Mục tiêu mới của nhóm hacker Việt Nam : Những người đấu tranh cho nhân quyền tại Đức
Giang Nguyễn, RFA, 12/10/2020
Một nhóm tin tặc từ Việt Nam, với tên APT32, được nghi vấn là hoạt động trái phép với sự điều động của nhà nước Việt Nam trong nhiều năm qua đã nhắm mục tiêu tấn công vào cộng đồng người Việt ở Đức, đặc biệt là những người cổ võ cho nhân quyền tại Việt Nam, và kể cả những nhà báo Đức đưa tin bất lợi cho chính quyền Việt Nam.
Ảnh minh họa tin tặc. AFP Photo
Đó là kết luận một cuộc điều tra kéo dài nhiều tháng do hai cơ quan truyền thông báo chí lớn của nước Đức, báo Die Zeit và đài Bayerischer Rundfunk thực hiện. Phóng sự điều tra được phố biến qua nhiều loạt bài viết, như bài với tựa đề "Tin tặc của Hà Nội" trên tờ Zeit ngày 8/10. Các phóng sự điều tra cũng đã được loan đi trên khắp các cơ quan đài truyền hình lớn của Đức trong những ngày qua.
Cuộc điều tra đề cập đến những người bất đồng chính kiến hiện đang sống tại Đức, như ông Bùi Thanh Hiếu, còn được biết qua bút hiệu Người Buôn Gió, và ông Vũ Quốc Dụng, là giám đốc của VETO, một tổ chức bảo vệ nhận quyền với trụ sở ở Berlin.
Ông Dụng chia sẻ với Đài Á Châu Tự Do rằng ông không phải là người mà các tin tặc nhắm để tấn công nhưng họ đã giả mạo tên ông để tấn công những người ông thường liên lạc :
"Tôi được một vài người liên lạc với tôi để hỏi có phải là tôi đã gửi thư cho họ không. Vì họ nghi ngờ, họ hỏi lại nên họ không bị nhiễm mã độc vì họ không mở tệp đính kèm trong đó. Sau này có một số chuyên viên IT cho biết trong tệp này có mã độc tên Cobalt Strike, nó có mục đích dọ thám máy tính của họ. Họ cũng cho biết cái mã độc này do nhóm hacker có tên APT32 hay là Ocean Lotus phát đi".
APT32 đã từng hoạt động dưới nhiều tên, như Ocean Lotus, APT-C-00, SeaLotus và OceanBuffalo. Vào tháng 4 năm nay, hãng an ninh mạng FireEye báo cáo nhóm tin tặc APT32 của Việt Nam đã thực hiện các chiến dịch tấn công Bộ Quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán nhằm thu thập thông tin về cuộc khủng hoảng Covid-19.
Tháng 5 năm nay, họ thực hiện chiến dịch gửi email giả mạo nhắm vào những người hoạt động nhân quyền và tìm cách cài phần mềm gián điệp với tên Cobalt Strike vào máy. Ông Dụng kể tiếp :
"Họ dùng một cái email rất giống email mà tôi thường dùng. Họ gửi đến người đó với dòng tít là ‘Rò rỉ thông tin nhân sự Đại hội XIII - Dự kiến tứ trụ triều đình cộng sản’. Nghe cũng rất là hấp dẫn. Xong rồi họ yêu cầu mở tệp đính kèm ra. Họ sử dụng tên, địa chỉ mà chúng tôi thường dùng để liên lạc trong tính cách là (giám đốc) tổ chức để gây cảm tưởng email này là email chính thức của chính chúng tôi gửi đi. Thế nhưng có điều họ không lưu ý là những người mà họ báo cho chúng tôi, họ lấy làm lạ bởi vì chưa bao giờ mà tôi gửi thư cho họ hoặc trao đổi với họ về đề tài này cả".
Người nhận email giả mạo danh tính của ông Dụng chính là bà Marina Mai, một nhà báo độc lập ở Berlin. Bà Mai từng viết nhiều bài trên những tờ báo lớn như nhật báo TAZ về cộng đồng người Việt tại Đức cũng như về các vấn để ở Việt Nam.
Bà thuật lại : "Vào tháng 5, tôi nhận được một email bằng tiếng Việt. Phải nói tôi chỉ hiểu được vài từ trong tiếng Việt thôi. Người gửi email này là anh Vũ Quốc Dụng từ mạng lưới nhân quyền VETO tại Đức. Anh Dụng nói tiếng Đức rất giỏi, và tôi rất ngạc nhiên tại sao anh ấy viết email cho tôi bằng tiếng Việt và tôi đã hồi âm, ‘Xin chào Mr Dụng, v.v’. Tất nhiên tôi viết bằng tiếng Đức. Sáng hôm sau tôi nhận được câu trả lời bằng tiếng Đức, nhưng ngôn ngữ tiếng Đức rất tệ, đại khái nói là đây không phải là thư rác. Vì vậy, tôi rất ngạc nhiên tại sao lúc đầu anh Dụng lại viết cho tôi bằng tiếng Việt, tại sao anh ấy lại trả lời bằng tiếng Đức rất tệ, và tại sao anh ấy lại trả lời lúc 5h sáng. Tôi nghĩ 5 giờ sáng mọi người ở Đức đang ngủ, nhưng ở Việt Nam lúc đó là ban ngày".
Email giả mạo danh tính của ông Vũ Quốc Dụng, Giám đốc mạng lưới nhân quyền VETO VETO
Bà đã báo lại cho ông Dụng và bà không mở tệp đính kèm. Thế nhưng bà nói bà vẫn không hề có hoài nghi gì đây là nhóm tin tặc đã tấn công bà mãi cho đến khi nhóm phóng viên của đài Bayerischer Rundfunk tìm đến bà và cho biết đây là tin tặc rất có thể là do nhóm APT32. Lúc đó bà cảm tưởng như "trên trời rớt xuống".
Bà Mai chia sẻ : "Tôi bị sốc vì tôi không nghĩ rằng tôi lại là mục tiêu của chính phủ Việt Nam, một người mà họ muốn hack và họ quan tâm đến các liên hệ của tôi... Tôi đã viết bài về vụ bắt cóc Trịnh Xuân Thanh vào mùa hè năm 2017. Tôi đã viết bài về phản ứng của chính phủ Đức và xã hội dân sự Đức về vụ bắt cóc này. Tôi là nhà báo thứ nhì trên toàn thế giới đã đưa tin về vụ bắt cóc. Nó đã gây ra một chấn động dữ dội về mặt truyền thông trên toàn thế giới. Mỗi ngày càng có thêm chi tiết được đưa ra ánh sáng. Chính quyền Việt Nam chắc hẳn không hài lòng về những tin nói là đích thân Trung tướng Công an Nhân dân Việt Nam ông Đường Minh Hưng mặc bộ đồ lót ở trong phòng khách sạn tại Berlin, điều động vụ bắt cóc này. Việt Nam họ không thích điều đó".
Ông Trịnh Xuân Thanh là một viên chức dầu khí cao cấp của Việt Nam. Năm 2017 bị Hà Nội truy nã vì cáo buộc tham nhũng, ông trốn qua Đức và đang làm thủ tục xin tỵ nạn chính trị tại đây khi ông bị mật vụ Việt Nam bắt cóc tại Berlin. Sự kiện đã ảnh hưởng nặng nề đến quan hệ ngoại giao giữa Đức và Việt Nam và phía chính quyền Đức đã tạm ngưng đối tác chiến lược với Hà Nội trong hơn một năm.
Nhà báo Hakan Tanriverdi thường viết về tin tặc do chính quyền báo trợ. Ông là một trong nhóm phóng viên của đài Bayerischer Rundfunk và tờ báo Zeit, thực hiện phóng sự điều tra kỹ thuật và phỏng vấn hàng loạt các cá nhân hoạt động nhân quyền. Ông chia sẻ :
"Chúng tôi đã mất tổng cộng từ 5-7 tháng xem xét nhóm (APT32) này và chúng tôi có thể kết luận ngay về tầm quy mô hoạt động của họ như thế nào. Nó bao gồm hàng trăm trang web, nhiều thực thể bị tấn công, từ các nhà hoạt động nhân quyền, xã hội dân sự, đến nhà báo... đó là một phần quan trọng. Sau đó bạn có những mục tiêu mà chúng tôi nghĩ có lợi ích chiến lược đối với chính phủ Việt Nam".
Ông nói với những kết luận nêu trên, nhóm phóng viên đã chất vấn chính quyền Việt Nam qua tổng lãnh sự Việt Nam tại Berlin. Như những lần trước, khi bị hỏi về nhóm APT32, câu trả lời được lập lại y chang, là "những cáo buộc này không có cơ sở" và "Việt Nam nghiêm cấm các cuộc tấn công mạng nhắm vào các tổ chức và cá nhân dưới mọi hình thức".
Nhà báo Hakan Tanriverdi nói không thể xác định 100% là nhóm APT32 do chính quyền Việt Nam điều động, nhưng tất cả chỉ dấu cho thấy như vậy :
"Nhóm này đã hoạt động từ năm 2011. Lúc đó chưa ai để ý đến tin tặc từ chính quyền. Hồi đó họ thậm chí còn chọn cho mình một cái tên Việt Nam, đó là Sinh Tử Lệnh, đại khái có nghĩa là lá cảm tử. Điều này đáng chú ý, vì nếu không quan hệ với Việt nam thì tại sao lại chọn một cái tên Việt ngữ từ một tiểu thuyết Trung Quốc. Đây không phải là bằng chứng tuyệt đối, nhưng nó là chỉ dấu đáng chú ý. Chúng tôi cũng đã nói chuyện với nhiều chuyên gia an ninh mạng khác. Và ông Thomas Haldenwang, Chủ tịch Cơ quan Tình báo Liên bang, cũng nói với chúng tôi rằng họ thấy dấu hiệu rõ ràng rằng nhóm này đang hoạt động từ Việt Nam căn cứ trên các mục tiêu như ông Vũ Quốc Dụng, ông Bùi Thanh Hiếu đều sống ở Đức và đã bị nhóm này nhắm tới bằng các thư lừa đảo".
Ông Tanriverdi không tiết lộ hết tất cả tên tuổi của những ai bị chính quyền Việt Nam tấn công, nhưng ông nói họ đều có một điểm chung :
"Những người này có một điểm chung là họ đều đang nỗ lực dân chủ hóa Việt Nam bằng cách này hay cách khác, như cố gắng vận động tự do cho những luật sự bị giam ở Việt Nam hoặc đưa hình ảnh, video từ Việt Nam cho thấy lực lượng an ninh Việt Nam có hành vi sai phạm như bắt dân ra khỏi nhà, cướp đất v.v"…
Theo nhà báo Hakan Tanriverdi, từ vụ việc Trịnh Xuân Thanh và nay có thêm phát hiện về tin tặc APT32 qua cuộc điều tra mới nhất này, chính quyền Đức trong thời gian trước mắt sẽ phải đưa chương trình ngăn chặn loại tin tặc do chính quyền nước ngoài, như Iran, Nga, và Việt Nam hỗ trợ.
Đối với những người bị tấn công như bà Marina Mai thì những gì hiện cảnh sát đang làm chưa đủ. Bà tố cáo chính quyền Đức đã quan tâm đến các hãng xưởng lớn của Đức khi họ bị tin tặc xâm nhập vào máy, nhưng họ đã bỏ qua những người hoạt động vì nhân quyền.
Bà nói, "Cơ quan mật vụ Đức biết nhóm hacker Việt Nam Ocean Lotus, nhưng họ đã không thông báo cho những người có máy tính bị tấn công. Năm trước, cơ quan mật vụ đã thông báo cho các công ty ô tô lớn như BMW rằng họ nên kiểm tra máy tính của họ về hoạt động tin tặc xâm nhập từ Việt Nam, nhưng lời cảnh báo đó đã không được truyền đến những người bất đồng chính kiến và những nhà hoạt động nhân quyền".
Bà Marina Mai nói bà phải tự suy nghĩ cách để tự vệ mình. Tuy nhiên bà cũng đã đề nghị ông Vũ Quốc Dụng nộp thư tố cáo hành vi trộm cắp danh tính của ông, và ông đã thực hiện như thế. Trong lúc chờ đợi cảnh sát điều tra, ông đã đổi email mới.
Nhà báo Hakan Tanriverdi nói, "Theo luật, thì tất cả mỗi người ở Đức có quyền nói những gì mình suy nghĩ. Nếu bạn bị tấn công thì bạn không thể làm được điều đó nữa".
Thế nhưng nhà báo độc lập Marina Mai nói bà không sợ và bà hiện đang chuẩn bị một phóng sự về Bộ Trưởng Bộ Công an Tô Lâm liên quan đến đường dây ma túy. Bài báo dự kiến xuất bản tuần này.
Giang Nguyễn
Nguồn : RFA, 12/10/2020
******************
Tin tặc Việt Nam nhắm vào giới bất đồng chính kiến ở Đức
Von Hakan Tanriverdi, Ann-Kathrin Wetter, Maximilian Zierer, VNTB, 10/10/2020
Đài truyền thông Bayerischer Rundfunk và báo Die Zeit trực tuyến cho biết họ phát hiện ra tin tặc Việt Nam đang tìm cách tấn công vào những nhà bảo vệ nhân quyền đang sống tại Đức.
Ông Vũ Quốc Dụng, giám đốc Veto ! một tổ chức đấu tranh cho nhân quyền Việt Nam có trụ sở tại Đức đang đứng trước nguy cơ bị tin tặc tấn công. Ông Vũ Quốc Dụng sống ở Đức từ những năm 1980 và là người thường xuyên vận động cho những tù nhân lương tâm tại Việt Nam. Vì vậy ông thường xuyên tiếp xúc với các chính trị gia ở Hạ viện Đức hay Nghị Viện Châu Âu.
Ông Dụng cho biết Veto ! là "một tổ chức nhân quyền" và "không muốn lật đổ chính phủ". Tuy nhiên chính phủ Việt Nam lại cảm thấy khó chịu với những việc ông làm.
Bayerischer Rundfunk và "Zeit Online" cho biết nhóm tin tặc "Ocean Lotus" của Việt Nam đã thoải mái theo dõi các nhà hoạt động đối lập và các nhà hoạt động nhân quyền ở Đức trong nhiều năm nay.
Nạn nhân thường xuyên của nhóm tin tặc này là những người Đức lẫn người Việt. Ông Vũ Quốc Dũng, và nữ nhà báo người ĐứcMarina Mai, người thường đưa tin về Việt Nam và cộng đồng người Việt hải ngoại ở Đức nằm trong số đó.
Tin tặc gửi email nhử đến những người mà họ muốn tấn công. Ví dụ như thư mời tham gia hội nghị gửi email cho một blogger ở Berlin sau khi đã nắm rõ lịch trình đi lại của blogger này. Cả ông Vũ Quốc Dụng lẫn bà Marina Mai cũng đã nhận được những email như thế.
Ông Adam Meyers cho biết đội tin tặc này là một đội quân chuyên nghiệp thuộc một đơn vị quân đội. Họ phục vụ cho lợi ích chiến lược của chính phủ Việt Nam.
Cục Liên bang về Bảo vệ Hiến pháp (BfV) đã theo dõi nhóm tin tặc này từ năm 2014. Trong một cuộc phỏng vấn với BR và "Zeit Online" Chủ tịch BfV Thomas Haldenwang giải thích rằng "Ocean Lotus" quan tâm đến "một số người gốc Việt " và đó là "một trong những lý do tại sao chúng tôi thấy mối liên hệ rõ ràng với Việt Nam". Tuy nhiên họ không thể xác định rõ nhóm tin tặc này có thuộc cơ quan tình báo của Việt Nam hay không.
Nhưng Việt Nam luôn phủ nhận các cáo buộc tin tặc và cho đó là những cáo buộc không cso cơ sở khi được hỏi liệu các cuộc tấn công và đe doạ an ninh mạng sẽ phải bị lên án và nghiêm trị theo quy định pháp luật hay không, Đại sứ quán Việt Nam tại Berlin cho biết "Việt Nam luôn sẵn sàng cùng cộng đồng quốc tế chống lại các cuộc tấn công mạng".
Ông Patrick Sensburg, thành viên của ủy ban kiểm soát quốc hội và các cơ quan tình báo liên bang nói : "Chúng tôi thấy có hoạt động gián điệp tích cực ở Đức trong một thời gian dài. Các cuộc tấn công cụ thể của tin tặc chống lại các cá nhân rất khó ngăn chặn. Đó là lý do tại sao các cơ quan an ninh của chúng ta phải được trang bị tốt để có thể thực hiện các biện pháp đối phó là điều rất quan trọng". Tuy nhiên, không thể nào bảo mật được một trăm phần trăm.
Không chỉ nhà hoạt động nhân quyền Vũ Quốc Dũng cảm thấy không nhận được sự giúp đỡ của cảnh sát, mà còn cả một số người mà BR và "Zeit Online" đã nói chuyện. Quy trình để giúp những người bất đồng chính kiến trong các vụ gián điệp mạng chưa được thiết lập.
Veto ! đã đệ đơn khiếu nại hình sự với cảnh sát địa phương, nhưng không họ tìm thấy bằng chứng về động cơ chính trị ở đằng sau của các âm mưu tấn công mạng. Khi được hỏi lại, cơ quan cảnh sát có trách nhiệm thông báo rằng vụ việc đã được đưa vào bộ phận chống gian lận.
Gyde Jensen, Chủ tịch Ủy ban Nhân quyền, cho biết trong một cuộc phỏng vấn với BR rằng nước Đức phải làm sao để "Ocean Lotus" không thể thực hiện được các cuộc tấn công mạng, "Khi mọi người đến đây để tìm kiếm sự bảo vệ, họ phải có thể hy vọng rằng họ được an toàn ở đây". Nếu không, những người này sẽ không thể tự do làm việc. Jensen kêu gọi lập một cơ quan liên lạc trung tâm cho những người bị ảnh hưởng bởi gián điệp mạng, chẳng hạn tại cục Cảnh sát Hình sự Liên bang (BKA). Nhiệm vụ của cảnh sát là phòng chống mối nguy hại.
Cho đến nay, những người bị ảnh hưởng tin tưởng rằng, các nhà chức trách đang xem xét vấn đề một cách nghiêm túc. Rốt cuộc, sau nhiều tháng chờ đợi, vụ án ông Vũ Quốc Dũng đã có động tĩnh. Ông ta làm nhân chứng tham gia thẩm vấn hồi đầu tháng Mười. Ngoài ra, ông Dụng cũng trở nên chủ động hơn khi thông báo cho tất cả những người có liên lạc với ông biết và đổi địa chỉ email.
Von Hakan Tanriverdi, Ann-Kathrin Wetter và Maximilian Zierer
Nguyên tác : Hackerangriffe aus Vietnam, Tagesschau, 08/10/2020
Diễm My biên dịch
Nguồn : VNTB, 10/10/2020