FireEye : 'Tin tặc Việt Nam tấn công chính phủ Trung Quốc để lấy thông tin có lợi cho Việt Nam'
Công ty an ninh mạng FireEye khẳng định tin tặc từ Việt Nam đã tấn công các cơ quan phụ trách chống dịch Covid-19 của chính phủ Trung Quốc và Vũ Hán "để lấy thông tin có lợi cho chính phủ Việt Nam".
FireEye khẳng định tin tặc từ Việt Nam đã tấn công các cơ quan phụ trách chống dịch Covid-19 của chính phủ Trung Quốc và Vũ Hán "để lấy thông tin có lợi cho chính phủ Việt Nam".
Trao đổi với BBC News tiếng Việt hôm 25/4, ông Ben Read, quản lý cấp cao bộ phận phân tích nguy cơ gián điệp Mandiant của FireEye, cho biết nhóm của ông đã theo dõi hoạt động của APT32 từ khoảng 5 năm qua.
Ben Read là một trong những người báo cáo về hoạt động mới nhất của nhóm tin tặc APT32, chứng minh nhóm này đã nhắm vào chính phủ Trung Quốc để lấy thông tin liên quan đến Covid-19.
Công ty FireEye, chuyên về an ninh mạng, hoạt động tại Mỹ, trước đó cho biết nhóm tin tặc APT32 ủng hộ chính phủ Việt Nam đã tìm cách đột nhập email cá nhân và công việc của nhân sự thuộc Bộ Quản lý Tình trạng Khẩn cấp của Trung Quốc và chính quyền TP Vũ Hán để lấy tin về chiến dịch phòng chống virus corona.
"Chúng tôi có một loạt bằng chứng, bao gồm cả bằng chứng về mục tiêu tấn công lẫn một số dấu hiệu mã ngôn ngữ cho thấy nhóm này làm việc có mục đích là ủng hộ chính phủ Việt Nam", ông Ben Read nói trong cuộc phỏng vấn bằng video.
"Tôi không có dữ liệu cụ thể về việc cơ quan bộ nào phụ trách việc lấy cắp thông tin. Nhưng theo sự đánh giá của chúng tôi, các thông tin mà nhóm này thu thập có thể được chính phủ Việt Nam sử dụng".
Ben Read, quản lý cấp cao bộ phận phân tích nguy cơ gián điệp Mandiant của FireEye
Chỉ lấy thông tin "phục vụ chính phủ"
Theo chuyên gia Ben Read, mục tiêu mà APT32 nhằm vào là các cơ quan phụ trách chống dịch Covid-19 của chính quyền trung ương Trung Quốc và thành phố Vũ Hán.
Về cách thức tấn công, ông cho biết :
"Có một e-mail lừa đảo đã được gửi đến chinasafety.gov.cn, tức là Bộ Quản lý Tình trạng Khẩn cấp của Trung Quốc, trong đó có chứa đoạn mã theo dõi (tracking pixel). Khi một ai đó mở email, lập tức nó sẽ tìm nạp hình ảnh từ xa. Đây là thủ thuật mà người làm marketing cũng thường sử dụng. Những kẻ tấn công sẽ biết được lúc nào người ta mở email".
"Chúng tôi tìm được địa chỉ URL nơi chứa các hình ảnh đó. Đó là một số mã theo dõi nhằm vào cơ quan bộ nói trên và chính quyền Vũ Hán. Hạ tầng kỹ thuật chứa các mã theo dõi đó, chúng tôi nghĩ là do APT32 vận hành", ông giải thích.
FireEye không khẳng định chắc chắn là nhóm tin tặc APT32 được chính phủ Việt Nam chống lưng, nhưng có "một số dấu hiệu" có thể liên hệ hoạt động của nhóm với chính phủ Việt Nam.
Reuters: Tin tặc Việt Nam tấn công Trung Quốc để lấy tin về virus corona?
Đội tin tặc APT32 tung hoành ở VN?
"Chúng tôi không có bằng chứng về việc đó", ông nói. "Nhưng có vài điều cần lưu ý ở đây. Loại thông tin mà nhóm theo đuổi không phải là thông tin dễ kiếm tiền. Nó không có giá trị thương mại. Đó không phải là số thẻ tín dụng. Khi họ đột nhập, họ đã không tìm tài khoản ngân hàng".
Chuyên gia Ben Read cho biết APT32 chỉ nhằm vào các các thông tin khác mà các tổ chức này có và "mục tiêu mà họ tấn công phù hợp với những điều mà chính phủ Việt Nam quan tâm".
"Tôi không thể nói với bạn rằng họ đang ở một địa chỉ đường phố cụ thể nào ở Việt Nam. Chúng tôi không có mức độ chi tiết đó. Nhưng đó là lý do tại sao đánh giá của chúng tôi là họ đang làm việc để hỗ trợ chính phủ Việt Nam. Điều này trông nhất quán với hoạt động của họ", ông khẳng định.
Tại sao cần đánh cắp thông tin ?
Báo cáo về việc nhóm tin tặc APT32 tấn công các cơ quan phụ trách chống dịch Covid-19 tại Trung Quốc được FireEye công bố lần đầu hôm 22/4 trong bối cảnh chiến dịch chống Covid-19 của Việt Nam được đánh giá là thành công.
Điều này làm dấy lên đồn đoán cho rằng nhờ các thông tin tình báo có được từ rất sớm, chính phủ Việt Nam đã đánh giá đúng quy mô dịch bệnh nên chủ động triển khai phương án phòng chống ngay từ đầu.
Liên quan đến đề tài này, trong bài báo viết cho Đài Á châu Tự do, giáo sư Carl Thayer (Đại học New South Wales, Úc) phân tích:
"Không có lý do rõ ràng nào lý giải việc tại sao chính phủ Hà Nội không thể phát hiện ra căn bệnh lây lan này vào tháng 11-12/2019 thông qua các nguồn tin tình báo do con người thu thập và tình báo tín hiệu qua theo dõi mạng internet tiếng Trung. Nếu phát hiện, phản ứng đầu tiên của Việt Nam sẽ là thử và xác định COVID-19 gây chết người như thế nào. Đồng thời tìm hiểu càng nhiều càng tốt về căn bệnh mới cũng như khả năng ảnh hưởng của nó đối với Việt Nam. Các nhà ngoại giao Việt Nam tại Trung Quốc nên được giao nhiệm vụ lấy thông tin này từ các những viên chức tương nhiệm Trung Quốc".
Từ đó, ông Thayer nhận định :
"Do Trung Quốc thiếu minh bạch về sự lây lan của virus corona đến tháng 1/2020, nhiều khả năng các quan chức Bắc Kinh đã không đáp ứng yêu cầu cung cấp thông tin từ phía các đồng sự Hà Nội. Sự thiếu minh bạch của Trung Quốc sẽ khiến các nhà lãnh đạo Việt Nam đưa ra chỉ thị, hoặc giao nhiệm vụ cho các cơ quan tình báo và quan chức khác nhau của Hà Nội ở Trung Quốc ưu tiên thu thập tất cả thông tin nguồn về virus corona. Điều này sẽ bao gồm các nguồn mở như internet, Weibo - một dạng Facebook của Trung Quốc, các trang blog và các ấn phẩm điện tử".
Cuối bài viết, ông Thayer cho rằng "cũng có lý khi APT32 là một đơn vị của Bộ Thông tin và truyền thông, hay một bộ khác, hoặc một đơn vị độc lập báo cáo thẳng cho các nhà lãnh đạo cao nhất của đảng và nhà nước Việt Nam".
Về điều này, chuyên gia Ben Read nhận định với BBC News tiếng Việt :
"Thật khó để nói. Theo tôi, việc thu thập thông tin từ ngày 6/1 cho thấy sự quan tâm sớm đến chủ đề này. Đó là những gì diễn ra vào thời điểm đó. Vì vậy, điều đó chắc chắn cho thấy rằng họ [Việt Nam] quan tâm đến vấn đề này từ sớm. Tôi không biết về quá trình ra quyết định của chính phủ Việt Nam như thế nào để có thể nhận xét một cách đầy đủ".
Ben Read cũng nói rằng những bằng chứng tìm thấy không cho biết liệu nhóm tin tặc đã lấy được thông tin giá trị nào hay chưa.
"Chúng tôi còn phát hiện các mã độc liên quan tới các domain được sử dụng mà chúng tôi gọi là METAJACK vốn được APT32 sử dụng vài năm qua. Đây là các bằng chứng nhất quán. Nhưng chúng tôi không biết được điều gì diễn ra sau đó, họ đã thành công hay chưa, liệu họ đã lấy cắp được dữ liệu quý giá hay chưa", ông chia sẻ.
Việt Nam phủ nhận
Sau khi FireEye công bố phát hiện của mình trên website của ông ty, ngày 23/4, Phó Phát ngôn Bộ Ngoại giao Ngô Toàn Thắng đưa ra phản ứng chính thức của phía Việt Nam:
"Đây là những thông tin không có cơ sở. Việt Nam nghiêm cấm các hành vi tấn công mạng nhằm vào các tổ chức, cá nhân dưới bất cứ hình thức nào. Các hành vi tấn công, đe dọa an ninh mạng cần phải bị lên án và trừng trị nghiêm khắc theo quy định của pháp luật.
Năm 2018, Quốc hội Việt Nam đã thông qua Luật An ninh mạng và hiện đang hoàn thiện các văn bản pháp quy để thực thi luật, ngăn chặn các hành vi tấn công mạng.
Việt Nam sẵn sàng hợp tác với cộng đồng quốc tế trong đấu tranh phòng và chống các hành vi tấn công mạng dưới mọi hình thức".
Về phản ứng này của phía Việt Nam, ông Ben Read nói với BBC News tiếng Việt :
"Chúng tôi không muốn tranh cãi với chính phủ. Chúng tôi chỉ công bố phân tích của mình và sẽ bảo vệ các phát hiện đó. Việc tranh cãi với chính phủ là điều chúng tôi không muốn".
APT32 đứng sau nhiều vụ tấn công
Trả lời trên Bloomberg, ông Nick Carr, Giám đốc của FireEye, cho biết đã theo dõi APT32 - còn được gọi là Ocean Lotus và Ocean Buffalo - từ nhiều năm. Năm 2017, nhóm của ông đã điều tra một loạt các vụ tấn công mạng ở Mỹ, Đức và nhiều quốc gia ở Châu Á và thấy rằng APT32 đã dành ít nhất ba năm để tấn công các chính phủ nước ngoài, nhà báo, nhà bất đồng chính kiến và các tập đoàn nước ngoài có lợi ích trong các lĩnh vực sản xuất, hàng tiêu dùng và khách sạn ở Việt Nam.
Trao đổi với BBC News tiếng Việt về thông tin APT32 từng tấn công các hãng xe hơi lớn trên thế giới, ông Ben Read nói : "Đúng, chúng tôi đã phát hiện một số hoạt động có điểm nhất quán cho thấy APT32 đã làm việc đó".
"Có vẻ như họ nhằm vào ngành công nghiệp ô tô. Tôi không thể nói hết từng vụ việc mà báo chí đề cập, nhưng chúng tôi luôn thấy một nhóm các hoạt động như vậy", ông cho biết thêm.
"Có sự tương đồng giữa hoạt động này và các hoạt động khác của APT32 trong quá khứ. Mã độc liên kết với các tên miền này, gọi là METAJACK, chúng tôi đã thấy được sử dụng trong các hoạt động khác của nhóm và chúng tôi cũng từng thấy họ sử dụng mã theo dõi. Nhưng như tôi đã nói, cách này cũng thường được dân marketing thực hiện".
Về năng lực và quy mô của APT32, chuyên gia Ben Read cho biết :
"Qua vài năm theo dõi, chúng tôi thấy họ luôn luôn hoạt động tích cực. Họ cũng phát triển các mã độc mới, tức là họ có một vài dạng nghiên cứu và phát triển. Tuy nhiên, họ không có quy mô lớn như các nhóm của Nga và Trung Quốc".
Bùi Thư
Nguồn : BBC, 05/05/2020