Monday, January 2, 2017

CÂU CHUYỆN DANG DỞ (Lê Phan)




Lê Phan
December 31, 2016

Ở đài BBC có một thông lệ mà đối với các cựu nhân viên đã trở thành một thói quen, đó là chúng tôi không nói chuyện năm cũ trong năm mới. Mọi chương trình tổng kết tin tức cuối năm phải phát hết trước năm mới. Nhưng năm 2016 là một năm không chịu ra đi một cách êm thấm. Cái năm đầy biến động đó đã tiếp tục gây ảnh hưởng đến tình hình cho đến ngày cuối cùng. Thành ra đành phá lệ nói đến một câu chuyện tuy cũ mà vẫn mới.

Vào đúng ngày 29 Tháng Mười Hai vừa qua, Tổng Thống Barack Obama ra lệnh đưa ra một loạt các biện pháp chế tài với Nga, kể cả trục xuất 35 người mang thông hành ngoại giao mà Hoa Kỳ biết chắc là làm việc cho các cơ quan tình báo Nga, đóng cửa hai cơ sở mà các viên chức Hoa Kỳ nói được Nga sử dụng để dọ thám Hoa Kỳ ngay chính trên đất Mỹ.

Cũng hôm Thứ Năm, 29 Tháng Mười Hai, Cơ Quan Điều Tra Liên Bang (FBI) và Bộ Nội An đã cho phổ biến một bản phúc trình cho biết chi tiết về cách Nga đã hành động để ảnh hưởng đến cuộc bầu cử Hoa Kỳ qua tình báo bằng tin tặc. Bản phúc trình ghi rõ “để cung cấp những chi tiết kỹ thuật liên quan đến các dụng cụ và hạ tầng cơ sở sử dụng bởi các cơ tình báo dân sự và quân sự của Nga (gọi tắt là RIS) trong việc đột nhập và thao túng hệ thống và những kết quả liên hệ đến cuộc bầu cử Hoa Kỳ, cũng như là một loạt các định chế của chính phủ Hoa Kỳ, các chủ thể chính trị và khu vực tư. Chính phủ Hoa Kỳ đã gọi những hoạt động Internet có chủ đích xấu bởi RIS là Grizzly Steppe (Gấu Grizzly vùng thảo nguyên).”

Bản phúc trình khẳng định kết quả này được hỗ trợ bởi những chỉ dấu kỹ thuật từ cộng đồng Tình báo Hoa Kỳ, Bộ Nội An, FBI, khu vực tư. Bản phúc trình khẳng định là chính phủ Hoa Kỳ xác nhận có hai nhóm tham dự vào cuộc đột nhập vào một đảng chính trị Hoa Kỳ. Nhóm thứ nhất, được gọi là Advanced Persistent Threat 29 (APT-29) đột nhập vào mùa Hè năm 2015, trong khi nhóm thứ hai APT28 đột nhập vào mùa Xuân năm 2016. Bản phúc trình khẳng định là cả hai nhóm này trong quá khứ đã đột nhập vào các cơ quan chính phủ, các tổ chức nghiên cứu, viện đại học, và tập đoàn kinh doanh trên toàn thế giới. Bản phúc trình đưa ra chi tiết về các đột nhập. Mùa Hè năm 2015, APT29 đã sử dụng địa chỉ miền (domain) chính đáng của nhiều tổ chức và định chế giáo dục Hoa Kỳ để gửi các malware (chương trình xấu) và gửi emails dụ dỗ. Và trong chiến dịch này APT29 đã đột nhập thành công một đảng chính trị Hoa Kỳ. Ít nhất một người trong số 1,000 đối tượng đã mở link của malware và giúp họ đột nhập rồi đào sâu và sau đó gửi ngược những dữ kiện thu thập được qua những mạng sử dụng mật mã. Mùa Xuân năm 2016, APT28 cũng lại đột nhập đảng chính trị này lần nữa, cũng qua gửi email dụ dỗ có chủ đích. Lần này, email đã dụ được người nhận đổi password qua một địa chỉ dỏm do APT28 điều hành. Sử dụng mật mã này giúp APT28 đột nhập và đánh cắp nội dung từ nhiều viên chức cao cấp của đảng. Bản phúc trình viết “Chính phủ Hoa Kỳ thẩm định là thông tin này được tiết lộ cho báo chí và công khai phổ biến.”

Mặc dầu những chi tiết như vậy nhưng câu hỏi mà đã được chính Tổng Thống Đắc Cử Donald Trump gợi ý, đó là làm sao có thể khẳng định là APT29 và APT28 là các cơ quan của chính phủ Nga.

Thông tín viên đặc biệt về an ninh của đài BBC, ông Gordon Corera, đã có thời có liên hệ với ngành tình báo, công nhận là việc truy nguyên nguồn gốc của một cuộc tấn công tin tặc là rất khó, những số không và số 1 trên các hoạt động internet có thể được thao túng để giấu danh tính của kẻ tấn công. Có điều ông Corera chỉ ra là vụ đột nhập vào Ban điều hành đảng Dân chủ đã công khai một cách bất bình thường. Đó là vì đảng Dân chủ đã mời công ty CrowdStrike điều tra vào mùa Xuân năm 2016 và rồi cho phép họ công bố hầu hết những chi tiết kỹ thuật. Việc này cho phép các nhà điều tra của cộng đồng an ninh mạng nghiên cứu tỉ mỉ. Công việc truy tìm bao gồm so sánh các loại chương trình xấu mà tiếng chuyên môn gọi là “malware” được dùng trong các hoạt động tấn công trước đó, cũng không khác gì theo dấu tay của một nghi phạm của một vụ án, cũng như tìm chiều hướng xem ai bị tấn công.

Trong trường hợp này, CrowStrike đã nhận diện được hai kẻ đã đột nhập vào hệ thống của đảng Dân Chủ mà họ đã từng gặp – một được họ gọi là Cozy Bear (có liên hệ đến cơ quan an ninh quốc nội của Nga FSB mà tiền thân là KGB, một cơ quan nơi ông Vladimir Putin từng là nhân viên và lên đến chỉ huy), và một được họ gọi là Fancy Bear (có liên hệ với GRU, quân báo Nga). CrowdStrike bảo Cozy Bear đột nhập hệ thống và đánh cắp dữ liệu. Fancy Bear liên hệ đến việc phổ biến dữ liệu từ đảng Dân Chủ và các nhân vật chính trị. Ông Shawn Henry của CrowdStrike nói với ông Corera: “Chúng tôi đã truy nguyên đến chính phủ Nga. Chúng tôi tin tưởng ở một mức độ cao là nó có liên hệ với Nga.”

Những chuyên gia khác nói họ thấy những vết tích của các chương trình xấu malware kiểu Nga, vốn không có trên các thị trường tội phạm, xuất hiện trong hệ thống của đảng Dân Chủ. Các nhà phân tích khác cũng truy nguyên con đường mà thông tin đi qua để đến các địa chỉ công khai tiết lộ. Giám đốc điều hành về đe dọa tình báo của công ty ThreatConnect Toni Gidwani giải thích là “nó không phải là một chuỗi sở hữu rõ rệt” nhưng cũng thêm là mọi bằng cớ chỉ đến Nga.

Ngay cả tin tặc tự gọi mình là Guccifer 2.0, vốn tuyên bố chịu trách nhiệm cho việc lấy được những thông tin và phổ biến chính là cho WikiLeaks, có vẻ không phải chỉ là một người.

Loại phân tích từ khu vực tư này cho thấy đó chỉ là một sự thẩm định chứ không phải là bằng cớ không tranh cãi, nhưng nó là cái có thể được đưa ra công khai.

Có những cách khác mà các cơ quan tình báo có thể sử dụng, nhưng nó không mấy công khai. Những tài liệu mà ông Edward Snowdon tiết lộ về khả năng của Cơ Quan Tình Báo Quốc Gia (NSA) của Hoa Kỳ, đồng minh với cơ quan GCHQ của Anh, có thể theo dõi dữ liệu di chuyển ở mức toàn cầu, kể cả nghe lén những gì truyền qua đường dây cáp quang tuyến ở những ngã tư quan trọng. Cái loại tình báo dựa trên tín hiệu này mà tên tắt là SIGINT là một phần quan trọng trong hệ thống phòng thủ Internet. Nó cung cấp một khả năng độc đáo không những chỉ nghe lén kẻ khác mà còn theo dõi những kẻ khác hoạt động tình báo. Một đôi khi các quốc gia còn ăn cắp của các gián điệp của người khác đang nói đến một quốc gia thứ ba – được gọi là thu thập từ phe thứ tư.

Sir Ian Lobban, người đứng đầu GCHQ, nói với ông Corera trong một cuộc phỏng vấn trước khi có vụ tiết lộ của Snowdon, rằng: “Chúng tôi tìm chiều hướng, chữ ký, những mẩu vốn làm lộ sự đột nhập – sự khám phá là có một kẻ thù nghịch đang đột nhập vào một hệ thống tế nhị và bằng cách nào đó chuyển được những dữ liệu tưởng là an toàn ra ngoài.”

Khả năng SIGINT “bị động” này có thể là một lý do tại sao, ngay từ Tháng Chín, 2015, FBI đã tìm cách khuyến cáo đảng Dân Chủ về chuyện có thể bị đột nhập.

Các gián điệp còn có những phương thức tích cực để đột nhập vào hệ thống của đối thủ, hay là đặt malware vào máy của đối thủ để theo dõi xem họ làm gì. Các nhân viên của GCHQ và NSA đã có khi lặn lội trong những dữ liệu từ các computers của tin tặc, kể cả hình ảnh chó mèo và ảnh cũ của gia đình để liên hệ một vụ tấn công tin tặc cho một kẻ nào đó.

Một đôi khi những sự lục soát này rất hữu dụng – những tấm hình của mấy anh tin tặc từ Giải Phóng Quân Trung Quốc, sau đó công khai trong một cáo trạng về gián điệp thương mại bởi chính Bộ Tư Pháp Hoa Kỳ chẳng hạn. Lần đó, sự công bố này là để khuyến khích thay đổi lối các hành xử của Trung Cộng. Các viên chức Hoa Kỳ nói là nó có thành công ở một mức độ nào đó.

Hoa Kỳ đã gặp một vị thế khó xử về nên tiết lộ cái gì khi họ nói Bắc Hàn đã tấn công vào Sony Pictures. Sự việc Hoa Kỳ tin tưởng được thủ phạm là Bắc Hàn chính là vì họ đã có những “kẻ nằm vùng’ trong hệ thống điện toán của Bắc Hàn.

Nhưng so với sự thô sơ của Bắc Hàn thì điệp viên Nga được coi như là tàng hình giỏi nhất và hữu hiệu nhất trong tất cả các cơ quan tình báo trên toàn thế giới khi nói đến che giấu vết tích của họ. Và đó là lúc người ta phải có tình báo của chính các điệp viên. Chứng minh một cuộc tấn công tin tặc có thể là vì có một điệp viên bên trong guồng máy của Mạc Tư Khoa cho biết là các cơ quan tình báo đang làm gì.

Quan trọng hơn nữa là những điệp viên này có thể giải thích về mục đích và động cơ thúc đẩy hoạt động tin tặc, một sự mà không rõ nếu chỉ qua các chi tiết kỹ thuật. Nhưng nếu Hoa Kỳ có loại nguồn tin như thế này thì họ sẽ làm đủ mọi cách để bảo vệ và tránh tiết lộ. Và họ chắc chắn sẽ không muốn công bố.

Tình báo Hoa Kỳ còn nói là họ tin cuộc tấn công tin tặc này được lệnh từ cấp cao nhất của Điện Kremlin. Hôm 16 Tháng Mười Hai, Tổng Thống Barack Obama nói: “Không có bao nhiêu chuyện xảy ra ở Nga mà không có Vladimir Putin.” Họ có thể có tình báo hỗ trợ cho điều này, nhưng cũng có thể là dựa trên quá khứ, Hoa Kỳ tin là một chiến dịch đặc biệt tế nhị thế này không thể nào được thực hiện mà không có sự cho phép của các viên chức cao cấp. Một thẩm phán Anh đã có một kết luận tương tự về vai trò của Điện Kremlin trong vụ ám sát ông Alexander Litvinenko ở Luân Đôn.

Vấn đề, theo ông Corera, đối với tình báo Hoa Kỳ và Tòa Bạch Ốc là: “Tiết lộ bao nhiêu là cần thiết?”

Nhưng như ông Trump đã chỉ ra, với di sản của vụ Iraq, thách thức cho tình báo Hoa Kỳ là tiết lộ bao nhiêu cũng có thể có những người không tin như tổng thống đắc cử.

-----------------------





No comments:

Post a Comment