Posted
on 05/12/2017
Tại
Việt Nam, tin tặc và các cuộc tấn công mạng là trợ thủ đắc lực của nhà nước
trong việc kiểm soát thông tin và giới hạn quyền tự do trên mạng của người dân,
doanh nghiệp và kể cả các chính phủ nước ngoài.
Đó
là lời cảnh báo được ba tổ chức quốc tế với nhiều kinh nghiệm làm việc chuyên
sâu trong lĩnh vực an ninh mạng (cybersecurity), là Veloxity, Electronic Frontier Foundation,
và FireEye, đưa ra liên
tục trong ba năm vừa qua.
Đánh
giá gần đây nhất về việc chính phủ Việt Nam sử dụng tin tặc (hacker)
cho mục đích phản gián, là do tổ chức chuyên nghiên cứu và đưa ra các giải pháp
về an ninh mạng Veloxity – có trụ sở ở bang Washington D.C., Hoa Kỳ – đưa ra
vào ngày 6/11/2017.
Theo
đó, chính phủ Việt Nam đã phát động và tiến hành một chiến dịch dài hơi, quy mô
và bài bản về tấn công mạng (cyber attack), cũng như phản gián mạng (cyber
espinonage). Đáng lưu ý là nhà nước Việt Nam đã tổ chức và điều hành một nhóm
gián điệp mạng có chuyên môn cao. Nhóm này dùng nhiều biện pháp tấn công khác
nhau trên mạng Internet để trực tiếp phá hoại các hoạt động của các tổ chức, cá
nhân, doanh nghiệp, và cả các chính phủ nước ngoài.
Nhóm
gián điệp mạng OceanLotus (Sen biển) của chính phủ Việt Nam
Tài
liệu từ các tổ chức nói trên cho biết, có thể ít nhất là từ năm 2014,
chính phủ Việt Nam đã bắt đầu sử dụng một đội ngũ gián điệp trên mạng Internet
(cyber espinonage group).
Sen
biển. Ảnh: veloxity.com
Hiện
nay, nhóm này thường được biết đến với tên gọi Sen biển (OceanLotus hoặc
SeaLotus), hay APT-C-00 và APT32 trong các báo cáo của các tổ chức chuyên
nghiên cứu về các cuộc tấn công mạng trên toàn thế giới. Có ít nhất một báo cáo
cho thấy OceanLotus từng liên quan đến nhóm tin tặc Sinh
Tử Lệnh.
Sở
dĩ các chuyên gia cho rằng OceanLotus được chính phủ Việt Nam trực tiếp điều
hành, là vì nhóm này chỉ tấn công vào những công ty hoặc tổ chức có liên hệ mật
thiết đến các chính sách đối nội và đối ngoại của Việt Nam.
Nạn
nhân của OceanLotus trong các cuộc tấn công mạng là các tập đoàn doanh nghiệp ở
phạm vi khu vực hoặc đa quốc gia có những hoạt động liên
quan đến Việt Nam. Ngoài ra còn có các nhóm, hội đoàn làm việc về quyền
con người, những tổ chức chính trị (cả trong lẫn ngoài nước) cũng được liệt vào
danh sách đối tượng bị tấn công, bao gồm cả các tổ chức và phóng viên quốc tế.
Nhóm
tin tặc OceanLotus còn được xem là đã bắt đầu nhiệm vụ tấn công vào các nhà hoạt
động xã hội và những người bất đồng chính kiến ở Việt Nam từ năm 2009 dưới một
tên gọi khác. Điều này cho thấy, việc sử dụng tin tặc để ngăn cản các tiếng nói
đối lập là một kế hoạch dài hơi của chính phủ.
OceanLotus
dùng những biện pháp kỹ thuật gì để hoạt động?
Theo
đánh giá của giới chuyên gia, OceanLotus sử dụng các biện pháp kỹ thuật cũng
như các chiến lược tấn công rất đa dạng và tiến bộ.
Mục
đích cao nhất của nhóm tin tặc này là bằng mọi cách phải chiếm và giữ được quyền
kiểm soát các máy tính cá nhân của các đối tượng, để từ đó có thể tiến hành điều
khiển từ xa. Nhóm sẽ thu thập thông tin cá nhân, tài khoản email, tài khoản mạng
xã hội, hồ sơ lưu trữ trên máy tính, kể cả các đoạn chat. Sau đó thâm nhập và nắm
giữ toàn bộ thông tin của đối tượng.
Có
một số dấu hiệu cho thấy, OceanLotus cài đặt mã độc trên các trang blog và
trang mạng của các nhà hoạt động – sau khi đã chiếm được quyền kiểm soát và điều
khiển – để tấn công những nhà hoạt động khác.
Trong
một vài cuộc tấn công vào những trang mạng và trang blog, OceanLotus còn sử dụng
“danh sách trắng” (whitelist) chỉ dành riêng cho một nhóm đối tượng đặc biệt.
OceanLotus có khả năng chọn lọc nhóm đối tượng này, vì đã nắm giữ đầy đủ thông
tin để nhận diện và hướng các cuộc tấn công trực tiếp vào họ.
Phương
pháp đó được xem là đã mô phỏng từ Cơ quan An ninh Quốc gia Hoa Kỳ (National
Security Ageny – NSA). Chính vì vậy mà giới chuyên môn cho rằng, chỉ một nhóm
gián điệp mạng trực thuộc quyền điều
hành của nhà nước mới có thể hoạt động một cách tinh vi như vậy.
Ngoài
việc tấn công vào các trang mạng và trang blog, OceanLotus còn sử dụng một thủ
pháp khác, đó là gửi ra các “văn bản mồi” (lure documents). Các văn bản này có
thể là các tệp hồ sơ đính kèm như Microsoft Word định dạng doc, phần mềm có
đuôi exe, hoặc các đường link có chèn mã độc.
Không
chỉ riêng các nhà hoạt động và bất đồng chính kiến của Việt Nam nhận được các
email gửi kèm các văn bản mồi, mà ngay cả các nhà báo nước ngoài làm việc tại
Việt Nam cũng nằm trong nhóm đối tượng bị nhắm đến. Các văn bản này có nội dung
khá tương tự nhau, ví dụ như thư mời tham gia các khóa học, thư ngỏ, lời
kêu gọi tham gia các chiến dịch, hay các bản báo cáo về sai phạm nhân quyền của
chính phủ, v.v.
Năm
2013, những người làm việc cho Thông tấn xã AP (Associated Press) trụ sở Việt
Nam đã nhận được một email – tự nhận là từ tổ chức nhân quyền quốc tế Human
Rights Watch – với đường link mồi “Human Rights Watch Paper Vietnam”. Địa chỉ
email là giả và đường link có chèn mã độc.
OceanLotus
cũng được xem là có khả năng tấn công cả hệ điều hành Windows lẫn OSX/macOS của
Apple. Ngoài ra, OceanLotus còn sử dụng các ứng dụng yêu cầu đối tượng truy cập
và đăng nhập vào các tài khoản Google, để từ đó có thể chiếm được quyền kiểm
soát các hộp thư email.
Những
biện pháp tự bảo vệ bản thân dành cho người dân
Từ
cuối năm 2014, các nhà hoạt động Việt Nam đã cảnh
báo Facebook về nguy cơ của việc họ bị tấn công trên mạng từ các dư luận
viên của chính phủ. Những “binh đoàn chiến sĩ mạng” đã báo cáo (report) hàng chục
tài khoản Facebook của những nhà hoạt động, các blogger, cũng như các trang
fanpage có nhiều người theo dõi, ví dụ như Nhật Ký Yêu Nước.
Cho
đến thời điểm hiện tại, những vụ việc bị “report” và bị mất tài khoản Facebook
vẫn thường xuyên xảy ra cho những Facebooker có lượng theo dõi cao. Như đã nói ở
trên, việc chiếm quyền kiểm soát các tài khoản mạng xã hội là một phần trong
chiến lược của nhóm gián điệp mạng OceanLotus, nhằm nắm giữ toàn bộ thông tin của
đối tượng nằm trong danh sách “phải tấn công”.
Vậy
thì biện pháp nào có thể giúp đề phòng các cuộc tấn công này?
Trước
hết, các chuyên gia khuyến cáo mọi người phải tuyệt đối cẩn thận với các đường
links và các tệp hồ sơ gửi kèm email, ngay cả khi chúng được gửi từ người quen.
Thay vì tải xuống máy các tài liệu đính kèm, thì hãy sử dụng Google Docs để mở
chúng. Nếu cảm thấy có bất kỳ nghi ngờ gì về email mà mình nhận được, tốt nhất
là nên liên hệ với người gửi và không mở các tài liệu đính kèm.
Sử
dụng bảo mật hai bước xác nhận (2-step verification) cho tất cả các tài khoản
và hãy cảnh giác với tất cả các trang mạng hoặc ứng dụng nào đòi hỏi đăng nhập
thông qua tài khoản Google của mình.
Ngoài
ra, hãy báo cho Google biết về những đường link nghi ngờ có chứa mã độc:
Nếu
bị mất tài khoản Facebook, hoặc bị báo cáo và bị cấm hay hạn chế đăng nhập
trong một thời gian nhất định, người dùng có thể liên lạc tổ chức Access Now tại địa chỉ
email: contact@accessnow.org để tìm hiểu phương thức lấy lại tài khoản
của mình. Access Now là một tổ chức quốc tế chuyên làm việc về quyền tự do
Internet và an toàn trên mạng cho người dùng Internet.
Veloxity, Electronic Frontier Foundation,
và FireEye là những
tổ chức được giới chuyên môn đánh giá cao, cũng như được các tờ báo lớn trên quốc
tế như Bloomberg, Telegraph, New York Times và Forbes thường xuyên trích dẫn khi đưa
tin về các vấn đề liên quan đến tin tặc, gián điệp mạng, tấn công mạng, và an
toàn mạng.
Tài
liệu tham khảo:
No comments:
Post a Comment