Chính phủ Việt Nam sử dụng tin tặc trong hệ thống phản gián? (Quỳnh Vi)
Tại
Việt Nam, tin tặc và các cuộc tấn công mạng là trợ thủ đắc lực của nhà
nước trong việc kiểm soát thông tin và giới hạn quyền tự do trên mạng
của người dân, doanh nghiệp và kể cả các chính phủ nước ngoài.
Đó
là lời cảnh báo được ba tổ chức quốc tế với nhiều kinh nghiệm làm việc
chuyên sâu trong lĩnh vực an ninh mạng (cybersecurity),
là Veloxity, Electronic Frontier Foundation, và FireEye, đưa ra liên tục
trong ba năm vừa qua.
Đánh
giá gần đây nhất về việc chính phủ Việt Nam sử dụng tin tặc (hacker)
cho mục đích phản gián, là do tổ chức chuyên nghiên cứu và đưa ra các
giải pháp về an ninh mạng Veloxity – có trụ sở ở bang Washington D.C.,
Hoa Kỳ – đưa ra vào ngày 6/11/2017.
Theo
đó, chính phủ Việt Nam đã phát động và tiến hành một chiến dịch dài
hơi, quy mô và bài bản về tấn công mạng (cyber attack), cũng như phản
gián mạng (cyber espinonage). Đáng lưu ý là nhà nước Việt Nam đã tổ chức
và điều hành một nhóm gián điệp mạng có chuyên môn cao. Nhóm này dùng
nhiều biện pháp tấn công khác nhau trên mạng Internet để trực tiếp phá
hoại các hoạt động của các tổ chức, cá nhân, doanh nghiệp, và cả các
chính phủ nước ngoài.
Nhóm gián điệp mạng OceanLotus (Sen biển) của chính phủ Việt Nam
Tài
liệu từ các tổ chức nói trên cho biết, có thể ít nhất là từ năm 2014,
chính phủ Việt Nam đã bắt đầu sử dụng một đội ngũ gián điệp trên mạng
Internet (cyber espinonage group).
Hiện
nay, nhóm này thường được biết đến với tên gọi Sen biển (OceanLotus
hoặc SeaLotus), hay APT-C-00 và APT32 trong các báo cáo của các tổ chức
chuyên nghiên cứu về các cuộc tấn công mạng trên toàn thế giới. Có ít
nhất một báo cáo cho thấy OceanLotus từng liên quan đến nhóm tin
tặc Sinh Tử Lệnh.
Sở
dĩ các chuyên gia cho rằng OceanLotus được chính phủ Việt Nam trực tiếp
điều hành, là vì nhóm này chỉ tấn công vào những công ty hoặc tổ chức
có liên hệ mật thiết đến các chính sách đối nội và đối ngoại của Việt
Nam.
Nạn
nhân của OceanLotus trong các cuộc tấn công mạng là các tập đoàn doanh
nghiệp ở phạm vi khu vực hoặc đa quốc gia có những hoạt động liên
quan đến Việt Nam. Ngoài ra còn có các nhóm, hội đoàn làm việc về quyền
con người, những tổ chức chính trị (cả trong lẫn ngoài nước) cũng được
liệt vào danh sách đối tượng bị tấn công, bao gồm cả các tổ chức và
phóng viên quốc tế.
Nhóm
tin tặc OceanLotus còn được xem là đã bắt đầu nhiệm vụ tấn công vào các
nhà hoạt động xã hội và những người bất đồng chính kiến ở Việt Nam từ
năm 2009 dưới một tên gọi khác. Điều này cho thấy, việc sử dụng tin tặc
để ngăn cản các tiếng nói đối lập là một kế hoạch dài hơi của chính phủ.
OceanLotus dùng những biện pháp kỹ thuật gì để hoạt động ?
Theo
đánh giá của giới chuyên gia, OceanLotus sử dụng các biện pháp kỹ thuật
cũng như các chiến lược tấn công rất đa dạng và tiến bộ.
Mục
đích cao nhất của nhóm tin tặc này là bằng mọi cách phải chiếm và giữ
được quyền kiểm soát các máy tính cá nhân của các đối tượng, để từ đó có
thể tiến hành điều khiển từ xa. Nhóm sẽ thu thập thông tin cá nhân, tài
khoản email, tài khoản mạng xã hội, hồ sơ lưu trữ trên máy tính, kể cả
các đoạn chat. Sau đó thâm nhập và nắm giữ toàn bộ thông tin của đối
tượng.
Có
một số dấu hiệu cho thấy, OceanLotus cài đặt mã độc trên các trang blog
và trang mạng của các nhà hoạt động – sau khi đã chiếm được quyền kiểm
soát và điều khiển – để tấn công những nhà hoạt động khác.
Trong
một vài cuộc tấn công vào những trang mạng và trang blog, OceanLotus
còn sử dụng "danh sách trắng" (whitelist) chỉ dành riêng cho một nhóm
đối tượng đặc biệt. OceanLotus có khả năng chọn lọc nhóm đối tượng này,
vì đã nắm giữ đầy đủ thông tin để nhận diện và hướng các cuộc tấn công
trực tiếp vào họ.
Phương
pháp đó được xem là đã mô phỏng từ Cơ quan An ninh Quốc gia Hoa Kỳ
(National Security Ageny – NSA). Chính vì vậy mà giới chuyên môn cho
rằng, chỉ một nhóm gián điệp mạng trực thuộc quyền điều hành của nhà
nước mới có thể hoạt động một cách tinh vi như vậy.
Ngoài
việc tấn công vào các trang mạng và trang blog, OceanLotus còn sử dụng
một thủ pháp khác, đó là gửi ra các "văn bản mồi" (lure documents). Các
văn bản này có thể là các tệp hồ sơ đính kèm như Microsoft Word định
dạng doc, phần mềm có đuôi exe, hoặc các đường link có chèn mã độc.
Không
chỉ riêng các nhà hoạt động và bất đồng chính kiến của Việt Nam nhận
được các email gửi kèm các văn bản mồi, mà ngay cả các nhà báo nước
ngoài làm việc tại Việt Nam cũng nằm trong nhóm đối tượng bị nhắm đến.
Các văn bản này có nội dung khá tương tự nhau, ví dụ như thư mời tham
gia các khóa học, thư ngỏ, lời kêu gọi tham gia các chiến dịch, hay các
bản báo cáo về sai phạm nhân quyền của chính phủ, v.v.
Năm
2013, những người làm việc cho Thông tấn xã AP (Associated Press) trụ
sở Việt Nam đã nhận được một email – tự nhận là từ tổ chức nhân quyền
quốc tế Human Rights Watch – với đường link mồi "Human Rights Watch
Paper Vietnam". Địa chỉ email là giả và đường link có chèn mã độc.
OceanLotus
cũng được xem là có khả năng tấn công cả hệ điều hành Windows lẫn
OSX/macOS của Apple. Ngoài ra, OceanLotus còn sử dụng các ứng dụng yêu
cầu đối tượng truy cập và đăng nhập vào các tài khoản Google, để từ đó
có thể chiếm được quyền kiểm soát các hộp thư email.
Những biện pháp tự bảo vệ bản thân dành cho người dân
Từ
cuối năm 2014, các nhà hoạt động Việt Nam đã cảnh báo Facebook về nguy
cơ của việc họ bị tấn công trên mạng từ các dư luận viên của chính phủ.
Những "binh đoàn chiến sĩ mạng" đã báo cáo (report) hàng chục tài khoản
Facebook của những nhà hoạt động, các blogger, cũng như các trang
fanpage có nhiều người theo dõi, ví dụ như Nhật Ký Yêu Nước.
Cho
đến thời điểm hiện tại, những vụ việc bị "report" và bị mất tài khoản
Facebook vẫn thường xuyên xảy ra cho những Facebooker có lượng theo dõi
cao. Như đã nói ở trên, việc chiếm quyền kiểm soát các tài khoản mạng xã
hội là một phần trong chiến lược của nhóm gián điệp mạng OceanLotus,
nhằm nắm giữ toàn bộ thông tin của đối tượng nằm trong danh sách "phải
tấn công".
Vậy thì biện pháp nào có thể giúp đề phòng các cuộc tấn công này ?
Trước
hết, các chuyên gia khuyến cáo mọi người phải tuyệt đối cẩn thận với
các đường links và các tệp hồ sơ gửi kèm email, ngay cả khi chúng được
gửi từ người quen. Thay vì tải xuống máy các tài liệu đính kèm, thì hãy
sử dụng Google Docs để mở chúng. Nếu cảm thấy có bất kỳ nghi ngờ gì về
email mà mình nhận được, tốt nhất là nên liên hệ với người gửi và không
mở các tài liệu đính kèm.
Sử
dụng bảo mật hai bước xác nhận (2-step verification) cho tất cả các tài
khoản và hãy cảnh giác với tất cả các trang mạng hoặc ứng dụng nào đòi
hỏi đăng nhập thông qua tài khoản Google của mình.
Ngoài ra, hãy báo cho Google biết về những đường link nghi ngờ có chứa mã độc :
https://safebrowsing.google.com/safebrowsing/report_badware/
Nếu
bị mất tài khoản Facebook, hoặc bị báo cáo và bị cấm hay hạn chế đăng
nhập trong một thời gian nhất định, người dùng có thể liên lạc tổ
chức Access Now tại địa chỉ email : contact@accessnow.org để
tìm hiểu phương thức lấy lại tài khoản của mình. Access Now là một tổ
chức quốc tế chuyên làm việc về quyền tự do Internet và an toàn trên
mạng cho người dùng Internet.
Veloxity, Electronic
Frontier Foundation, và FireEye là những tổ chức được giới chuyên môn
đánh giá cao, cũng như được các tờ báo lớn trên quốc tế như Bloomberg,
Telegraph, New York Times và Forbes thường xuyên trích dẫn khi đưa tin về các vấn đề liên quan đến tin tặc, gián điệp mạng, tấn công mạng, và an toàn mạng.
Quỳnh Vi
Nguồn : Tạp chí Luật Khoa, 05/12/2017
Tài liệu tham khảo :
-
OceanLotus Blossoms : Mass Digital Surveillance and Attacks Targeting
ASEAN, Asian Nations, the Media, Human Rights Groups, and Civil Society
(Nov 2017)
- Cyber Espionage is Alive and Well : APT32 and the Threat to Global Corporations (May 2017)
- Operation Lotus Blossom : A New Nation-State Cyberthreat ? (June 2015)
- Facebook’s Report Abuse button has become a tool of global oppression (September 2014)
- Vietnamese Malware Gets Very Personal (January 2014)