Quỳnh Vi
5-12-2017
Tại Việt Nam, tin tặc và các cuộc tấn công mạng là trợ thủ đắc lực của nhà nước trong việc kiểm soát thông tin và giới hạn quyền tự do trên mạng của người dân, doanh nghiệp và kể cả các chính phủ nước ngoài.
Đó là lời cảnh báo được ba tổ chức quốc tế với nhiều kinh nghiệm làm việc chuyên sâu trong lĩnh vực an ninh mạng (cybersecurity), là Veloxity, Electronic Frontier Foundation, và FireEye, đưa ra liên tục trong ba năm vừa qua.
Đánh giá gần đây nhất về việc chính phủ Việt Nam sử dụng tin tặc (hacker) cho mục đích phản gián, là do tổ chức chuyên nghiên cứu và đưa ra các giải pháp về an ninh mạng Veloxity – có trụ sở ở bang Washington D.C., Hoa Kỳ – đưa ra vào ngày 6/11/2017.
Theo đó, chính phủ Việt Nam đã phát động và tiến hành một chiến dịch dài hơi, quy mô và bài bản về tấn công mạng (cyber attack), cũng như phản gián mạng (cyber espinonage). Đáng lưu ý là nhà nước Việt Nam đã tổ chức và điều hành một nhóm gián điệp mạng có chuyên môn cao. Nhóm này dùng nhiều biện pháp tấn công khác nhau trên mạng Internet để trực tiếp phá hoại các hoạt động của các tổ chức, cá nhân, doanh nghiệp, và cả các chính phủ nước ngoài.
Nhóm gián điệp mạng OceanLotus (Sen biển) của chính phủ Việt Nam
Tài liệu từ các tổ chức nói trên cho biết, có thể ít nhất là từ năm 2014, chính phủ Việt Nam đã bắt đầu sử dụng một đội ngũ gián điệp trên mạng Internet (cyber espinonage group).
Hiện nay, nhóm này thường được biết đến với tên gọi Sen biển (OceanLotus hoặc SeaLotus), hay APT-C-00 và APT32 trong các báo cáo của các tổ chức chuyên nghiên cứu về các cuộc tấn công mạng trên toàn thế giới. Có ít nhất một báo cáo cho thấy OceanLotus từng liên quan đến nhóm tin tặc Sinh Tử Lệnh.
Sở dĩ các chuyên gia cho rằng OceanLotus được chính phủ Việt Nam trực tiếp điều hành, là vì nhóm này chỉ tấn công vào những công ty hoặc tổ chức có liên hệ mật thiết đến các chính sách đối nội và đối ngoại của Việt Nam.
Nạn nhân của OceanLotus trong các cuộc tấn công mạng là các tập đoàn doanh nghiệp ở phạm vi khu vực hoặc đa quốc gia có những hoạt động liên quan đến Việt Nam. Ngoài ra còn có các nhóm, hội đoàn làm việc về quyền con người, những tổ chức chính trị (cả trong lẫn ngoài nước) cũng được liệt vào danh sách đối tượng bị tấn công, bao gồm cả các tổ chức và phóng viên quốc tế.
Nhóm tin tặc OceanLotus còn được xem là đã bắt đầu nhiệm vụ tấn công vào các nhà hoạt động xã hội và những người bất đồng chính kiến ở Việt Nam từ năm 2009 dưới một tên gọi khác. Điều này cho thấy, việc sử dụng tin tặc để ngăn cản các tiếng nói đối lập là một kế hoạch dài hơi của chính phủ.
OceanLotus dùng những biện pháp kỹ thuật gì để hoạt động?
Theo đánh giá của giới chuyên gia, OceanLotus sử dụng các biện pháp kỹ thuật cũng như các chiến lược tấn công rất đa dạng và tiến bộ.
Mục đích cao nhất của nhóm tin tặc này là bằng mọi cách phải chiếm và giữ được quyền kiểm soát các máy tính cá nhân của các đối tượng, để từ đó có thể tiến hành điều khiển từ xa. Nhóm sẽ thu thập thông tin cá nhân, tài khoản email, tài khoản mạng xã hội, hồ sơ lưu trữ trên máy tính, kể cả các đoạn chat. Sau đó thâm nhập và nắm giữ toàn bộ thông tin của đối tượng.
Có một số dấu hiệu cho thấy, OceanLotus cài đặt mã độc trên các trang blog và trang mạng của các nhà hoạt động – sau khi đã chiếm được quyền kiểm soát và điều khiển – để tấn công những nhà hoạt động khác.
Trong một vài cuộc tấn công vào những trang mạng và trang blog, OceanLotus còn sử dụng “danh sách trắng” (whitelist) chỉ dành riêng cho một nhóm đối tượng đặc biệt. OceanLotus có khả năng chọn lọc nhóm đối tượng này, vì đã nắm giữ đầy đủ thông tin để nhận diện và hướng các cuộc tấn công trực tiếp vào họ.
Phương pháp đó được xem là đã mô phỏng từ Cơ quan An ninh Quốc gia Hoa Kỳ (National Security Ageny – NSA). Chính vì vậy mà giới chuyên môn cho rằng, chỉ một nhóm gián điệp mạng trực thuộc quyền điều hành của nhà nước mới có thể hoạt động một cách tinh vi như vậy.
Ngoài việc tấn công vào các trang mạng và trang blog, OceanLotus còn sử dụng một thủ pháp khác, đó là gửi ra các “văn bản mồi” (lure documents). Các văn bản này có thể là các tệp hồ sơ đính kèm như Microsoft Word định dạng doc, phần mềm có đuôi exe, hoặc các đường link có chèn mã độc.
Không chỉ riêng các nhà hoạt động và bất đồng chính kiến của Việt Nam nhận được các email gửi kèm các văn bản mồi, mà ngay cả các nhà báo nước ngoài làm việc tại Việt Nam cũng nằm trong nhóm đối tượng bị nhắm đến. Các văn bản này có nội dung khá tương tự nhau, ví dụ như thư mời tham gia các khóa học, thư ngỏ, lời kêu gọi tham gia các chiến dịch, hay các bản báo cáo về sai phạm nhân quyền của chính phủ, v.v.
Năm 2013, những người làm việc cho Thông tấn xã AP (Associated Press) trụ sở Việt Nam đã nhận được một email – tự nhận là từ tổ chức nhân quyền quốc tế Human Rights Watch – với đường link mồi “Human Rights Watch Paper Vietnam”. Địa chỉ email là giả và đường link có chèn mã độc.
OceanLotus cũng được xem là có khả năng tấn công cả hệ điều hành Windows lẫn OSX/macOS của Apple. Ngoài ra, OceanLotus còn sử dụng các ứng dụng yêu cầu đối tượng truy cập và đăng nhập vào các tài khoản Google, để từ đó có thể chiếm được quyền kiểm soát các hộp thư email.
Những biện pháp tự bảo vệ bản thân dành cho người dân
Từ cuối năm 2014, các nhà hoạt động Việt Nam đã cảnh báo Facebook về nguy cơ của việc họ bị tấn công trên mạng từ các dư luận viên của chính phủ. Những “binh đoàn chiến sĩ mạng” đã báo cáo (report) hàng chục tài khoản Facebook của những nhà hoạt động, các blogger, cũng như các trang fanpage có nhiều người theo dõi, ví dụ như Nhật Ký Yêu Nước.
Cho đến thời điểm hiện tại, những vụ việc bị “report” và bị mất tài khoản Facebook vẫn thường xuyên xảy ra cho những Facebooker có lượng theo dõi cao. Như đã nói ở trên, việc chiếm quyền kiểm soát các tài khoản mạng xã hội là một phần trong chiến lược của nhóm gián điệp mạng OceanLotus, nhằm nắm giữ toàn bộ thông tin của đối tượng nằm trong danh sách “phải tấn công”.
Vậy thì biện pháp nào có thể giúp đề phòng các cuộc tấn công này?
Trước hết, các chuyên gia khuyến cáo mọi người phải tuyệt đối cẩn thận với các đường links và các tệp hồ sơ gửi kèm email, ngay cả khi chúng được gửi từ người quen. Thay vì tải xuống máy các tài liệu đính kèm, thì hãy sử dụng Google Docs để mở chúng. Nếu cảm thấy có bất kỳ nghi ngờ gì về email mà mình nhận được, tốt nhất là nên liên hệ với người gửi và không mở các tài liệu đính kèm.
Sử dụng bảo mật hai bước xác nhận (2-step verification) cho tất cả các tài khoản và hãy cảnh giác với tất cả các trang mạng hoặc ứng dụng nào đòi hỏi đăng nhập thông qua tài khoản Google của mình.
Ngoài ra, hãy báo cho Google biết về những đường link nghi ngờ có chứa mã độc:
https://safebrowsing.google.com/safebrowsing/report_badware/
Nếu bị mất tài khoản Facebook, hoặc bị báo cáo và bị cấm hay hạn chế đăng nhập trong một thời gian nhất định, người dùng có thể liên lạc tổ chức Access Now tại địa chỉ email: contact@accessnow.org để tìm hiểu phương thức lấy lại tài khoản của mình. Access Now là một tổ chức quốc tế chuyên làm việc về quyền tự do Internet và an toàn trên mạng cho người dùng Internet.
Veloxity, Electronic Frontier Foundation, và FireEye là những tổ chức được giới chuyên môn đánh giá cao, cũng như được các tờ báo lớn trên quốc tế như Bloomberg, Telegraph, New York Times và Forbes thường xuyên trích dẫn khi đưa tin về các vấn đề liên quan đến tin tặc, gián điệp mạng, tấn công mạng, và an toàn mạng.
Tài liệu tham khảo:
- OceanLotus Blossoms: Mass Digital Surveillance and Attacks Targeting ASEAN, Asian Nations, the Media, Human Rights Groups, and Civil Society (Nov 2017)
- Cyber Espionage is Alive and Well: APT32 and the Threat to Global Corporations (May 2017)
- Operation Lotus Blossom: A New Nation-State Cyberthreat? (June 2015)
- Facebook’s Report Abuse button has become a tool of global oppression (September 2014)
- Vietnamese Malware Gets Very Personal (January 2014)