơn nhiều, nó hứa hẹn "làm sập tất cả các mạng". Nhưng ngay khoảnh khắc bạn nhấp vào bất kỳ nút nào trên trang web, bạn sẽ ngay lập tức được chuyển hướng đến một trang cảnh báo của cảnh sát "đáng sợ".

Trang đó字面 nói rằng tên miền này được tạo và sở hữu bởi Cảnh sát Hà Lan.

"Cảnh sát Hà Lan có chỉ điểm mạnh mẽ rằng bạn đang tìm kiếm dịch vụ DDoS-for-hire. Các cuộc tấn công DDoS là bất hợp pháp và có hậu quả nghiêm trọng. Bạn luôn để lại dấu vết trực tuyến khi thực hiện tội phạm mạng."

😈

Rõ ràng điều này được thiết kế cho trẻ em. Một thiếu niên tìm kiếm trang web DDoS, nhấp vào một nút và bị giật mình bởi huy hiệu cảnh sát khổng lồ. Chúng sợ hãi và đóng tab.

Ôi chao, họ đã tắt toàn bộ thứ này vì tôi >w<

Trong khi tôi đang đào sâu vào Cyberzap, kiểm tra mọi thứ và chụp ảnh màn hình, một điều khá hài hước đã xảy ra: Các cơ quan chức năng (feds) thực sự đã "rút phích cắm" trang web.

Tôi thử tải lại trang và ngay lập tức bị chặn bởi lời nhắc 401 Unauthorized. Trang web đã bị khóa.

Tôi đoán họ đã thấy địa chỉ email của tôi chào họ. Họ có lẽ đã nhận được nhật ký của ai đó "dính bẫy", và thấy có ai đó đang soi mói trang web bí mật của họ, và biết ai đứng sau nó.

Họ hoảng loạn hoàn toàn. Họ thậm chí đã đóng cửa một tên miền hoàn toàn không sử dụng là bytecannon.net với thông báo ủy quyền chính xác giống hệt.

Điều đáng nói là trang web đáng sợ netcrashers.net vẫn hoạt động. Nhưng cái đó được định nghĩa là trang công khai liên kết đến họ.

Tôi đã quản lý lưu trữ trang chủ của cyberzap.fun kịp thời tại đây: https://archive.ph/IS0k6.

Bài đăng blog này khá "nặng hình", nên tôi xin lỗi về độ phân giải kém của một số hình ảnh, nhưng chúng chỉ là ảnh chụp màn hình tôi gửi cho bạn bè.

Tiếc là tôi không thể lưu trữ các nội dung chất lượng cao cho mọi thứ.

Mục đích thực sự ở đây là gì?

Điều này đặt ra một câu hỏi rất hay. Mục đích của tất cả những thứ này là gì?

Biểu ngữ trên netcrashers.net đề cập đến "Lực lượng thực thi pháp luật chống tội phạm mạng cả công khai lẫn bí mật". Về cơ bản, chúng ta đã tìm thấy cả hai phương pháp đó. Netcrashers là phương pháp công khai, và Cyberzap là phương pháp bí mật.

Khi tôi nhìn vào lệnh tấn công của mình trên Cyberzap, tôi nhận thấy một ID trong URL được cấp cho tôi. Yêu cầu của tôi là số 15. Điều đó có nghĩa là chỉ có 14 cuộc "tấn công" khác từng được đặt trên trang web đó. Và thành thật mà nói, hầu hết trong số đó có lẽ là các cơ quan chức năng đang kiểm thử mã của chính họ. Vì thành thật mà nói, ai lại dính bẫy trang web này nữa? Mặc dù có tất cả "công sức" họ bỏ ra, bao nhiêu tiền đã bị tiêu phí để xây dựng bảng điều khiển giả này?

Bắt giữ người có lẽ không phải là mục tiêu duy nhất. Bằng cách vận hành các cái bẫy mật ong này, cảnh sát tạo ra sự nghi ngờ và hoang tưởng trong cộng đồng. Nếu bạn muốn mua một cuộc tấn công DDoS, bây giờ bạn phải tự hỏi trang web đó là thật hay chỉ là một cái bẫy mật ong của cảnh sát đang ghi lại IP của bạn. Họ muốn mọi người ngừng hoàn toàn tin tưởng vào các dịch vụ này.

Vì vậy, vâng, những cái bẫy mật ong này là có thật và đang ở đó, nên thông điệp rõ ràng là: "bạn không thể tin tưởng các dịch vụ DDoS".

Tất nhiên điều đó không cần phải nói cũng hiểu: bạn không nên sử dụng các dịch vụ booter ngay từ đầu.

"Operation PowerOFF" cũng gần đây đã tải lên một video "tuyên truyền" do AI tạo ra chất lượng thấp:

Video chất lượng thấp nhất được cung cấp trực tiếp bởi lực lượng thực thi pháp luật.

Nó cho thấy họ gõ cửa một đứa trẻ 16 tuổi làm sập máy chủ Minecraft. Họ khiến đứa trẻ này trông giống như trùm cuối, và cho thấy bản thân họ cực kỳ "ngầu" khi đột kích một thiếu niên.

Đó là một câu chuyện có thật? Có lẽ không. Tôi đoán nó được định nghĩa để dọa nạt trẻ em, giống như netcrashers.net. Nhưng nó thực sự chỉ cảm thấy như các cơ quan chức năng đang tự tâng bốc bản thân về sự ngầu của họ.

Trong một buổi AMA trên Reddit mà họ thực hiện chỉ một tuần trước, họ mô tả quái vật này là một "video ngầu" trên "trang thương hiệu của họ".

Video và cái bẫy mật ong này có tác động thực sự không? Thành thật mà nói: có lẽ không. Nó cảm giác như họ chỉ đang phân phối lại của cải từ người đóng thuế trung bình cho các công ty sản xuất video AI chất lượng thấp.

Chúng ta biết rằng Operation PowerOFF đã làm điều chính xác giống như vậy trong quá khứ. NCA thực sự đã viết một bài báo vào tháng 3 năm 2023 về cách họ thâm nhập thị trường tội phạm mạng với các trang web DDoS ngụy trang.

Chúng ta có lẽ vừa tình cờ phát hiện dự án mới của họ. Kiểm tra đăng ký tên miền, bạn có thể thấy nó được tạo vào ngày 3 tháng 4 năm 2025. Tôi cũng kiểm tra Wayback Machine. Trang web được lưu trữ vào tháng 7 năm 2025, và lúc đó vẫn trống trơn, nên thời điểm họ thực sự tung ra là đáng ngờ.

Thành thật mà nó chỉ buồn cười. Họ tiêu hết tất cả số tiền này cho tuyên truyền để dọa nạt trẻ em và các cái bẫy mật ong phức tạp nhưng vẫn siêu dễ dàng phát hiện. Và ngay khoảnh khắc ai đó bắt đầu đào sâu, họ hoảng loạn và tắt toàn bộ thứ đó.

Xin lỗi các "sói ảo" (glowies), các bạn sẽ phải thử lại lần nữa.