Nghiên cứu mới nhất của công ty an ninh mạng hàng đầu của Mỹ cho biết nhóm tin tặc được xem là do nhà nước Trung Quốc hậu thuẫn có thể đang đứng sau một chiến dịch nhằm thu thập dữ liệu từ các quan chức chính phủ Việt Nam, giữa bối cảnh tranh chấp chủ quyền trên Biển Đông đang làm gia tăng căng thẳng giữa hai nước.
Theo nghiên cứu của công ty chuyên cung cấp thông tin về các mối đe doạ tình báo, Anomali, thì nhóm tin tặc có tên Pirate Panda đang cố gắng lừa các quan chức Việt Nam mở các tài liệu Microsoft Excel độc hại được đính kèm trong email có nội dung chi tiết về các ngày lễ.
Địa điểm bị tin tặc nhắm tới là các quan chức ở Đà Nẵng, khu vực gần quần đảo Hoàng Sa, nơi được xem là “điểm nóng” gây ra căng thẳng gần đây giữa Việt Nam và Trung Quốc vì các hoạt động nhằm khẳng định chủ quyền của Bắc Kinh.
Pirate Panda là nhóm tin tặc chuyên thực hiện các cuộc tấn công có chủ đích (APT) được nhà nước Trung Quốc hậu thuẫn. Nhóm này nổi tiếng về các cuộc tấn công mạng nhắm vào các chính phủ và các tổ chức chính trị.
Pirate Panda cũng là nhóm tin tặc chuyên tập trung tấn công và khai thác dữ liệu xung quanh vấn đề xung đột chủ quyền lãnh thổ trên Biển Đông.
Trong trường hợp này, Pirate Panda sử dụng mồi nhử email với chủ đề hành trình cho hai ngày lễ của Việt Nam, 30 tháng 4 và ngày 1 tháng 5. Các tài liệu trong File Microsoft Excel độc hại được đính kèm trong thư có khả năng lây nhiễm cho nạn nhân một phần mềm độc hại tương tự KeyBoy và ExileRat, sau đó sẽ ăn cắp các tệp và thu thập thông tin hệ thống từ máy tính của nạn nhân. Nhóm Pirate Panda đã sử dụng cả hai công cụ này trong quá khứ.
Trong những ngày gần đây, Việt Nam công khai phản đối các hoạt động mới của Trung Quốc và không công nhận các yêu sách của Bắc Kinh đối với các đảo, đá ở Hoàng Sa, trong khi Trung Quốc nói rằng các yêu sách của Việt Nam đối với khu vực này là bất hợp pháp.
Tin tặc Trung Quốc thường xuyên phát động các chiến dịch gián điệp mạng nhắm vào các mục tiêu liên quan đến xung đột lãnh thổ của mình. Năm 2018, tin tặc Trung Quốc đã tấn công vào các công ty kỹ thuật và quốc phòng của Mỹ, nơi có quyền truy cập vào những thông tin nhạy cảm liên quan đến vấn đề tranh chấp Biển Đông. Những thông tin này được xem là rất hữu ích cho Bắc Kinh.
Hiện cả Việt Nam lẫn Trung Quốc đều chưa phản ứng gì đối với thông tin về cuộc tấn công mạng mới nhất này.
Trong khi đó, một công ty an ninh mạng khác của Mỹ, FireEye, tuần rồi công bố một báo cáo cho thấy một nhóm tin tặc, được cho là do chính phủ Việt Nam hậu thuẫn, đã thực hiện chiến dịch tấn công vào các trang mạng của chính phủ Trung Quốc nhằm tìm kiếm thông tin liên quan đến cách xử lý của Bắc Kinh đối với dịch Cúm Vũ Hán.
Có phải tin tặc Việt Nam đã nhắm vào chính phủ Trung Quốc để lấy thông tin về Cúm Vũ Hán? Là tựa đề bài viết của Giáo sư Carl Thayer, ông là Giáo sư danh dự và là thành viên thỉnh giảng của Trường Nhân văn và Khoa học xã hội, Đại học New South Wales tại Học viện Quốc phòng Úc ở Canberra.
Vào ngày 22 tháng 4, FireEye, một hãng an ninh mạng của Hoa Kỳ đã báo cáo rằng ít nhất từ tháng 1 đến tháng 4 năm 2020, các nghi phạm trong nhóm tin tặc APT32 của Việt Nam đã thực hiện các chiến dịch tấn công nhằm thu thập thông tin về cuộc khủng hoảng CÚM VŨ HÁN của Trung Quốc. Các mục tiêu bị tấn công là Bộ Quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán.
Một ngày sau đó, phát biểu tại một cuộc họp báo thường kỳ, Phó phát ngôn viên của Bộ Ngoại giao Việt Nam Ngô Toàn Thắng cho rằng cáo buộc này không có cơ sở. Ông khẳng định “Việt Nam nghiêm cấm các cuộc tấn công mạng nhắm vào các tổ chức và cá nhân dưới mọi hình thức”.
Bài viết này tìm hiểu sự phát triển lịch sử của nhóm hacker APT32 và những cáo buộc nhóm này có liên quan đến chính phủ Việt Nam. Trong đó, APT là chữ viết tắt của Advanced Persistent Threat , tức mối đe dọa liên tục nâng cao.
APT32 lần đầu tiên được xác định vào năm 2012 khi nhóm hacker này khởi xướng các cuộc tấn công mạng vào Trung Quốc và sau đó mở rộng sang các mục tiêu ở Việt Nam và Philippines. APT32 còn được gọi là OceanLotus, APT-C-00, SeaLotus và OceanBuffalo.
Vào năm 2016, Cybereason, công ty tình báo về các mối đe dọa trên mạng, đã phát hiện ra rằng hãng này đã bị tấn công mạng cả năm trời mà những liên kết của các cuộc tấn công này đều dẫn đến APT32. Tin tặc APT32 tấn công nhắm vào sở hữu trí tuệ, thông tin kinh doanh bí mật và chi tiết những dự án của Cybereason. Khi Cybereasonchuyển sang chặn APT32, nhóm hacker này tỏ ra là một đối thủ linh hoạt đã nhanh chóng dùng đến các công cụ tự tạo để vào lại hệ thống của Cybereason.
Cũng trong năm 2016, một nhà phân tích ứng phó sự cố tại FireEye với kinh nghiệm xử lý khoảng mười hai cuộc xâm nhập mạng APT32 đã kết luận rằng mục đích tấn công của APT32 có vẻ như phục vụ lợi ích nhà nước Việt Nam. Nhà phân tích của FireEye đã kết luận rằng APT32 có thể thực hiện đồng thời nhiều chiến dịch, và có đủ nguồn lực cũng như khả năng để thực hiện các cuộc tấn công mạng quy mô lớn, đặc biệt là giám sát và kiểm tra dữ liệu. Trong một báo cáo được công bố vào tháng 5 năm 2017, FireEye đã đánh giá rằng APT32 là một nhóm gián điệp mạng dính đến lợi ích của chính phủ Hà Nội.
Nick Carr, Giám đốc của FireEye đã theo dõi APT32 từ năm 2012 tiết lộ rằng một cuộc điều tra được thực hiện vào năm 2017 về các vụ tấn công ở châu Á, Đức và Hoa Kỳ đã phát hiện ra rằng nhóm này đã dành ít nhất ba năm để nhắm vào các tập đoàn nước ngoài có quyền lợi ở Việt Nam trong lĩnh vực sản xuất, sản phẩm tiêu dùng và khách sạn.
Năm 2018, có nhiều báo cáo rằng OceanLotus/APT32 , đã tham gia vào hoạt động gián điệp công nghiệp trong hai năm qua nhắm vào các nhà sản xuất ô tô BMW, Toyota và Huyndai. Các hãng truyền thông đã trích dẫn lời những nhà phân tích mạng cho biết các cuộc xâm nhập mạng dường như để hỗ trợ mục tiêu sản xuất của Việt Nam.
Ngoài ra, Volexity, một công ty an ninh mạng, đã báo cáo vào năm 2019 rằng APT32 đã thực hiện chiến dịch tấn công và giám sát kỹ thuật số hàng loạt rất tinh vi và cực kỳ rộng rãi nhằm vào các phương tiện truyền thông, nhân quyền và các nhóm xã hội dân sự cũng như Hiệp hội các quốc gia Đông Nam Á.
Công ty an ninh mạng CrowdStrike đã lưu ý vào cuối năm 2019 rằng sự bùng phát trong hoạt động gián điệp của Việt Nam, tức APT 32, đã bắt đầu từ năm 2012 và gia tăng kể từ năm 2018, được cho là gắn liền với chính phủ Việt Nam.
Đâu là những yếu tố có thể thúc đẩy chính phủ Việt Nam giao nhiệm vụ cho APT32 tấn công vào một bộ của chính phủ Trung Quốc và chính quyền thành phố để tìm thông tin về Cúm Vũ Hán.
Truyền thông đưa tin cho hay Trung tâm Tình báo Y tế Quốc gia Hoa Kỳ (NCMI) dựa trên phân tích điện báo và dữ liệu từ máy tính cũng như hình ảnh vệ tinh, đã kết luận rằng một căn bệnh truyền nhiễm lan qua Vũ Hán và khu vực xung quanh có nguy cơ ảnh hưởng đến sức khỏe người dân. NCMI đã đưa ra một báo cáo mật vào cuối tháng 11 năm 2019 cảnh báo rằng một căn bệnh ngoài tầm kiểm soát sẽ gây ra mối đe dọa nghiêm trọng cho các lực lượng của Hoa Kỳ ở Châu Á. NCMI báo cáo tóm tắt vấn đề này đến Cơ quan Tình báo Quốc phòng, Bộ tham mưu Lầu năm góc và Nhà Trắng.
Không có lý do rõ ràng nào lý giải việc tại sao chính phủ Hà Nội không thể phát hiện ra căn bệnh lây lan này vào tháng 11-12/2019 thông qua các nguồn tin tình báo do con người thu thập và tình báo tín hiệu qua theo dõi mạng internet tiếng Trung.
Nếu phát hiện, phản ứng đầu tiên của Việt Nam sẽ là thử và xác định Cúm Vũ Hán gây chết người như thế nào. Đồng thời tìm hiểu càng nhiều càng tốt về căn bệnh mới cũng như khả năng ảnh hưởng của nó đối với Việt Nam. Các nhà ngoại giao Việt Nam tại Trung Quốc nên được giao nhiệm vụ lấy thông tin này từ các những viên chức tương nhiệm Trung Quốc.
Do Trung Quốc thiếu minh bạch về sự lây lan của Cúm Vũ Hán đến tháng 1, nhiều khả năng các quan chức Bắc Kinh đã không đáp ứng yêu cầu cung cấp thông tin từ phía các đồng sự Hà Nội. Sự thiếu minh bạch của Trung Quốc sẽ khiến các nhà lãnh đạo Việt Nam đưa ra chỉ thị, hoặc giao nhiệm vụ cho các cơ quan tình báo và quan chức khác nhau của Hà Nội ở Trung Quốc ưu tiên thu thập tất cả thông tin nguồn về Cúm Vũ Hán. Điều này sẽ bao gồm các nguồn mở như internet, Weibo – một dạng Facebook của Trung Quốc, các trang blog và các ấn phẩm điện tử.
Việt Nam có thể đã tiếp cận được thông tin tình báo có được từ các dịch vụ tình báo thân thiện thông qua liên lạc và trao đổi thông thường. Việt Nam có thể đã có yêu cầu cung cấp thông tin, chia sẻ thông tin hoặc được cung cấp thông tin. Ở mức tối thiểu, các cuộc thảo luận liên lạc có thể đã tiết lộ mối quan tâm chung về Cúm Vũ Hán.
Ngoài ra, Việt Nam cũng có thể có được thông tin từ các nguồn thông tin tình báo nhân sự. Đó là các nguồn bao gồm các quan chức chính phủ Trung Quốc, ngành vụ an ninh, nhân viên y tế, các nhà khoa học nghiên cứu và công dân bình thường ở Trung Quốc và đặc biệt ở Vũ Hán. Các nguồn thông tin nhân sự cũng bao gồm các cư dân Việt và nước ngoài tại Trung Quốc, đặc biệt là ở Vũ Hán, như các doanh nhân, sinh viên và khách du lịch.
Tóm lại, các nguồn tình báo cả con người và tín hiệu có khả năng đã xác nhận những tin đồn đầu tiên về sự xuất hiện và lan truyền của Cúm Vũ Hán đến giới thu thập tin tình báo Việt Nam.
Một báo cáo của FireEye cáo buộc rằng cuộc xâm nhập mạng đầu tiên của Việt Nam nhằm thu thập thông tin về Cúm Vũ Hán đã được khởi xướng tấn công Bộ quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán vào ngày 6 tháng 1 năm 2020 và tiếp tục trong suốt quý đầu tiên của năm. Sự thiếu minh bạch của Trung Quốc có thể là một yếu tố thúc đẩy quan trọng đằng sau quyết định này.
Bằng chứng công khai rằng APT32 được liên kết với chính phủ Việt Nam dựa trên sự giám sát lâu dài những phương thức hoạt động của các công ty an ninh mạng chuyên nghiệp. APT32 hành động chống lại các nhà bất đồng chính kiến Việt Nam trong và ngoài nước và nhắm vào các doanh nghiệp thương mại nước ngoài cho thấy có thể nhóm hacker này có liên kết với Bộ Công an.
Năm 2017, Bộ Quốc phòng đã thành lập Bộ Tư lệnh Tác chiến Không gian mạng. Có thể nhóm tin tặc APT32 được đặt dưới trướng của Bộ Tư lệnh Không gian mạng mới này.
Sách trắng quốc phòng gần đây nhất của Việt Nam được phát hành vào cuối năm 2019 tuyên bố ‘Việt Nam sẵn sàng sử dụng mọi biện pháp phù hợp luật pháp quốc tế để phòng ngừa và ngăn chặn các cuộc tấn công mạng nhằm bảo vệ chủ quyền và lợi ích quốc gia trong không gian mạng.’
Thật khó tưởng tượng được rằng Bộ Tư lệnh Tác chiến Không gian mạng đã không phát triển một số khả năng phản công có thể cho phép tấn công máy tính của chính phủ Trung Quốc trong trường hợp bắt buộc.
Tuy nhiên, cũng có lý khi APT32 là một đơn vị của Bộ Thông tin và Truyền thông, hay một bộ khác, hoặc một đơn vị độc lập báo cáo thẳng cho các nhà lãnh đạo cao nhất của đảng và nhà nước Việt Nam những kế hoạch mờ ám của nhóm này.
Với những diễn biến mới và rất nóng trên Biển Đông, thì đây là thời gian khởi động một cuộc chiến tranh mà Việt Nam và Trung Quốc có thể làm ngay , đó là ra sức tấn công mạng của nhau, làm tê liệt mọi hoạt động của đối phương trước khi xảy ra nổ súng trên thực địa.
Hoàng Lan từ Hà nội – Thoibao.de (Tổng hợp)
