Reuters hôm thứ Tư đưa tin nhóm tin tặc APT32 ủng hộ chính phủ Việt Nam đã tìm cách đột nhập email cá nhân và công việc của nhân sự thuộc Bộ Quản lý tình trạng khẩn cấp của Trung Quốc và chính quyền TP Vũ Hán để lấy tin về virus corona.
Dẫn tin của công ty FireEye, chuyên về an ninh mạng tại Mỹ, Reuters cho biết điều tra viên tại FireEye và các công ty an ninh mạng khác khẳng định họ tin nhóm APT32 phục vụ chính phủ Việt Nam.
Các hoạt động gần đây của nhóm cho thấy một mô hình tin tặc do chính phủ chống lưng nhằm vào các cơ quan chính phủ, doanh nghiệp, cơ quan y tế để tìm kiếm các thông tin về bệnh mới và các nỗ lực đối phó.
Trên trang blog chính thức của mình, công ty FireEye khẳng định nhóm APT32 có liên quan đến chính phủ Việt Nam đã nhắm vào chính phủ Trung Quốc để lấy thông tin liên quan đến Cúm Vũ Hán.
“Các cuộc tấn công cho thấy thông tin về virus là đối tượng ưu tiên của hoạt động gián điệp – tất cả mọi người đều nhắm vào nó, và APT32 là những gì Việt Nam có,” Ben Read, quản lý cấp cao bộ phận phân tích nguy cơ gián điệp Mandiant của FireEye, nhận xét với Reuters.
Reuters cho biết chính phủ Việt Nam đã không trả lời đề nghị bình luận về vấn đề này. Các email gửi tới địa chỉ email được các hacker sử dụng cũng không có hồi đáp. Tương tự, cục An ninh mạng, Bộ Quản lý tình trạng khẩn cấp, chính quyền TP Vũ Hán cũng chưa bình luận về vấn đề trên.
BBC News Tiếng Việt cũng chưa thể kiểm chứng tin này.
Theo Reuters, Việt Nam đã phản ứng rất nhanh trước thông tin xuất hiện virus corona chủng mới, đóng cửa biên giới với Trung Quốc và thực hiện các biện pháp nghiêm ngặt để truy vết và cách ly giúp nước này khống chế số người nhiễm dưới 300.
Adam Segal, một chuyên gia an ninh mạng tại Hội đồng Quan hệ Đối ngoại (Council on Foreign Relations) ở New York, nói với Reuters rằng các hoạt động tin tặc cho thấy Hà Nội đẩy mạnh hoạt động trên không gian mạng. Các vụ tấn công mới nhất mà FireEye phát hiện được tiến hành trước một tuần so với ca bệnh đầu tiên được thế giới biết đến, ông nói.
Không biết các cuộc tấn công vào Trung Quốc có thành công hay không nhưng các vụ tấn công cho thấy các hacker gồm cả tội phạm mạng và các gián điệp do chính phủ chống lưng đã tổ chức các hoạt động của mình trong đợt dịch virus corona, John Hultquist, giám đốc phân tích cấp cao của Mandiant, cho Reuters biết.
Tin tặc Việt nam hoạt động thế nào?
Theo FireEye, APT32 nhằm vào một nhóm nhỏ người bằng việc gửi email có đường dẫn có thể thông báo với hacker một khi người nhận mở ra xem. Sau đó hacker sẽ gửi email với phần đính kèm độc hại có chứa virus gọi là METALJACK giúp họ có thể đột nhập vào máy tính của nạn nhân.
Theo FireEye, APT32 tận dụng một bộ phần mềm độc hại có đầy đủ tính năng, kết hợp với các công cụ có sẵn trên thị trường, để thực hiện các mục tiêu phù hợp với lợi ích của nhà nước Việt Nam.
John Hultquist, Giám đốc phân tích tình báo của FireEye, nhận định các chiến thuật mà APT32 sử dụng bao gồm các tên miền đăng ký giống với các công ty xe hơi – sau đó thực hiện cuộc tấn công giả mạo (hình thức giả mạo thành một đơn vị/cá nhân uy tín để chiếm lòng tin của người dung). Sau đó, họ lấy cắp thông tin của nạn nhân để truy cập mạng nội bộ.
Bloomberg dẫn lời ông Marc-Étienne Léveillé, chuyên gia của công ty ESET có trụ sở tại Slovakia, phân tích trong cuộc tấn công này, tin tặc APT32 đã gửi tin nhắn qua Facebook có chứa phần mềm độc hại được hiển thị như một album ảnh. Khi nạn nhân kéo xem ảnh, một trong những bức ảnh thực tế là đã cài phần mềm độc hại trên máy tính.
“Đây chính xác là những điều mà chúng tôi dự đoán. Một cuộc khủng hoảng xảy ra và thông tin trở nên khan hiếm, từ đó các hoạt động gián điệp đánh cắp thông tin được triển khai,” ông nói.
Nhóm tin tặc là ai?
Trả lời trên Bloomberg, ông Nick Carr, Giám đốc của công ty an ninh mạng FireEye Inc, cho biết họ đã theo dõi APT32 – còn được gọi là Ocean Lotus và Ocean Buffalo – từ năm 2012. Năm 2017, nhóm của ông đã điều tra một loạt các vụ tấn công mạng ở Mỹ, Đức và nhiều quốc gia ở châu Á và thấy rằng nhóm APT32 đã dành ít nhất ba năm để tấn công các chính phủ nước ngoài, nhà báo, nhà bất đồng chính kiến và các tập đoàn nước ngoài có lợi ích trong các lĩnh vực sản xuất, hàng tiêu dùng và khách sạn ở Việt Nam.
Chuyên gia Marc-Étienne Léveillé nói rằng APT32 từng sử dụng phần mềm độc hại này trong các cuộc tấn công vào các cơ quan chính phủ và tổ chức thương mại tại Đông Á trong thời gian gần đây. Mục tiêu tấn công còn là các nhà hoạt động chính trị, bất đồng chính kiến ở Việt Nam, dẫn theo Bloomberg.
Cũng theo Bloomberg, các chuyên gia an ninh mạng nhận định nhóm tin tặc Việt Nam đang học kiểu chơi của Trung Quốc, sử dụng các cuộc tấn công mạng ngày càng phức tạp để đánh cắp thông tin đối thủ và giúp Việt Nam bắt kịp các đối thủ toàn cầu.
“Đây là một câu chuyện một Trung Quốc thu nhỏ,” Adam Meyers, phó chủ tịch phụ trách mảng tình báo của CrowdStrike, đánh giá.
Việt Nam bác cáo buộc hỗ trợ tin tặc tấn công Trung Quốc
Bộ Ngoại giao Việt Nam phủ nhận chính phủ hỗ trợ nhóm APT32 đánh cắp thông tin về Cúm Vũ Hán của Trung Quốc.
“Đây là những thông tin không có cơ sở. Việt Nam nghiêm cấm các hành vi tấn công mạng nhằm vào các tổ chức, cá nhân dưới bất cứ hình thức nào“, ông Ngô Toàn Thắng, phó phát ngôn Bộ Ngoại giao Việt Nam, nói trong họp báo trực tuyến thường kỳ chiều 23/4.
Ông Thắng lên tiếng về thông tin hãng bảo mật FireEye, trụ sở tại Mỹ, cho rằng chính phủ Việt Nam hỗ trợ nhóm hacker APT32 tấn công mạng vào các cơ quan chính phủ, doanh nghiệp trên thế giới, trong đó có Trung Quốc.
“Các hành vi tấn công, đe doạ an ninh mạng cần phải bị lên án và trừng trị nghiêm khắc theo quy định của pháp luật“, phó phát ngôn nói.
Theo ông Thắng, năm 2018, Quốc hội Việt Nam đã thông qua luật an ninh mạng. Việt Nam đang hoàn thiện các văn bản pháp quy để thực thi luật nhằm ngăn chặn các hành vi tấn công mạng.
“Việt Nam sẵn sàng hợp tác với cộng đồng quốc tế trong đấu tranh phòng và chống các hành vi tấn công mạng dưới mọi hình thức“, ông Thắng nói.
Một Facebooker là doanh nhân và cũng là tác giả từng viết bài cho BBC nhận định rằng đây có thể là cái bẫy do Trung quốc sắp đặt để lấy cớ gây sự với Việt nam giữa lúc tình hình biển Đông đang căng thẳng.
“Fire Eye cũng ngụ ý rằng rất nhiều nhóm cũng tấn công vào viện nghiên cứu P4, thế nhưng tại sao họ chỉ nêu tên Việt Nam lúc này, trong lúc tình hình Biển Đông đang nóng?” Facebooker Ngô Trường Anh Vũ đặt vấn đề nghi vấn không phải đối với Reuteurs mà đối với nguồn tin là công ty an ninh mạng FireEye.
“Cần biết rằng quần đảo Trường Sa có hơn 100 thực thể lớn nhỏ trong đó Việt Nam quản lý 21 thực thể, Trung Quốc quản lý 7 và Malaysia, Philippines và Indonesia (vùng đông bắc quần đảo Natuna) chia nhau phần còn lại. Trong tình hình căng thẳng ở Trường Sa hiện tại, Trung Quốc đưa tàu sân bay Liêu Ninh áp sát, Mỹ đã đưa các khu trục hạm ra để đảm bảo tự do hàng hải.
Trong 4 nước Malaysia, Indonesia, Việt Nam và Philippines thì người Mỹ sẽ ưu tiên bảo vệ 3 nước còn lại trừ Việt Nam. Việt Nam thân cô thế cô vì không có hiệp ước đồng minh với Hoa Kỳ mà chỉ là đối tác. Trong khi đó Malaysia và Indonesia là đồng minh chống khủng bố của Mỹ, Philippines thì thân thiết xưa nay từ ngoại giao đến văn hoá, 3 nước Malaysia, Indonesia và Philippines là bộ 3 quan trọng trong chiến lược diệt trừ khủng bố toàn cầu mà ở khu vực này là nhóm Abu Sayyaf. Malaysia và Indonesia cũng rất cứng rắn trong vấn đề chủ quyền biển đảo do có người Mỹ chống lưng.
Trình bày giản lược để thấy rằng Việt Nam là nước dễ bị tổn thương nhất và là mục tiêu có khả năng bị tấn công nhất bởi Trung Quốc trong vấn đề Trường Sa. Người Mỹ chỉ lên tiếng cho vấn đề tự do hàng hải chứ không nhất thiết phải bảo vệ Việt Nam và họ sẽ không bảo vệ Việt Nam nếu không có hiệp ước đồng minh nào.
Tại sao mũi dùi lại chĩa vào Việt Nam lúc này?” Cây bút Ngô Trường Anh Vũ nêu quan điểm trên Facebook cá nhân của mình.
Gần 25.000 địa chỉ và mật khẩu email của Quỹ Bill Gates, WHO vừa bị phát tán?
Các tổ chức được cho là vừa bị rò rỉ thông tin bao gồm Viện Y tế Quốc gia Mỹ, Tổ chức y tế thế giới WHO, Ngân hàng Thế giới (World Bank), Viện Virus học Vũ Hán và Quỹ Bill & Melinda Gates.
Một danh sách gồm gần 25.000 địa chỉ và mật khẩu email được cho là thuộc về một loạt các tổ chức như Viện Y tế Quốc gia Mỹ (NIH), Tổ chức y tế thế giới WHO và Quỹ Bill & Melinda Gates vừa bị phát tán trên mạng. Đây là thông tin vừa được SITE Intelligence Group – tổ chức phi chính phủ chuyên giám sát các nhóm cực đoan và khủng bố trực tuyến công bố hôm 22/4, theo tờ Washington Post.
Hiện tại, SITE vẫn chưa thể xác thực số địa chỉ và mật khẩu email bị phát tán này có thực sự thuộc về NIH, WHO và quỹ từ thiện Gates & Melinda hay không. Cũng theo SITE, những thông tin trên đã được phát tán từ ngày 19/4.
Những thông tin về địa chỉ và mật khẩu email (được cho là) của Quỹ Gates & Melinda của Bill Gates cũng đã bị phát tán
Được biết, danh sách 25.000 địa chỉ và mật khẩu email có nguồn gốc không rõ ràng đã được đăng tải lần đầu tiên trên 4chan – một diễn đàn mạng nổi tiếng với những bình luận chính trị cực đoan và gây thù hận. Những thông tin này sau đó đã được phát tán thông qua Twitter và một số kênh Telegram của các đối tượng cực hữu.
“Những đối tượng theo chủ nghĩa phát xít mới và chủ nghĩa da trắng thượng đẳng đã tận dụng bản danh sách này và phát tán mạnh mẽ lên các diễn đàn của chúng. Các phần tử cực hữu đã lợi dụng những dữ liệu này để kêu gọi một chiến dịch quấy rối, trong khi liên tục chia sẻ các thuyết âm mưu về đại dịch CÚM VŨ HÁN. Đây là một phần trong những hoạt động kéo dài nhiều tháng của phe cực hữu nhằm vũ khí hóa đại dịch Cúm Vũ Hán“, Rita Katz – giám đốc điều hành của SITE cho biết.
Bản báo cáo của SITE cho thấy, Viện Y tế Quốc gia Mỹ (NIH) có khoảng 9938 địa chỉ và mật khẩu email bị phát tán trên mạng.
Đứng ngay sau NIH là Trung tâm kiểm soát và phòng ngừa dịch bệnh Hoa Kỳ (CDC), với 6857 thông tin bị rò rỉ. Con số này với Ngân hàng Thế Giới và WHO lần lượt là 5120 và 2732. Đặc biệt, những thông tin về địa chỉ và mật khẩu emai lđược cho là thuộc về Viện Virus học Vũ Hán và Quỹ Gates & Melinda của Bill Gates cũng đã bị phát tán, theo SITE.
Ông Robert Potter, giám đốc điều hành của công ty an ninh mạng Internet 2.0 (Australia) xác nhận các địa chỉ email và mật khẩu của WHO bị rò rỉ là có thật. Ông đã sử dụng địa chỉ email và mật khẩu phát tán trên Internet để truy cập thành công vào hệ thống máy tính của WHO.
“Cách họ đặt mật khẩu email thật đáng quan ngại. 48 người thậm chí đã dùng mật khẩu là ‘password’. Một số người khác sử dụng mật khẩu là tên của chính họ“, ông Potter cho biết.
Cũng theo ông Potter, danh sách địa chỉ email và mật khẩu bị phát tán nói trên có thể đã được một số đối tượng mua từ giới hacker hoạt động trên Dark Web, vốn thường được biết đến như là ‘mảng tối’ của Internet, tập hợp những trang web không thể truy cập hay tìm thấy thông qua các công cụ tìm kiếm như Google hay Bing. Theo đó, những thông tin bao gồm địa chỉ email và mật khẩu của WHO có thể đã bị đánh cắp bởi hacker trong một vụ tấn công mạng diễn ra vào năm 2016.
Trong thông cáo báo chí đưa ra vào hôm 22/4, Quỹ Bill & Melinda Gates khẳng định đang theo sát vụ việc, đồng thời cho biết vẫn chưa phát hiện bất kỳ dấu vết nào cho thấy dữ liệu của tổ chức này bị rò rỉ. Trong khi đó, CDC Hoa Kỳ, WHO và Ngân hàng Thế giới đã từ chối đưa ra bình luận.
Tin tặc Việt Nam đã từng gây ra các vụ đột nhập bất hợp pháp vào năm 2019, tấn công cả những công ty lớn như hãng xe BMW của Đức, được cho rằng để đánh cắp dữ liệu kỹ thuật sản xuất ô tô.
Thời điểm đó, một nhà “ tư bản đỏ” là ông Phạm Nhật Vượng cũng dồn tiền cùng sự bảo trợ chính trị của các quan chức chế độ Đảng Cộng sản độc tài khét tiếng tại Hà Nội là ông Nguyễn Phú Trọng, nguyễn Xuân Phúc để xây dựng nhà máy ô tô tại Việt Nam. Hành động đánh cắp công nghệ này là hình thức dã man nhất trong các thủ đoạn đen tối để làm kinh tế, nhưng lại nhanh thu lại lợi nhuận – điều mà mà các liên minh ma quỷ tại Việt Nam vẫn thường hay áp dụng.
Hoàng Trung từ Hà nội – Thoibao.de (Tổng hợp)
