Moscow
và kế hoạch chiến tranh mạng phá hoại phương Tây
Lê Tây Sơn -
Saigon Nhỏ
2 tháng 4, 2023
https://saigonnhonews.com/thoi-su/the-gioi/moscow-va-ke-hoach-chien-tranh-mang-pha-hoai-phuong-tay/
Một người ẩn danh đã cung
cấp tài liệu của nhà thầu Nga NTC Vulkan (Vulkan) cho một phóng viên Đức sau khi bày tỏ
sự phẫn nộ về việc Nga tấn công Ukraine. Vụ rò rỉ, một sự cố bất thường đối với
tổ hợp công nghiệp quân sự bí mật này, cho thấy một hậu quả không mong muốn
khác đến từ quyết định đưa đất nước vào cuộc chiến tranh xâm lược của Tổng thống
Nga Vladimir Putin.
https://saigonnhonews.com/wp-content/uploads/2023/04/GettyImages-868706132.jpg
Putin chưa bao giờ ngưng những âm mưu đánh phá nước Mỹ nói riêng và
phương Tây nói chung (ảnh: Jaap Arriens/NurPhoto via Getty Images)
.
Quà tặng cho phương Tây từ một người thức tỉnh?
Hàng ngàn trang tài liệu bí mật của Vulkan đã cung cấp cái nhìn hiếm hoi về tham vọng chiến tranh mạng (cyberwar)
của Nga, khi các cơ quan tình báo Nga đã làm việc với một nhà thầu quốc phòng
có trụ sở tại Moscow để tăng cường khả năng thực hiện các cuộc tấn công mạng,
gieo rắc thông tin sai lệch và giám sát các mục tiêu trên internet như hệ thống
kiểm soát đường biển, đường hàng không và đường sắt.
Kho tài liệu nêu chi tiết một bộ phần mềm máy
tính và cơ sở dữ liệu cho phép tình báo và các nhóm tin tặc Nga tìm ra lỗ hổng,
điều phối tấn công và kiểm soát hoạt động trực tuyến tốt hơn. Các quan chức từ
năm cơ quan tình báo phương Tây và một số công ty an ninh mạng độc lập tin rằng
kho tài liệu này là xác thực, sau khi xem xét các đoạn trích theo yêu cầu của tờ The
Washington Post (The Post) và một số tổ chức tin tức khác.
Dù họ không thể tìm thấy bằng chứng chắc chắn
là các hệ thống đã được Nga triển khai hoặc đã được sử dụng trong các cuộc tấn
công mạng cụ thể, nhưng tài liệu thể hiện các dịch vụ an ninh của Nga và một số
viện nghiên cứu liên quan là bên ký hợp đồng phát triển, thử nghiệm và thanh
toán với Vulkan. Nhà thầu này có cả khách hàng chính phủ và dân sự.
Kho tài liệu mở cơ hội hiếm
hoi nhìn vào các giao dịch bí mật của Vulkan trong quân đội và các cơ quan gián
điệp Nga, gồm cả hợp đồng với nhóm tin tặc khét tiếng Sandworm bị phía Mỹ cáo buộc hai lần gây mất điện ở
Ukraine, làm gián đoạn Lễ khai mạc Thế vận hội mùa Đông 2018 và tung ra phần mềm
độc hại NotPetya có sức tàn phá kinh tế lớn nhất trong lịch sử.
Một tài liệu dài 11 trang chưa được ký tên bị
rò rỉ đã tiết lộ ký hiệu số cho đơn vị tình báo quân đội của Sandworm là 74455
và cho thấy rằng năm 2019 Vulkan được giao phát triển phần mềm để nhóm hack ưu
tú của chính phủ Nga sử dụng. Tài liệu này cho thấy một quan chức của Sandworm
đã phê duyệt giao thức truyền dữ liệu.
“Vulkan
đang làm những điều tồi tệ, còn chính phủ Nga thì hèn nhát và sai lầm” – người
cung cấp tài liệu cho phóng viên Đức lên tiếng ngay sau cuộc xâm lược Ukraine
trước khi chia sẻ kho tài liệu dưới dạng bộ đệm (cache) với một nhóm các tổ chức
tin tức, gồm The Post, Paper Trail Media và Der Spiegel. Kho tài liệu ban đầu
được chuyển cho một phóng viên của tờ báo Đức Süddeutsche Zeitung. Nhóm kiểm
tra độ chính xác của kho tài liệu có 11 thành viên gồm The Post, the Guardian,
Le Monde, Der Spiegel, iStories, Paper Trail Media và Süddeutsche Zeitung đến từ
tám quốc gia.
Hồ sơ tài chính của Vulkan, được The Post thu
thập riêng, khớp với các tài liệu mật, trong đó nêu chi tiết các giao dịch trị
giá hàng triệu đôla giữa các tổ chức tình báo hoặc quân đội Nga và Vulkan.
https://saigonnhonews.com/wp-content/uploads/2023/04/GettyImages-1189180464.jpg
Một báo cáo
về hoạt động đánh phá các cuộc bầu cử Mỹ của Nga (ảnh: Drew Angerer/Getty
Images)
Thọc sâu vào an ninh mạng
Bộ đệm (cache) chứa hơn 5,000 trang tài liệu từ
2016-2021, gồm sách hướng dẫn, bảng thông số kỹ thuật và các chi tiết khác cho
những phần mềm mà Vulkan thiết kế cho tình báo và quân đội Nga. Nó cũng chứa
các email nội bộ của công ty, hồ sơ tài chính và hợp đồng cho thấy tham vọng
không gian mạng của Nga lớn đến nỗi Moscow phải thuê cả các nhà thầu bên ngoài.
Trong các kế hoạch chiến tranh mạng, có dự án
tạo các trang mạng xã hội giả mạo và các phần mềm có thể xác định và lưu trữ
danh sách những lỗ hổng bảo mật trong các hệ thống máy tính trên toàn cầu để có
thể tấn công trong tương lai. Một số bản mô phỏng giao diện người dùng cho một
dự án có tên là Amezit dường như nói về các mục tiêu tấn công có thể xảy ra,
như Bộ Ngoại giao ở Thụy Sĩ và một nhà máy điện hạt nhân ở đây.
Một tài liệu khác cho thấy một bản đồ nước Mỹ
với các vòng tròn có vẻ là vị trí các cụm máy chủ internet. Một hình minh họa
có tên Skan đề cập đến một địa điểm ở Mỹ được gắn nhãn “Fairfield” (tức là có lỗ
hổng an ninh tấn công được).
Một tài liệu khác mô tả một “kịch bản người
dùng”, trong đó các nhóm tin tặc sẽ xác định các bộ định tuyến không an toàn ở
Bắc Hàn để dùng nó như trung gian trong một cuộc tấn công mạng vào các quốc gia
phương Tây.
Dù các tài liệu không xác định cụ thể danh
sách mục tiêu đã được xác minh, mã phần mềm độc hại hoặc bằng chứng liên kết
các dự án với các cuộc tấn công mạng đã biết nhưng chúng cung cấp những hiểu biết
sâu sắc về việc Nga đang khao khát phát triển và hệ thống hóa năng lực thực hiện
tấn công mạng với tốc độ, quy mô và hiệu quả cao hơn.
John Hultquist, Phó chủ tịch phân tích tình
báo của công ty an ninh mạng Mandiant, sau khi xem xét một số tài liệu chọn lọc
theo yêu cầu của The Post đã nhận xét: “Kho tài liệu rò rỉ này cho thấy Nga xem
hoạt động tấn công vào cơ sở hạ tầng dân sự quan trọng và hoạt động thao túng mạng
xã hội chỉ là một với cùng một nhiệm vụ cơ bản: Đánh gục ý chí chiến đấu của kẻ
thù”.
.
Nhà thầu quân sự đóng vai trò quan trọng
Năm 2012, nhóm phân tích đe dọa an ninh mạng tại
Google đã tìm thấy bằng chứng Vulkan đang được sử dụng bởi SVR, cơ quan tình
báo nước ngoài của Nga. Họ bắt gặp một email đáng ngờ được gửi từ một tài khoản
Gmail đến tài khoản email Vulkan của cùng một người, rõ ràng là nhân viên của
công ty.
Các tài liệu tham khảo về Vulkan cũng có thể
tìm thấy trong VirusTotal, một dịch vụ do Google sở hữu chứa dữ liệu các phần mềm
độc hại dành cho các nhà nghiên cứu bảo mật. Một phần mềm độc hại “Secret Party
NTC Vulkan” ngụy trang lời mời nghỉ dưỡng sẽ chiếm quyền kiểm soát máy tính của
người dùng. Lời mời có nội dung “APT Magma Bear chúc bạn và gia đình có một kỳ
nghỉ lễ tuyệt vời và một Năm mới mạnh khỏe, bình an!” trên nền nhạc quân đội
Liên Xô sẽ tự động tải xuống hình minh họa một con gấu lớn bên cạnh chai rượu
sâm panh và hai chiếc ly. Hình ảnh đã được Google dán nhãn “APT Magma Bear” với
tên mã ursine (để cảnh báo các nhóm tin tặc Nga nguy hiểm nhất).
Vulkan được thành lập năm 2010 có khoảng 135
nhân viên (theo các trang web thông tin kinh doanh của Nga). Trang web của công
ty cho biết trụ sở chính của nó ở phía Đông Bắc Moscow. Một video quảng cáo
trên trang web của công ty miêu tả Vulkan là “một công ty khởi nghiệp công nghệ”,
rằng “mục tiêu của công ty là làm cho thế giới trở thành một nơi tốt đẹp hơn”.
Đoạn video quảng cáo không đề cập đến hợp đồng
quân sự hay tình báo. Một số cựu nhân viên của Vulkan chuyển sang làm việc cho
các công ty lớn của phương Tây như Amazon và Siemens. Kho tài liệu mật cũng cho
thấy Vulkan dự định sử dụng một loạt phần cứng của Mỹ để xây dựng hệ thống an
ninh của Nga, trong đó có bộ xử lý Intel và bộ định tuyến Cisco dùng để định cấu
hình hệ thống “phần cứng-phần mềm” cho các đơn vị tình báo và quân đội Nga.
https://saigonnhonews.com/wp-content/uploads/2023/04/GettyImages-1229171279.jpg
Viên chức Bộ Tư pháp Hoa Kỳ trong buổi họp báo cho biết sáu viên chức
tình báo Nga liên quan những chiến dịch phá rối mạng nhằm vào Mỹ và phương Tây
(ảnh: Andrew Harnik – Pool/Getty Images)
.
Lan truyền thông tin sai lệch tự động
Trong hàng ngàn trang tài liệu bị rò rỉ có các
dự án được thiết kế để tự động hóa và cho phép các đơn vị hack của Nga hoạt động
hiệu quả. Ví dụ, Amezit nêu chi tiết cách tự động tạo ra lượng lớn tài khoản mạng
xã hội giả mạo cho một chiến dịch đưa thông tin sai lệch.
Một tài liệu mô tả cách sử dụng dãy thẻ SIM điện
thoại di động để vượt qua kiểm tra xác minh đối với các tài khoản mới trên
Facebook, Twitter và các mạng xã hội khác. Các phóng viên của Le Monde, Der
Spiegel và Paper Trail Media, khi làm việc với các tài khoản Twitter được liệt
kê trong đống tài liệu, đã tìm thấy bằng chứng cho thấy những phương pháp này
có thể đã được sử dụng cho nhiều chiến dịch thông tin sai lệch ở một số quốc
gia.
Các tài liệu cho thấy Amezit có cả tính năng
cho phép tình báo Nga theo dõi, sàng lọc và giám sát internet ở các khu vực họ
muốn kiểm soát. Một hướng dẫn dự thảo năm 2017 cho một trong các hệ thống của
Amezit đã cung cấp hướng dẫn về “chuẩn bị, sắp xếp và quảng cáo các tài liệu đặc
biệt”. Một hướng dẫn năm 2016 để người dùng Amezit di con trỏ chuột qua một “mục
tiêu vật lý” trên bản đồ và hiển thị địa chỉ IP, tên miền và hệ điều hành cũng
như thông tin khác về mục tiêu.
Một mục tiêu đánh dấu màu xanh huỳnh quang là
Bộ Ngoại giao ở Bern, Thụy Sĩ. Đối tượng khác được đánh dấu trên bản đồ là Nhà
máy điện hạt nhân Muhleberg, phía tây Bern, Thuỵ Sĩ (đã ngừng sản xuất điện vào
năm 2019). Dmitri Alperovitch, người đồng sáng lập công ty tình báo đe dọa mạng
CrowdStrike hiện là chủ tịch Silverado Policy Accelerator, một tổ chức tư vấn ở
Washington DC, nhận xét:
“Các tài liệu chỉ ra mục đích của Amezit là
cho phép người Nga khám phá và lập bản đồ các cơ sở quan trọng như đường sắt và
nhà máy điện”.
Theo kho tài liệu, chiến thuật của Amezit ít
nhất đã được các cơ quan tình báo Nga thử nghiệm vào năm 2020. Một tài liệu
khác cho thấy Vulkan đã ký hợp đồng vào năm 2018 để tạo ra một chương trình đào
tạo có tên Crystal-2 với tối đa 30 học viên. Tài liệu đề cập đến việc thử nghiệm
“hệ thống Amezit để vô hiệu hóa hệ thống điều khiển cho vận tải đường sắt, đường
hàng không và đường biển” nhưng không nói rõ liệu chương trình đào tạo có được
tiếp tục hay không.
Skan, tên một dự án khác được mô tả trong các
tài liệu sẽ cho phép những kẻ tấn công Nga liên tục phân tích internet để tìm
các hệ thống dễ bị tổn thương và đưa chúng vào cơ sở dữ liệu cho các cuộc tấn
công tương lai. Joe Slowik, Giám đốc tình báo an ninh tại công ty an ninh mạng
Huntress, nhận xét: “Skan có thể được thiết kế để hoạt động song song với các
phần mềm khác. Đây là hệ thống chủ cho phép tiến hành từ tổ chức đến giao nhiệm
vụ và nhắm mục tiêu vào các lỗ hổng an ninh mạng của đối phương theo kiểu quản
lý tập trung”.
Theo Slowik, nhóm tin tặc quân sự Nga Sandworm
đang giữ kho lưu trữ lớn các lỗ hổng. Một tài liệu từ năm 2019 cho biết Skan được
sử dụng để hiển thị danh sách tất cả các kịch bản tấn công và đánh dấu tất cả
các vị trí bị tấn công. Hệ thống này dường như cũng cho phép phối hợp giữa các
đơn vị hack của Nga từ nhiều địa điểm khá nhau thông qua trao đổi dữ liệu.
Gabby Roncone, một chuyên gia an ninh mạng
khác tại Mandiant, nhận xét: “Skan làm tôi nhớ đến những bộ phim quân sự cũ,
nơi các chỉ huy đứng xung quanh bản đồ để đặt pháo binh và quân đội của họ trên
bản đồ; tìm hiểu vị trí xe tăng địch và nơi cần tấn công trước để chọc thủng
phòng tuyến đối phương”. Có bằng chứng cho thấy ít nhất một phần dự án Skan đã
được chuyển giao cho quân đội Nga thử nghiệm.
No comments:
Post a Comment