Nhóm tin tặc Việt Nam đánh cắp dữ liệu khắp Châu Á
RFA, 06/04/2024
Một nhóm tin tặc Việt Nam đang bị Cisco Talos thuộc công ty Cisco của Mỹ điều tra vì sử dụng phần mềm độc để đánh cắp dữ liệu từ máy tính của nhiều người ở các nước Châu Á, và khu vực Đông Nam Á kể từ tháng 5 năm 2023.
Một thành viên một nhóm tin tặc đang sử dụng một website theo dõi các hoạt động tấn công mạng toàn cầu năm 2020 - AFP
Theo Cisco Talos, nhóm tin tặc có tên CoralRaider hoạt động vì mục đích đánh cắp dữ liệu cá nhân và tài chính. Các nước hướng tới bao gồm Trung Quốc, Nam Hàn, Bangladesh, Pakistan, Indonesia và Việt Nam.
Trang tin The Hacker News dẫn lời hai chuyên gia của Cisco Talos cho biết nhóm này nhắm vào các tài khoản mạng xã hội của các doanh nghiệp và các tài khoản quảng cáo.
Nhóm sử dụng các phần mềm độc phổ biến kết hợp với virus và các phần mềm đánh cắp thông tin như AsyncRAT, NetSupport RAT, và Rhadamanthys.
Các tài khoản quảng cáo và doanh nghiệp được đặc biệt chú ý trong hoạt động cua nhóm tin tặc ở việt Nam với các phần mềm đánh cắp thông tin chủ yếu như Ducktail, NodeStealer, và VietCredCare.
Theo các nhà nghiên cứu, việc phát hiện nhóm CoralRaider hoạt động từ Việt Nam dựa vào các tin nhắn trên các kênh Telegram C2 bớt và ngôn ngữ được sử dụng trong các bớt, và những từ Việt Nam được sử dụng trong code.
Nguồn : RFA, 06/04/2024
*****************************
Tin tặc từ Việt Nam tấn công các quốc gia Châu Á, an ninh mạng tiếp tục báo động
BBC, 05/04/2024
Tin tặc xuất phát từ Việt Nam đang sử dụng phần mềm độc hại để tấn công các nạn nhân nhằm trục lợi tài chính. Cùng lúc, các tổ chức và cá nhân ở Việt Nam cũng trở thành nạn nhân.
Không ít vụ tấn công trên thế giới được xác định do các nhóm tin tặc từ Việt Nam. Cùng lúc, nhiều tổ chức và cá nhân tại Việt Nam cũng bị tấn công mạng.
Hôm qua (4/4), một nhóm tin tặc có tên CoralRaider bị nghi ngờ sử dụng các phần mềm độc hại để nhằm vào các nạn nhân ở một vài quốc gia khu vực Châu Á và Đông Nam Á, theo đánh giá của Cisco Talos.
Các quốc gia có nạn nhân bị tấn công bao gồm Việt Nam, Trung Quốc, Hàn Quốc, Ấn Độ, Bangladesh, Indonesia và Pakistan.
Cisco Talos là nhóm nghiên cứu về an ninh mạng thuộc Cisco Systems, tập đoàn đa quốc gia của Mỹ về công nghệ truyền thông kỹ thuật số.
CoralRaider chủ yếu đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của các nạn nhân (bao gồm cả tài khoản doanh nghiệp và quảng cáo) nhằm trục lợi tài chính.
Cisco Talos đánh giá nhóm này hiện có cơ sở hoạt động ở Việt Nam và ít nhất đã bắt đầu hoạt động từ tháng 5/2023.
Đánh giá này được đưa ra sau khi Cisco Talos phát hiện có tiếng Việt trong tên phần mềm và tin nhắn của thành viên nhóm, cũng như có nhiều từ tiếng Việt tồn tại trong phần mềm độc hại mà nhóm này sử dụng.
Địa chỉ IP của nhóm này cũng được xác định là ở Hà Nội, Việt Nam.
Trong quá trình tìm hiểu, Cisco Talos đã phát hiện hai nhóm chat Telegram sử dụng tên tiếng Việt là "Kiếm tiền từ Facebook" và "Mua Bán Scan Mini".
Hai "chợ đen" này là nơi nhiều hoạt động trao đổi diễn ra, bao gồm cả dữ liệu cá nhân của các nạn nhân.
Đã có nhiều tiền lệ
Đây không phải lần đầu tiên có những vụ tấn công mạng nhằm trục lợi tài chính mà thủ phạm được xác định là từ Việt Nam.
Cuối tháng 2/2024, nhà cung cấp công nghệ an ninh mạng Group-IB từng có một bài viết về VietCredCare.
VietCredCare là một phần mềm đánh cắp thông tin, được một nhóm người Việt Nam quản lý và được lưu hành ít nhất là từ tháng 8/2022, theo Group-IB.
Nạn nhân chủ yếu là những người quản lý hồ sơ của các doanh nghiệp và tổ chức lớn đến từ 44 tỉnh thành của Việt Nam.
Trong đó, 51% nạn nhân ở Hà Nội và 33% ở Thành phố Hồ Chí Minh.
Sau đó, khi đã kiểm soát được tài khoản Facebook của nạn nhân có lượng người theo dõi lớn, kẻ gian có thể trục lợi chính trị hoặc tài chính qua các hình thức như :
Thông tin của Cisco Talos và Group-IB về các nhóm tin tặc xuất phát từ Việt Nam được đưa ra trong bối cảnh an ninh mạng trở thành một chủ đề nóng hổi. Một số công ty Việt Nam cùng với nhiều cá nhân, tổ chức khác đã bị tấn công mạng, gây ra sự gián đoạn hoạt động hoặc thiệt hại về tài chính trong thời gian gần đây.
Chính quyền Việt Nam cũng từng là mục tiêu của các cuộc tấn công mạng.
Theo một tài liệu rò rỉ vào tháng 2/2024, một tổ chức chính quyền vùng tây nam Trung Quốc được cho là đã chi 15.000 USD (khoảng 370 triệu đồng) để đột nhập website của cảnh sát giao thông Việt Nam.
Năm ngoái, trang fanpage của Công an Thành phố Hà Nội cũng từng bị hack.
Khoảng 17 giờ ngày 7/8/2023, trang fanpage Facebook chính thức của Công an Thành phố Hà Nội đăng tải hai hình ảnh nhạy cảm lên mục story kèm đường link lạ. Đến khoảng 19 giờ cùng ngày, hai bức ảnh trên đã được gỡ bỏ.
Nhiều doanh nghiệp Việt Nam bị tấn công
Tháng 12/2023, Công ty Công nghệ An ninh mạng quốc Gia Việt Nam (NCS) đã công bố báo cáo tổng kết tình hình An ninh mạng Việt Nam năm 2023.
Theo tổng hợp của NCS, đã có 13.900 vụ tấn công mạng vào các tổ chức tại Việt Nam, trung bình mỗi tháng xảy ra 1.160 vụ, tăng 9,5% so với năm 2022.
Trong đó, các mục tiêu phổ biến nhất bao gồm cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp.
Gần đây hai doanh nghiệp lớn ở Việt Nam là VnDirect (công ty môi giới chứng khoán lớn thứ ba Việt Nam) và PVOIL (Tổng Công ty Dầu Việt Nam) cũng đã bị tấn công mạng.
Trường hợp của VnDirect diễn ra sớm hơn khi công ty bị tấn công vào ngày 24/3.
Tới chiều thứ Tư ngày 27/3, dù khách hàng tại VnDirect đã có thể tra cứu thông tin tài khoản, hệ thống giao dịch, rút tiền và các dịch vụ khác vẫn gián đoạn.
Sau đó, công ty cho biết dự kiến nhà đầu tư có thể quay lại giao dịch chứng khoán, rút và nhận tiền từ thứ Hai ngày 1/4.
Dù vậy, đến thứ Năm ngày 4/4, nhiều nhà đầu tư vẫn phản ánh rằng hệ thống có hàng loạt lỗi khiến họ không thể giao dịch bình thường, theo VTC News.
Cùng ngày, Sở Giao dịch Chứng khoán Thành phố Hồ Chí Minh (HoSE) công bố danh sách 10 công ty chứng khoán có thị phần môi giới lớn nhất quý 1 năm 2024. Theo đó, VnDirect chỉ còn 6,01% cổ phần, so với 6,64% cổ phần công ty có được vào quý 4 năm 2023.
Sự tụt giảm được cho là có sự ảnh hưởng từ việc VnDirect bị tấn công mạng và phải ngừng giao dịch suốt một tuần cuối tháng 3/2024.
Con số thiệt hại không được nêu cụ thể nhưng theo lời Chủ tịch VnDirect Phạm Minh Hương là "rất lớn".
Bộ Công an Việt Nam hiện đang điều tra vụ việc.
Về trường hợp của PVOIL, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam – Công ty cổ phần (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware) vào 0 giờ ngày 2/4/2024.
Vụ việc gây ra sự cố ngừng hoạt động trong toàn hệ thống, trong đó có hệ thống hóa đơn điện tử. Đến chiều ngày 2/4, Tổng cục Thuế đã tạm thời đóng cổng kết nối trực tiếp với PVOIL.
Các vụ tấn công mạng nói trên cho thấy cảnh báo của các chuyên gia công nghệ an ninh mạng, rằng doanh nghiệp Việt Nam nhìn chung có năng lực thấp trong việc chống lại các rủi ro dạng này, là có cơ sở.
Theo Báo cáo Chỉ số Sẵn sàng An ninh mạng 2024 của Cisco, tập đoàn đa quốc gia của Mỹ về công nghệ truyền thông kỹ thuật, chỉ có 6% các tổ chức và doanh nghiệp ở Việt Nam được xếp vào nhóm "Trưởng thành" - nhóm "sẵn sàng để giải quyết các loại rủi ro về an ninh mạng hiện hữu".
Chiều 5/4, tại tọa đàm "Phòng chống tấn công mã hóa dữ liệu tống tiền" do Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam (Vietnam ICT Press Club) phối hợp cùng Hiệp hội An ninh mạng Quốc gia (Bộ Công an) tổ chức, ông Lê Xuân Thủy, giám đốc Trung tâm An ninh mạng Quốc gia, đánh giá rằng các doanh nghiệp Việt Nam chưa "quan tâm đúng mức" tới các vấn đề an ninh mạng.
Theo ông, các doanh nghiệp vẫn "lúng túng" trong cách xử lý và "chậm trễ trong việc báo [cáo] cơ quan chức năng".
Dù sự cố được khắc phục, nguyên nhân lại không được xác định chính xác. Điều này khiến gia tăng nguy cơ tái diễn các cuộc tấn công, ông Thủy đánh giá.
Các cá nhân cũng thường xuyên là nạn nhân
Cũng trong hôm nay (ngày 5/4), chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) cùng nhóm chuyên gia vừa công bố kết quả từ Dự án Chống Lừa Đảo (website : chongluadao.vn).
Cụ thể, trong ba tháng đầu năm, trang chongluadao.vn đã nhận được tổng cộng 29.251 báo cáo lừa đảo.
Đáng chú ý, số vụ báo cáo liên tục tăng trong giai đoạn này : tháng 1 có 8.667 vụ, tháng 2 có 9.132 vụ, tháng 3 có 11.452 vụ.
Một vài hình thức tấn công được biết đến gần đây là ăn cắp tài khoản Facebook hoặc kênh YouTube.
Vào ngày 2/4, kênh YouTube lớn và quen thuộc với nhiều khán giả người Việt là kênh "Mixi Gaming" của ông Phùng Thanh Độ (thường được gọi là Độ Mixi) với 7,33 triệu người đăng ký đã bị chiếm quyền kiểm soát.
Đến chiều 3/4, ông Độ mới chính thức giành lại được quyền kiểm soát kênh của mình. Tuy nhiên, ngay sau đó đến lượt tài khoản Steam của ông bị tấn công.
Steam là một nền tảng mạng xã hội chủ yếu nhắm đến giới chơi game, dùng để phân phối các trò chơi điện tử, video, bản cập nhật phần mềm.
Sau khi thử nhiều cách và không thể lấy lại tài khoản, ông Độ đã quyết định liên hệ với tin tặc qua email và ngay lập tức nhận được một yêu cầu chuộc tài khoản với giá 5.000 USD.
Một kênh YouTube nổi tiếng khác là "Quang Linh Vlogs – Cuộc Sống ở Châu Phi", có hơn 3,82 triệu người, cũng bị đột nhập vào ngày 2/4.
Nguồn : BBC, 05/04/2024
Ngọc Lan, VNTB, 06/12/2020
Microsoft đã tiết lộ rằng nhóm tin tặc được chính phủ Việt Nam hậu thuẫn đang triển khai phần mềm độc hại khai thác tiền điện tử cùng với các hoạt động gián điệp mạng thông thường của họ.
Báo cáo nêu bật xu hướng ngày càng tăng trong ngành công nghiệp an ninh mạng khi ngày càng có nhiều nhóm hack do nhà nước hậu thuẫn cũng đang nhúng chân vào các hoạt động tội phạm mạng thông thường, khiến việc phân biệt tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo trở nên khó khăn hơn.
Nhóm Bảo vệ Đe dọa Tình báo của Bộ phận bảo vệ Microsoft 365 từ tên Bismuth đã truy tìm ra nhóm tin tặc Việt Nam hoạt động từ năm 2012 và được biết đến với tên APT32 và Sen Biển – OceanLotus.
APT32
OceanLotus
"Bismuth đã tiến hành các cuộc tấn công gián điệp mạng ngày càng phức tạp kể từ năm 2012, sử dụng cả công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, chính phủ, dịch vụ tài chính, tổ chức giáo dục và các tổ chức nhân quyền và dân quyền", Microsoft cho biết trong một bài đăng trên blog cuối ngày thứ Hai.
Trong các chiến dịch từ tháng 7 đến tháng 8 năm 2020, nhóm tin tặc này đã phát triển các máy đào tiền ảo Monero trong các cuộc tấn công nhắm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam.
Microsoft thông báo : "Các chiến dịch của Bismuth, một công cụ của nhà nước, tận dụng các cảnh báo có mức độ ưu tiên thấp mà các máy đào tiến ảo gây ra để thử xâm nhập mà không bị phát hiện và tồn tại vĩnh viễn," nhóm Microsoft thông báo.
Đầu tiên là Bismuth đang sử dụng phần mềm độc hại khai thác tiền ảo, thường được kết hợp với các hoạt động tội phạm mạng, để ngụy trang một số cuộc tấn công của họ từ những người ứng phó sự cố và lừa họ tin rằng các cuộc tấn công của họ là các cuộc xâm nhập ngẫu nhiên có mức độ ưu tiên thấp.
Bismuth cố gắng giành quyền truy cập căn bản bằng cách gửi các email độc hại được chế tạo đặc biệt từ tài khoản Gmail dường như được tạo riêng cho chiến dịch xâm nhập.
Bismuth cũng đang thử nghiệm những cách thức mới để tạo ra doanh thu từ các hệ thống mà họ đã xâm nhập trong các hoạt động gián điệp mạng thông thường của họ. Trong những năm gần đây, các nhóm tin tặc do nhà nước Trung Quốc, Nga, Iran và Triều Tiên bảo trợ cũng đã tấn công các mục tiêu với mục đích duy nhất là kiếm tiền vì lợi ích cá nhân hơn là gián điệp mạng.
Các nhóm này thường hoạt động dưới sự bảo vệ trực tiếp của chính quyền quốc gia của họ, hoặc là nhà thầu hoặc là nhân viên tình báo, và họ cũng hoạt động từ bên trong các quốc gia không có hiệp ước dẫn độ với Hoa Kỳ, cho phép họ thực hiện bất kỳ cuộc tấn công nào họ muốn và biết rằng họ hầu như không phải gánh chịu hậu quả.
Với việc Việt Nam cũng đang thiếu hiệp ước dẫn độ với Mỹ, việc Bismuth bành trướng sang lĩnh vực tội phạm mạng được coi là có họ sẽ "có khả năng" trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới.
Trend Micro đã báo cáo một loạt các cuộc tấn công phần mềm độc hại nhắm mục tiêu vào macOS gần đây nhằm cài đặt các cửa hậu để lấy cắp thông tin cá nhân nhạy cảm. Công ty bảo mật đã phát hiện ra rằng một biến thể phần mềm độc hại mới đang được sử dụng trực tuyến và được hỗ trợ bởi một nhóm tin tặc nhà nước có tên là Sen Biển, hay AKTP2 và có trụ sở tại Việt Nam.
Theo báo cáo của ZDNet, Trend Micro cho biết phần mềm độc hại mới do Sen Biển – OceanLotus tạo ra do "sự tương đồng về hành vi động và mã" từ phần mềm độc hại trước đó được kết nối với nhóm tin tặc có trụ sở tại Việt Nam.
Gần đây, họ đã phát hiện ra một cửa sau mới mà tin rằng có liên quan đến nhóm OceanLotus. Một số cập nhật của biến thể mới này (do Trend Micro phát hiện là Backdoor.MacOS.OCEANLOTUS.F) bao gồm hành vi và tên miền mới. Được biết mẫu này vẫn không bị phát hiện bởi các giải pháp chống phần mềm độc hại khác.
Do sự tương đồng về hành vi động và mã với các mẫu OceanLotus trước đó, mẫu mã độc mới đã được xác nhận là một biến thể của phần mềm độc hại nói trên.
OceanLotus chịu trách nhiệm về các cuộc tấn công có chủ đích chống lại các tổ chức từ các ngành như truyền thông, nghiên cứu và xây dựng. Gần đây, họ cũng đã được các nhà nghiên cứu từ Volexity phát hiện đang sử dụng các trang web độc hại để tuyên truyền phần mềm độc hại.
Những kẻ tấn công đằng sau mẫu này có thể nhắm mục tiêu vào người dùng từ Việt Nam vì tên của tài liệu bằng tiếng Việt và các mẫu cũ hơn đã nhắm mục tiêu cùng một khu vực trước đó.
Các nhóm nguy hiểm như OceanLotus đang tích cực cập nhật các biến thể phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ. Các phương pháp hay nhất sau đây có thể được áp dụng để bảo vệ khỏi phần mềm độc hại :
– Không bao giờ nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ
– Thường xuyên vá và cập nhật phần mềm và ứng dụng
– Sử dụng các giải pháp bảo mật phù hợp với hệ điều hành của bạn
Ngọc Lan
Nguồn : VNTB, 06/12/2020
********************
Thanh Vi, SBS, 05/12/2020
Cuộc điều tra của Volexity
Công ty Volexity, công ty tư nhân chuyên về an ninh mạng tại Hoa kỳ, ngày 6/11/2020, đã công bố một phần kết quả của cuộc điều tra kéo dài nhiều năm về hoạt động của nhóm OceanLotus ̣hay Sen Biển, còn được bíết dưới tên APT32.
Các hoạt động "tin tặc" của nhóm Sen Biển qua các trang tin giả để theo dõi và lần ra các cá nhân, tổ chức người Việt có lập trường đối kháng đã bị Volexity, công ty tư nhân chuyên về an ninh mạng tại Hoa kỳ, vạch trần.
Theo nguồn tin này, Sen Biển điều hành gân 20 trang tin giả và nhiều trang Facebook trong nỗ lực thu thập tin tức của những người vào đọc các trang này, từ đó nhận diện các thành phần đối kháng với chế độ và tìm cách xâm nhập tài khoản email hoặc facebook của họ.
Khi đã xâm nhập thành công, nhóm tin tặc này sẽ ẩn mình theo dõi những người thường xuyên đối tác với đối tượng đã bị xâm nhập. Cứ vậy, họ phăng dần ra những đường dây hoạt động đối kháng.
Volexity tin rằng OceanLotus làm việc cho nhà nước Việt Nam
Trong một bài báo đăng ngày 7/11/2020 mạng tựa đề : "Tin tặc Việt Nam lập trang web ‘Fake News’ để nhắm mục tiêu vào khách truy cập, tạp chí vice.com cho biết ông Steven Adair, sáng lập viên Volexity đã phát biểu với tạp chí này :
Trước đó công ty an ninh mạng FireEye, trụ sở tại California Hoa kỳ, cũng đã liên hệ OceanLotus với chính phủ Việt Nam.
Trong tài liệu mới được công bố, Volexity khuyến cáo :
"Các cá nhân có nguy cơ cao và có khả năng là mục tiêu của OceanLotus nên đặc biệt cẩn thận đối với các trang mà họ đang truy cập, đặc biệt nếu các trang mạng đó được đề nghị hoặc liên kết với họ qua e-mail, hay các dịch vụ chat, nhắn tin hoặc thậm chí SMS. Ngoài ra, dù là trang mạng nào đi nữa, Volexity cũng khuyến cáo những cá nhân này nên hết sức thận trọng khi trang ấy có hiển thị tài liệu để họ tải xuống hoặc yêu cầu họ đăng nhập."
Những trang tin giả được Volexity nêu rõ gồm :
baodachieu.com, baomoi.com, baomoivietnam.com, ledanvietnam.com, nhansudaihoi13.org, tocaoonline.org, thamcungbisu.org, tinmoivietnam.com.
Khi đã xâm nhập thành công, nhóm tin tặc này sẽ ẩn mình theo dõi những người thường xuyên đối tác với đối tượng đã bị xâm nhập.
Volexity cho biết trước đây, khi hai trang tin giả đầu là "Tin không lề" và "Sự thật về Formosa" bị công ty này tố cáo, Sen Biển đã phải cho hai trang này ngưng hoạt động.
BPSOS hợp tác với Volexity trong cuộc điều tra này
BPSOS, tổ chức phi chính phủ tại Hoa kỳ, chuyên tiến hành các hoạt động và chương trình với quy mô quốc tế nhằm vận động cho nhân quyền và dân chủ tại Việt Nam, được cho là một trong những đối tượng chủ yếu mà nhóm này nhắm đến, nhưng đã hoàn toàn thất bại.
Trong phần phỏng vấn đầu trang, Chủ tịch kiêm Giám đốc điều hành BPSOS, Tiến sĩ Nguyễn Đình Thắng cho biết BPSOS đã hợp tác với Veloxity để "gài bẫy và vô hiệu hóa" các hoạt động tin tặc của Sen Biển nhắm vào tổ chức này.
Việt Nam nói gì ?
Cũng trong năm nay, Phó phát ngôn viên Bộ Ngoại giao Việt Nam Ngô Toàn Thắng gọi các cáo buộc cho rằng Việt Nam dính líu đến hoạt động của OceanLotus là những "thông tin vô căn cứ".
Ông nói : "Việt Nam nghiêm cấm mọi hoạt động tấn công mạng nhằm vào các tổ chức và cá nhân dưới mọi hình thức".
Trong khi đó, Việt Nam bị Tổ chức Phóng viên Không Biên giới xếp hạng thứ 175/180 quốc gia được tổ chức này đánh giá về mặt tự do báo chí năm 2019.
Thanh Vi
Nguồn : SBS tiếng Việt, 05/12/2020
Mục tiêu mới của nhóm hacker Việt Nam : Những người đấu tranh cho nhân quyền tại Đức
Giang Nguyễn, RFA, 12/10/2020
Một nhóm tin tặc từ Việt Nam, với tên APT32, được nghi vấn là hoạt động trái phép với sự điều động của nhà nước Việt Nam trong nhiều năm qua đã nhắm mục tiêu tấn công vào cộng đồng người Việt ở Đức, đặc biệt là những người cổ võ cho nhân quyền tại Việt Nam, và kể cả những nhà báo Đức đưa tin bất lợi cho chính quyền Việt Nam.
Ảnh minh họa tin tặc. AFP Photo
Đó là kết luận một cuộc điều tra kéo dài nhiều tháng do hai cơ quan truyền thông báo chí lớn của nước Đức, báo Die Zeit và đài Bayerischer Rundfunk thực hiện. Phóng sự điều tra được phố biến qua nhiều loạt bài viết, như bài với tựa đề "Tin tặc của Hà Nội" trên tờ Zeit ngày 8/10. Các phóng sự điều tra cũng đã được loan đi trên khắp các cơ quan đài truyền hình lớn của Đức trong những ngày qua.
Cuộc điều tra đề cập đến những người bất đồng chính kiến hiện đang sống tại Đức, như ông Bùi Thanh Hiếu, còn được biết qua bút hiệu Người Buôn Gió, và ông Vũ Quốc Dụng, là giám đốc của VETO, một tổ chức bảo vệ nhận quyền với trụ sở ở Berlin.
Ông Dụng chia sẻ với Đài Á Châu Tự Do rằng ông không phải là người mà các tin tặc nhắm để tấn công nhưng họ đã giả mạo tên ông để tấn công những người ông thường liên lạc :
"Tôi được một vài người liên lạc với tôi để hỏi có phải là tôi đã gửi thư cho họ không. Vì họ nghi ngờ, họ hỏi lại nên họ không bị nhiễm mã độc vì họ không mở tệp đính kèm trong đó. Sau này có một số chuyên viên IT cho biết trong tệp này có mã độc tên Cobalt Strike, nó có mục đích dọ thám máy tính của họ. Họ cũng cho biết cái mã độc này do nhóm hacker có tên APT32 hay là Ocean Lotus phát đi".
APT32 đã từng hoạt động dưới nhiều tên, như Ocean Lotus, APT-C-00, SeaLotus và OceanBuffalo. Vào tháng 4 năm nay, hãng an ninh mạng FireEye báo cáo nhóm tin tặc APT32 của Việt Nam đã thực hiện các chiến dịch tấn công Bộ Quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán nhằm thu thập thông tin về cuộc khủng hoảng Covid-19.
Tháng 5 năm nay, họ thực hiện chiến dịch gửi email giả mạo nhắm vào những người hoạt động nhân quyền và tìm cách cài phần mềm gián điệp với tên Cobalt Strike vào máy. Ông Dụng kể tiếp :
"Họ dùng một cái email rất giống email mà tôi thường dùng. Họ gửi đến người đó với dòng tít là ‘Rò rỉ thông tin nhân sự Đại hội XIII - Dự kiến tứ trụ triều đình cộng sản’. Nghe cũng rất là hấp dẫn. Xong rồi họ yêu cầu mở tệp đính kèm ra. Họ sử dụng tên, địa chỉ mà chúng tôi thường dùng để liên lạc trong tính cách là (giám đốc) tổ chức để gây cảm tưởng email này là email chính thức của chính chúng tôi gửi đi. Thế nhưng có điều họ không lưu ý là những người mà họ báo cho chúng tôi, họ lấy làm lạ bởi vì chưa bao giờ mà tôi gửi thư cho họ hoặc trao đổi với họ về đề tài này cả".
Người nhận email giả mạo danh tính của ông Dụng chính là bà Marina Mai, một nhà báo độc lập ở Berlin. Bà Mai từng viết nhiều bài trên những tờ báo lớn như nhật báo TAZ về cộng đồng người Việt tại Đức cũng như về các vấn để ở Việt Nam.
Bà thuật lại : "Vào tháng 5, tôi nhận được một email bằng tiếng Việt. Phải nói tôi chỉ hiểu được vài từ trong tiếng Việt thôi. Người gửi email này là anh Vũ Quốc Dụng từ mạng lưới nhân quyền VETO tại Đức. Anh Dụng nói tiếng Đức rất giỏi, và tôi rất ngạc nhiên tại sao anh ấy viết email cho tôi bằng tiếng Việt và tôi đã hồi âm, ‘Xin chào Mr Dụng, v.v’. Tất nhiên tôi viết bằng tiếng Đức. Sáng hôm sau tôi nhận được câu trả lời bằng tiếng Đức, nhưng ngôn ngữ tiếng Đức rất tệ, đại khái nói là đây không phải là thư rác. Vì vậy, tôi rất ngạc nhiên tại sao lúc đầu anh Dụng lại viết cho tôi bằng tiếng Việt, tại sao anh ấy lại trả lời bằng tiếng Đức rất tệ, và tại sao anh ấy lại trả lời lúc 5h sáng. Tôi nghĩ 5 giờ sáng mọi người ở Đức đang ngủ, nhưng ở Việt Nam lúc đó là ban ngày".
Email giả mạo danh tính của ông Vũ Quốc Dụng, Giám đốc mạng lưới nhân quyền VETO VETO
Bà đã báo lại cho ông Dụng và bà không mở tệp đính kèm. Thế nhưng bà nói bà vẫn không hề có hoài nghi gì đây là nhóm tin tặc đã tấn công bà mãi cho đến khi nhóm phóng viên của đài Bayerischer Rundfunk tìm đến bà và cho biết đây là tin tặc rất có thể là do nhóm APT32. Lúc đó bà cảm tưởng như "trên trời rớt xuống".
Bà Mai chia sẻ : "Tôi bị sốc vì tôi không nghĩ rằng tôi lại là mục tiêu của chính phủ Việt Nam, một người mà họ muốn hack và họ quan tâm đến các liên hệ của tôi... Tôi đã viết bài về vụ bắt cóc Trịnh Xuân Thanh vào mùa hè năm 2017. Tôi đã viết bài về phản ứng của chính phủ Đức và xã hội dân sự Đức về vụ bắt cóc này. Tôi là nhà báo thứ nhì trên toàn thế giới đã đưa tin về vụ bắt cóc. Nó đã gây ra một chấn động dữ dội về mặt truyền thông trên toàn thế giới. Mỗi ngày càng có thêm chi tiết được đưa ra ánh sáng. Chính quyền Việt Nam chắc hẳn không hài lòng về những tin nói là đích thân Trung tướng Công an Nhân dân Việt Nam ông Đường Minh Hưng mặc bộ đồ lót ở trong phòng khách sạn tại Berlin, điều động vụ bắt cóc này. Việt Nam họ không thích điều đó".
Ông Trịnh Xuân Thanh là một viên chức dầu khí cao cấp của Việt Nam. Năm 2017 bị Hà Nội truy nã vì cáo buộc tham nhũng, ông trốn qua Đức và đang làm thủ tục xin tỵ nạn chính trị tại đây khi ông bị mật vụ Việt Nam bắt cóc tại Berlin. Sự kiện đã ảnh hưởng nặng nề đến quan hệ ngoại giao giữa Đức và Việt Nam và phía chính quyền Đức đã tạm ngưng đối tác chiến lược với Hà Nội trong hơn một năm.
Nhà báo Hakan Tanriverdi thường viết về tin tặc do chính quyền báo trợ. Ông là một trong nhóm phóng viên của đài Bayerischer Rundfunk và tờ báo Zeit, thực hiện phóng sự điều tra kỹ thuật và phỏng vấn hàng loạt các cá nhân hoạt động nhân quyền. Ông chia sẻ :
"Chúng tôi đã mất tổng cộng từ 5-7 tháng xem xét nhóm (APT32) này và chúng tôi có thể kết luận ngay về tầm quy mô hoạt động của họ như thế nào. Nó bao gồm hàng trăm trang web, nhiều thực thể bị tấn công, từ các nhà hoạt động nhân quyền, xã hội dân sự, đến nhà báo... đó là một phần quan trọng. Sau đó bạn có những mục tiêu mà chúng tôi nghĩ có lợi ích chiến lược đối với chính phủ Việt Nam".
Ông nói với những kết luận nêu trên, nhóm phóng viên đã chất vấn chính quyền Việt Nam qua tổng lãnh sự Việt Nam tại Berlin. Như những lần trước, khi bị hỏi về nhóm APT32, câu trả lời được lập lại y chang, là "những cáo buộc này không có cơ sở" và "Việt Nam nghiêm cấm các cuộc tấn công mạng nhắm vào các tổ chức và cá nhân dưới mọi hình thức".
Nhà báo Hakan Tanriverdi nói không thể xác định 100% là nhóm APT32 do chính quyền Việt Nam điều động, nhưng tất cả chỉ dấu cho thấy như vậy :
"Nhóm này đã hoạt động từ năm 2011. Lúc đó chưa ai để ý đến tin tặc từ chính quyền. Hồi đó họ thậm chí còn chọn cho mình một cái tên Việt Nam, đó là Sinh Tử Lệnh, đại khái có nghĩa là lá cảm tử. Điều này đáng chú ý, vì nếu không quan hệ với Việt nam thì tại sao lại chọn một cái tên Việt ngữ từ một tiểu thuyết Trung Quốc. Đây không phải là bằng chứng tuyệt đối, nhưng nó là chỉ dấu đáng chú ý. Chúng tôi cũng đã nói chuyện với nhiều chuyên gia an ninh mạng khác. Và ông Thomas Haldenwang, Chủ tịch Cơ quan Tình báo Liên bang, cũng nói với chúng tôi rằng họ thấy dấu hiệu rõ ràng rằng nhóm này đang hoạt động từ Việt Nam căn cứ trên các mục tiêu như ông Vũ Quốc Dụng, ông Bùi Thanh Hiếu đều sống ở Đức và đã bị nhóm này nhắm tới bằng các thư lừa đảo".
Ông Tanriverdi không tiết lộ hết tất cả tên tuổi của những ai bị chính quyền Việt Nam tấn công, nhưng ông nói họ đều có một điểm chung :
"Những người này có một điểm chung là họ đều đang nỗ lực dân chủ hóa Việt Nam bằng cách này hay cách khác, như cố gắng vận động tự do cho những luật sự bị giam ở Việt Nam hoặc đưa hình ảnh, video từ Việt Nam cho thấy lực lượng an ninh Việt Nam có hành vi sai phạm như bắt dân ra khỏi nhà, cướp đất v.v"…
Theo nhà báo Hakan Tanriverdi, từ vụ việc Trịnh Xuân Thanh và nay có thêm phát hiện về tin tặc APT32 qua cuộc điều tra mới nhất này, chính quyền Đức trong thời gian trước mắt sẽ phải đưa chương trình ngăn chặn loại tin tặc do chính quyền nước ngoài, như Iran, Nga, và Việt Nam hỗ trợ.
Đối với những người bị tấn công như bà Marina Mai thì những gì hiện cảnh sát đang làm chưa đủ. Bà tố cáo chính quyền Đức đã quan tâm đến các hãng xưởng lớn của Đức khi họ bị tin tặc xâm nhập vào máy, nhưng họ đã bỏ qua những người hoạt động vì nhân quyền.
Bà nói, "Cơ quan mật vụ Đức biết nhóm hacker Việt Nam Ocean Lotus, nhưng họ đã không thông báo cho những người có máy tính bị tấn công. Năm trước, cơ quan mật vụ đã thông báo cho các công ty ô tô lớn như BMW rằng họ nên kiểm tra máy tính của họ về hoạt động tin tặc xâm nhập từ Việt Nam, nhưng lời cảnh báo đó đã không được truyền đến những người bất đồng chính kiến và những nhà hoạt động nhân quyền".
Bà Marina Mai nói bà phải tự suy nghĩ cách để tự vệ mình. Tuy nhiên bà cũng đã đề nghị ông Vũ Quốc Dụng nộp thư tố cáo hành vi trộm cắp danh tính của ông, và ông đã thực hiện như thế. Trong lúc chờ đợi cảnh sát điều tra, ông đã đổi email mới.
Nhà báo Hakan Tanriverdi nói, "Theo luật, thì tất cả mỗi người ở Đức có quyền nói những gì mình suy nghĩ. Nếu bạn bị tấn công thì bạn không thể làm được điều đó nữa".
Thế nhưng nhà báo độc lập Marina Mai nói bà không sợ và bà hiện đang chuẩn bị một phóng sự về Bộ Trưởng Bộ Công an Tô Lâm liên quan đến đường dây ma túy. Bài báo dự kiến xuất bản tuần này.
Giang Nguyễn
Nguồn : RFA, 12/10/2020
******************
Ông Vũ Quốc Dụng, giám đốc Veto ! một tổ chức đấu tranh cho nhân quyền Việt Nam có trụ sở tại Đức đang đứng trước nguy cơ bị tin tặc tấn công. Ông Vũ Quốc Dụng sống ở Đức từ những năm 1980 và là người thường xuyên vận động cho những tù nhân lương tâm tại Việt Nam. Vì vậy ông thường xuyên tiếp xúc với các chính trị gia ở Hạ viện Đức hay Nghị Viện Châu Âu.
Ông Dụng cho biết Veto ! là "một tổ chức nhân quyền" và "không muốn lật đổ chính phủ". Tuy nhiên chính phủ Việt Nam lại cảm thấy khó chịu với những việc ông làm.
Bayerischer Rundfunk và "Zeit Online" cho biết nhóm tin tặc "Ocean Lotus" của Việt Nam đã thoải mái theo dõi các nhà hoạt động đối lập và các nhà hoạt động nhân quyền ở Đức trong nhiều năm nay.
Nạn nhân thường xuyên của nhóm tin tặc này là những người Đức lẫn người Việt. Ông Vũ Quốc Dũng, và nữ nhà báo người ĐứcMarina Mai, người thường đưa tin về Việt Nam và cộng đồng người Việt hải ngoại ở Đức nằm trong số đó.
Tin tặc gửi email nhử đến những người mà họ muốn tấn công. Ví dụ như thư mời tham gia hội nghị gửi email cho một blogger ở Berlin sau khi đã nắm rõ lịch trình đi lại của blogger này. Cả ông Vũ Quốc Dụng lẫn bà Marina Mai cũng đã nhận được những email như thế.
Ông Adam Meyers cho biết đội tin tặc này là một đội quân chuyên nghiệp thuộc một đơn vị quân đội. Họ phục vụ cho lợi ích chiến lược của chính phủ Việt Nam.
Cục Liên bang về Bảo vệ Hiến pháp (BfV) đã theo dõi nhóm tin tặc này từ năm 2014. Trong một cuộc phỏng vấn với BR và "Zeit Online" Chủ tịch BfV Thomas Haldenwang giải thích rằng "Ocean Lotus" quan tâm đến "một số người gốc Việt " và đó là "một trong những lý do tại sao chúng tôi thấy mối liên hệ rõ ràng với Việt Nam". Tuy nhiên họ không thể xác định rõ nhóm tin tặc này có thuộc cơ quan tình báo của Việt Nam hay không.
Nhưng Việt Nam luôn phủ nhận các cáo buộc tin tặc và cho đó là những cáo buộc không cso cơ sở khi được hỏi liệu các cuộc tấn công và đe doạ an ninh mạng sẽ phải bị lên án và nghiêm trị theo quy định pháp luật hay không, Đại sứ quán Việt Nam tại Berlin cho biết "Việt Nam luôn sẵn sàng cùng cộng đồng quốc tế chống lại các cuộc tấn công mạng".
Ông Patrick Sensburg, thành viên của ủy ban kiểm soát quốc hội và các cơ quan tình báo liên bang nói : "Chúng tôi thấy có hoạt động gián điệp tích cực ở Đức trong một thời gian dài. Các cuộc tấn công cụ thể của tin tặc chống lại các cá nhân rất khó ngăn chặn. Đó là lý do tại sao các cơ quan an ninh của chúng ta phải được trang bị tốt để có thể thực hiện các biện pháp đối phó là điều rất quan trọng". Tuy nhiên, không thể nào bảo mật được một trăm phần trăm.
Không chỉ nhà hoạt động nhân quyền Vũ Quốc Dũng cảm thấy không nhận được sự giúp đỡ của cảnh sát, mà còn cả một số người mà BR và "Zeit Online" đã nói chuyện. Quy trình để giúp những người bất đồng chính kiến trong các vụ gián điệp mạng chưa được thiết lập.
Veto ! đã đệ đơn khiếu nại hình sự với cảnh sát địa phương, nhưng không họ tìm thấy bằng chứng về động cơ chính trị ở đằng sau của các âm mưu tấn công mạng. Khi được hỏi lại, cơ quan cảnh sát có trách nhiệm thông báo rằng vụ việc đã được đưa vào bộ phận chống gian lận.
Gyde Jensen, Chủ tịch Ủy ban Nhân quyền, cho biết trong một cuộc phỏng vấn với BR rằng nước Đức phải làm sao để "Ocean Lotus" không thể thực hiện được các cuộc tấn công mạng, "Khi mọi người đến đây để tìm kiếm sự bảo vệ, họ phải có thể hy vọng rằng họ được an toàn ở đây". Nếu không, những người này sẽ không thể tự do làm việc. Jensen kêu gọi lập một cơ quan liên lạc trung tâm cho những người bị ảnh hưởng bởi gián điệp mạng, chẳng hạn tại cục Cảnh sát Hình sự Liên bang (BKA). Nhiệm vụ của cảnh sát là phòng chống mối nguy hại.
Cho đến nay, những người bị ảnh hưởng tin tưởng rằng, các nhà chức trách đang xem xét vấn đề một cách nghiêm túc. Rốt cuộc, sau nhiều tháng chờ đợi, vụ án ông Vũ Quốc Dũng đã có động tĩnh. Ông ta làm nhân chứng tham gia thẩm vấn hồi đầu tháng Mười. Ngoài ra, ông Dụng cũng trở nên chủ động hơn khi thông báo cho tất cả những người có liên lạc với ông biết và đổi địa chỉ email.
Von Hakan Tanriverdi, Ann-Kathrin Wetter và Maximilian Zierer
Nguyên tác : Hackerangriffe aus Vietnam, Tagesschau, 08/10/2020
Diễm My biên dịch
Nguồn : VNTB, 10/10/2020
Carl Thayer, RFA, 27/04/2020
Vào ngày 22/4, FireEye, một hãng an ninh mạng của Hoa Kỳ đã báo cáo rằng ít nhất từ tháng 1 đến tháng 4 năm 2020, các nghi phạm trong nhóm tin tặc APT32 của Việt Nam đã thực hiện các chiến dịch tấn công nhằm thu thập thông tin về cuộc khủng hoảng Covid-19 của Trung Quốc. Các mục tiêu bị tấn công là Bộ Quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán.
Tin tặc dang thao tác - Ảnh minh họa - Reuters
Một ngày sau đó, phát biểu tại một cuộc họp báo thường kỳ, Phó phát ngôn viên của Bộ Ngoại giao Việt Nam Ngô Toàn Thắng cho rằng cáo buộc này không có cơ sở. Ông khẳng định "Việt Nam nghiêm cấm các cuộc tấn công mạng nhắm vào các tổ chức và cá nhân dưới mọi hình thức".
Bài viết này tìm hiểu sự phát triển lịch sử của nhóm hacker APT32 và những cáo buộc nhóm này có liên quan đến chính phủ Việt Nam. Trong đó, APT là chữ viết tắt của Advanced Persistent Threat, tức mối đe dọa liên tục nâng cao.
APT32 lần đầu tiên được xác định vào năm 2012 khi nhóm hacker này khởi xướng các cuộc tấn công mạng vào Trung Quốc và sau đó mở rộng sang các mục tiêu ở Việt Nam và Philippines. APT32 còn được gọi là OceanLotus, APT-C-00, SeaLotus và OceanBuffalo.
Vào năm 2016, Cybereason, công ty tình báo về các mối đe dọa trên mạng, đã phát hiện ra rằng hãng này đã bị tấn công mạng cả năm trời mà những liên kết của các cuộc tấn công này đều dẫn đến APT32. Tin tặc APT32 tấn công nhắm vào sở hữu trí tuệ, thông tin kinh doanh bí mật và chi tiết những dự án của Cybereason. Khi Cybereason chuyển sang chặn APT32, nhóm hacker này tỏ ra là một đối thủ linh hoạt đã nhanh chóng dùng đến các công cụ tự tạo để vào lại hệ thống của Cybereason.
Cũng trong năm 2016, một nhà phân tích ứng phó sự cố tại FireEye với kinh nghiệm xử lý khoảng mười hai cuộc xâm nhập mạng APT32 đã kết luận rằng mục đích tấn công của APT32 có vẻ như phục vụ lợi ích nhà nước Việt Nam. Nhà phân tích của FireEye đã kết luận rằng APT32 có thể thực hiện đồng thời nhiều chiến dịch, và có đủ nguồn lực cũng như khả năng để thực hiện các cuộc tấn công mạng quy mô lớn, đặc biệt là giám sát và kiểm tra dữ liệu. Trong một báo cáo được công bố vào tháng 5 năm 2017, FireEye đã đánh giá rằng APT32 là một nhóm gián điệp mạng dính đến lợi ích của chính phủ Hà Nội.
Nick Carr, Giám đốc của FireEye đã theo dõi APT32 từ năm 2012 tiết lộ rằng một cuộc điều tra được thực hiện vào năm 2017 về các vụ tấn công ở Châu Á, Đức và Hoa Kỳ đã phát hiện ra rằng nhóm này đã dành ít nhất ba năm để nhắm vào các tập đoàn nước ngoài có quyền lợi ở Việt Nam trong lĩnh vực sản xuất, sản phẩm tiêu dùng và khách sạn.
Năm 2018, có nhiều báo cáo rằng OceanLotus/APT32 đã tham gia vào hoạt động gián điệp công nghiệp trong hai năm qua nhắm vào các nhà sản xuất ô tô BMW, Toyota và Huyndai. Các hãng truyền thông đã trích dẫn lời những nhà phân tích mạng cho biết các cuộc xâm nhập mạng dường như để hỗ trợ mục tiêu sản xuất của Việt Nam.
Ngoài ra, Volexity, một công ty an ninh mạng, đã báo cáo vào năm 2019 rằng APT32 đã thực hiện chiến dịch tấn công và giám sát kỹ thuật số hàng loạt rất tinh vi và cực kỳ rộng rãi nhằm vào các phương tiện truyền thông, nhân quyền và các nhóm xã hội dân sự cũng như Hiệp hội các quốc gia Đông Nam Á. Công ty an ninh mạng CrowdStrike đã lưu ý vào cuối năm 2019 rằng sự bùng phát trong hoạt động gián điệp của Việt Nam, tức APT 32, đã bắt đầu từ năm 2012 và gia tăng kể từ năm 2018, được cho là gắn liền với chính phủ Việt Nam.
Phần này trình bày về những yếu tố có thể thúc đẩy chính phủ Việt Nam giao nhiệm vụ cho APT32 tấn công vào một bộ của chính phủ Trung Quốc và chính quyền thành phố để có được thông tin về Covid-19.
Truyền thông đưa tin cho hay Trung tâm Tình báo Y tế Quốc gia Hoa Kỳ (NCMI) dựa trên phân tích điện báo và dữ liệu từ máy tính cũng như hình ảnh vệ tinh, đã kết luận rằng một căn bệnh truyền nhiễm lan qua Vũ Hán và khu vực xung quanh có nguy cơ ảnh hưởng đến sức khỏe người dân. NCMI đã đưa ra một báo cáo mật vào cuối tháng 11 năm 2019 cảnh báo rằng một căn bệnh ngoài tầm kiểm soát sẽ gây ra mối đe dọa nghiêm trọng cho các lực lượng của Hoa Kỳ ở Châu Á. NCMI báo cáo tóm tắt vấn đề này đến Cơ quan Tình báo Quốc phòng, Bộ tham mưu Lầu năm góc và Nhà Trắng.
Không có lý do rõ ràng nào lý giải việc tại sao chính phủ Hà Nội không thể phát hiện ra căn bệnh lây lan này vào tháng 11-12/2019 thông qua các nguồn tin tình báo do con người thu thập và tình báo tín hiệu qua theo dõi mạng internet tiếng Trung. Nếu phát hiện, phản ứng đầu tiên của Việt Nam sẽ là thử và xác định Covid-19 gây chết người như thế nào. Đồng thời tìm hiểu càng nhiều càng tốt về căn bệnh mới cũng như khả năng ảnh hưởng của nó đối với Việt Nam. Các nhà ngoại giao Việt Nam tại Trung Quốc nên được giao nhiệm vụ lấy thông tin này từ các những viên chức tương nhiệm Trung Quốc.
Do Trung Quốc thiếu minh bạch về sự lây lan của coronavirus đến tháng 1, nhiều khả năng các quan chức Bắc Kinh đã không đáp ứng yêu cầu cung cấp thông tin từ phía các đồng sự Hà Nội. Sự thiếu minh bạch của Trung Quốc sẽ khiến các nhà lãnh đạo Việt Nam đưa ra chỉ thị, hoặc giao nhiệm vụ cho các cơ quan tình báo và quan chức khác nhau của Hà Nội ở Trung Quốc ưu tiên thu thập tất cả thông tin nguồn về coronavirus. Điều này sẽ bao gồm các nguồn mở như internet, Weibo - một dạng Facebook của Trung Quốc, các trang blog và các ấn phẩm điện tử.
Việt Nam có thể đã tiếp cận được thông tin tình báo có được từ các dịch vụ tình báo thân thiện thông qua liên lạc và trao đổi thông thường. Việt Nam có thể đã có yêu cầu cung cấp thông tin, chia sẻ thông tin hoặc được cung cấp thông tin. Ở mức tối thiểu, các cuộc thảo luận liên lạc có thể đã tiết lộ mối quan tâm chung về Covid-19.
Ngoài ra, Việt Nam cũng có thể có được thông tin từ các nguồn thông tin tình báo nhân sự. Đó là các nguồn bao gồm các quan chức chính phủ Trung Quốc, ngành vụ an ninh, nhân viên y tế, các nhà khoa học nghiên cứu và công dân bình thường ở Trung Quốc và đặc biệt ở Vũ Hán. Các nguồn thông tin nhân sự cũng bao gồm các cư dân Việt và nước ngoài tại Trung Quốc, đặc biệt là ở Vũ Hán, như các doanh nhân, sinh viên và khách du lịch.
Tóm lại, các nguồn tình báo cả con người và tín hiệu có khả năng đã xác nhận những tin đồn đầu tiên về sự xuất hiện và lan truyền của Covid-19 đến giới thu thập tin tình báo Việt Nam. Một báo cáo của FireEye cáo buộc rằng cuộc xâm nhập mạng đầu tiên của Việt Nam nhằm thu thập thông tin về Covid-19 đã được khởi xướng tấn công Bộ quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán vào ngày 6 tháng 1 năm 2020 và tiếp tục trong suốt quý đầu tiên của năm. Sự thiếu minh bạch của Trung Quốc có thể là một yếu tố thúc đẩy quan trọng đằng sau quyết định này.
Bằng chứng công khai rằng APT32 được liên kết với chính phủ Việt Nam dựa trên sự giám sát lâu dài những phương thức hoạt động của các công ty an ninh mạng chuyên nghiệp. APT32 hành động chống lại các nhà bất đồng chính kiến Việt Nam trong và ngoài nước và nhắm vào các doanh nghiệp thương mại nước ngoài cho thấy có thể nhóm hacker này có liên kết với Bộ Công an.
Năm 2017, Bộ Quốc phòng đã thành lập Bộ Tư lệnh Tác chiến Không gian mạng. Có thể nhóm tin tặc APT32 được đặt dưới trướng của Bộ Tư lệnh Không gian mạng mới này.
Sách trắng quốc phòng gần đây nhất của Việt Nam được phát hành vào cuối năm 2019 tuyên bố ‘Việt Nam sẵn sàng sử dụng mọi biện pháp phù hợp luật pháp quốc tế để phòng ngừa và ngăn chặn các cuộc tấn công mạng nhằm bảo vệ chủ quyền và lợi ích quốc gia trong không gian mạng.’
Thật khó tưởng tượng được rằng Bộ Tư lệnh Tác chiến Không gian mạng đã không phát triển một số khả năng phản công có thể cho phép nó hack máy tính của chính phủ Trung Quốc trong trường hợp bắt buộc.
Tuy nhiên, cũng có lý khi APT32 là một đơn vị của Bộ Thông tin và Truyền thông, hay một bộ khác, hoặc một đơn vị độc lập báo cáo thẳng cho các nhà lãnh đạo cao nhất của đảng và nhà nước Việt Nam.
Carl Thayer
Nguồn : RFA, 27/04/2020
---
Giáo sư Carl Thayer là Giáo sư danh dự và là thành viên thỉnh giảng của Trường Nhân văn và Khoa học xã hội, Đại học New South Wales tại Học viện Quốc phòng Úc ở Canberra.
*********************
Cáo buộc Tin tặc Việt Nam tìm cách tấn công vào mạng Trung Quốc lấy cắp dữ liệu
Hoàng Trung, Thoibao.de, 25/04/2020
Reuters hôm thứ Tư đưa tin nhóm tin tặc APT32 ủng hộ chính phủ Việt Nam đã tìm cách đột nhập email cá nhân và công việc của nhân sự thuộc Bộ Quản lý tình trạng khẩn cấp của Trung Quốc và chính quyền Thành phố Vũ Hán để lấy tin về virus corona.
Một wesite chuyên về an ninh mạng phác họa sơ đồ mô tả quy trình tạo bẫy và tấn công của nhóm Hacker APT32 còn được gọi là OceanLotus Group, đã hoạt động từ ít nhất là năm 2013, theo các chuyên gia, đây là nhóm hacker được nhà nước bảo trợ, theo FireEye - Ảnh minh họa
Dẫn tin của công ty FireEye, chuyên về an ninh mạng tại Mỹ, Reuters cho biết điều tra viên tại FireEye và các công ty an ninh mạng khác khẳng định họ tin nhóm APT32 phục vụ chính phủ Việt Nam.
Các hoạt động gần đây của nhóm cho thấy một mô hình tin tặc do chính phủ chống lưng nhằm vào các cơ quan chính phủ, doanh nghiệp, cơ quan y tế để tìm kiếm các thông tin về bệnh mới và các nỗ lực đối phó.
Nhóm APT32 lấy thông tin liên quan đến Cúm Vũ Hán
Trên trang blog chính thức của mình, công ty FireEye khẳng định nhóm APT32 có liên quan đến chính phủ Việt Nam đã nhắm vào chính phủ Trung Quốc để lấy thông tin liên quan đến Cúm Vũ Hán.
"Các cuộc tấn công cho thấy thông tin về virus là đối tượng ưu tiên của hoạt động gián điệp – tất cả mọi người đều nhắm vào nó, và APT32 là những gì Việt Nam có", Ben Read, quản lý cấp cao bộ phận phân tích nguy cơ gián điệp Mandiant của FireEye, nhận xét với Reuters.
Reuters cho biết chính phủ Việt Nam đã không trả lời đề nghị bình luận về vấn đề này. Các email gửi tới địa chỉ email được các hacker sử dụng cũng không có hồi đáp. Tương tự, cục An ninh mạng, Bộ Quản lý tình trạng khẩn cấp, chính quyền Thành phố Vũ Hán cũng chưa bình luận về vấn đề trên.
BBC News Tiếng Việt cũng chưa thể kiểm chứng tin này.
Theo Reuters, Việt Nam đã phản ứng rất nhanh trước thông tin xuất hiện virus corona chủng mới, đóng cửa biên giới với Trung Quốc và thực hiện các biện pháp nghiêm ngặt để truy vết và cách ly giúp nước này khống chế số người nhiễm dưới 300.
Adam Segal, một chuyên gia an ninh mạng tại Hội đồng Quan hệ Đối ngoại (Council on Foreign Relations) ở New York, nói với Reuters rằng các hoạt động tin tặc cho thấy Hà Nội đẩy mạnh hoạt động trên không gian mạng. Các vụ tấn công mới nhất mà FireEye phát hiện được tiến hành trước một tuần so với ca bệnh đầu tiên được thế giới biết đến, ông nói.
Không biết các cuộc tấn công vào Trung Quốc có thành công hay không nhưng các vụ tấn công cho thấy các hacker gồm cả tội phạm mạng và các gián điệp do chính phủ chống lưng đã tổ chức các hoạt động của mình trong đợt dịch virus corona, John Hultquist, giám đốc phân tích cấp cao của Mandiant, cho Reuters biết.
Tin tặc Việt Nam hoạt động thế nào ?
Theo FireEye, APT32 nhằm vào một nhóm nhỏ người bằng việc gửi email có đường dẫn có thể thông báo với hacker một khi người nhận mở ra xem. Sau đó hacker sẽ gửi email với phần đính kèm độc hại có chứa virus gọi là METALJACK giúp họ có thể đột nhập vào máy tính của nạn nhân.
Theo FireEye, APT32 tận dụng một bộ phần mềm độc hại có đầy đủ tính năng, kết hợp với các công cụ có sẵn trên thị trường, để thực hiện các mục tiêu phù hợp với lợi ích của nhà nước Việt Nam.
John Hultquist, Giám đốc phân tích tình báo của FireEye, nhận định các chiến thuật mà APT32 sử dụng bao gồm các tên miền đăng ký giống với các công ty xe hơi – sau đó thực hiện cuộc tấn công giả mạo (hình thức giả mạo thành một đơn vị/cá nhân uy tín để chiếm lòng tin của người dung). Sau đó, họ lấy cắp thông tin của nạn nhân để truy cập mạng nội bộ.
Bloomberg dẫn lời ông Marc-Étienne Léveillé, chuyên gia của công ty ESET có trụ sở tại Slovakia, phân tích trong cuộc tấn công này, tin tặc APT32 đã gửi tin nhắn qua Facebook có chứa phần mềm độc hại được hiển thị như một album ảnh. Khi nạn nhân kéo xem ảnh, một trong những bức ảnh thực tế là đã cài phần mềm độc hại trên máy tính.
"Đây chính xác là những điều mà chúng tôi dự đoán. Một cuộc khủng hoảng xảy ra và thông tin trở nên khan hiếm, từ đó các hoạt động gián điệp đánh cắp thông tin được triển khai", ông nói.
Nhóm tin tặc là ai ?
Trả lời trên Bloomberg, ông Nick Carr, Giám đốc của công ty an ninh mạng FireEye Inc, cho biết họ đã theo dõi APT32 – còn được gọi là Ocean Lotus và Ocean Buffalo – từ năm 2012. Năm 2017, nhóm của ông đã điều tra một loạt các vụ tấn công mạng ở Mỹ, Đức và nhiều quốc gia ở Châu Á và thấy rằng nhóm APT32 đã dành ít nhất ba năm để tấn công các chính phủ nước ngoài, nhà báo, nhà bất đồng chính kiến và các tập đoàn nước ngoài có lợi ích trong các lĩnh vực sản xuất, hàng tiêu dùng và khách sạn ở Việt Nam.
Chuyên gia Marc-Étienne Léveillé nói rằng APT32 từng sử dụng phần mềm độc hại này trong các cuộc tấn công vào các cơ quan chính phủ và tổ chức thương mại tại Đông Á trong thời gian gần đây. Mục tiêu tấn công còn là các nhà hoạt động chính trị, bất đồng chính kiến ở Việt Nam, dẫn theo Bloomberg.
Cũng theo Bloomberg, các chuyên gia an ninh mạng nhận định nhóm tin tặc Việt Nam đang học kiểu chơi của Trung Quốc, sử dụng các cuộc tấn công mạng ngày càng phức tạp để đánh cắp thông tin đối thủ và giúp Việt Nam bắt kịp các đối thủ toàn cầu.
"Đây là một câu chuyện một Trung Quốc thu nhỏ", Adam Meyers, phó chủ tịch phụ trách mảng tình báo của CrowdStrike, đánh giá.
Dòng Tweet của công ty FireEye nói rằng họ tin nhóm tin tặc APT32 được chính phủ VN hậu thuẫn, đã nhắm vào chính phủ Trung Quốc để lấy thông tin liên quan đến Cúm Vũ Hán.
Việt Nam bác cáo buộc hỗ trợ tin tặc tấn công Trung Quốc
Bộ Ngoại giao Việt Nam phủ nhận chính phủ hỗ trợ nhóm APT32 đánh cắp thông tin về Cúm Vũ Hán của Trung Quốc.
"Đây là những thông tin không có cơ sở. Việt Nam nghiêm cấm các hành vi tấn công mạng nhằm vào các tổ chức, cá nhân dưới bất cứ hình thức nào", ông Ngô Toàn Thắng, phó phát ngôn Bộ Ngoại giao Việt Nam, nói trong họp báo trực tuyến thường kỳ chiều 23/4.
Ông Thắng lên tiếng về thông tin hãng bảo mật FireEye, trụ sở tại Mỹ, cho rằng chính phủ Việt Nam hỗ trợ nhóm hacker APT32 tấn công mạng vào các cơ quan chính phủ, doanh nghiệp trên thế giới, trong đó có Trung Quốc.
"Các hành vi tấn công, đe doạ an ninh mạng cần phải bị lên án và trừng trị nghiêm khắc theo quy định của pháp luật", phó phát ngôn nói.
Theo ông Thắng, năm 2018, Quốc hội Việt Nam đã thông qua luật an ninh mạng. Việt Nam đang hoàn thiện các văn bản pháp quy để thực thi luật nhằm ngăn chặn các hành vi tấn công mạng.
"Việt Nam sẵn sàng hợp tác với cộng đồng quốc tế trong đấu tranh phòng và chống các hành vi tấn công mạng dưới mọi hình thức", ông Thắng nói.
Một Facebooker là doanh nhân và cũng là tác giả từng viết bài cho BBC nhận định rằng đây có thể là cái bẫy do Trung quốc sắp đặt để lấy cớ gây sự với Việt Nam giữa lúc tình hình biển Đông đang căng thẳng.
"Fire Eye cũng ngụ ý rằng rất nhiều nhóm cũng tấn công vào viện nghiên cứu P4, thế nhưng tại sao họ chỉ nêu tên Việt Nam lúc này, trong lúc tình hình Biển Đông đang nóng ?". Facebooker Ngô Trường Anh Vũ đặt vấn đề nghi vấn không phải đối với Reuteurs mà đối với nguồn tin là công ty an ninh mạng FireEye.
"Cần biết rằng quần đảo Trường Sa có hơn 100 thực thể lớn nhỏ trong đó Việt Nam quản lý 21 thực thể, Trung Quốc quản lý 7 và Malaysia, Philippines và Indonesia (vùng đông bắc quần đảo Natuna) chia nhau phần còn lại. Trong tình hình căng thẳng ở Trường Sa hiện tại, Trung Quốc đưa tàu sân bay Liêu Ninh áp sát, Mỹ đã đưa các khu trục hạm ra để đảm bảo tự do hàng hải.
Trong 4 nước Malaysia, Indonesia, Việt Nam và Philippines thì người Mỹ sẽ ưu tiên bảo vệ 3 nước còn lại trừ Việt Nam. Việt Nam thân cô thế cô vì không có hiệp ước đồng minh với Hoa Kỳ mà chỉ là đối tác. Trong khi đó Malaysia và Indonesia là đồng minh chống khủng bố của Mỹ, Philippines thì thân thiết xưa nay từ ngoại giao đến văn hoá, 3 nước Malaysia, Indonesia và Philippines là bộ 3 quan trọng trong chiến lược diệt trừ khủng bố toàn cầu mà ở khu vực này là nhóm Abu Sayyaf. Malaysia và Indonesia cũng rất cứng rắn trong vấn đề chủ quyền biển đảo do có người Mỹ chống lưng.
Trình bày giản lược để thấy rằng Việt Nam là nước dễ bị tổn thương nhất và là mục tiêu có khả năng bị tấn công nhất bởi Trung Quốc trong vấn đề Trường Sa. Người Mỹ chỉ lên tiếng cho vấn đề tự do hàng hải chứ không nhất thiết phải bảo vệ Việt Nam và họ sẽ không bảo vệ Việt Nam nếu không có hiệp ước đồng minh nào.
Tại sao mũi dùi lại chĩa vào Việt Nam lúc này ?".
Cây bút Ngô Trường Anh Vũ nêu quan điểm trên Facebook cá nhân của mình.
Gần 25.000 địa chỉ và mật khẩu email của Quỹ Bill Gates, WHO vừa bị phát tán ?
Các tổ chức được cho là vừa bị rò rỉ thông tin bao gồm Viện Y tế Quốc gia Mỹ, Tổ chức y tế thế giới WHO, Ngân hàng Thế giới (World Bank), Viện Virus học Vũ Hán và Quỹ Bill & Melinda Gates.
Một danh sách gồm gần 25.000 địa chỉ và mật khẩu email được cho là thuộc về một loạt các tổ chức như Viện Y tế Quốc gia Mỹ (NIH), Tổ chức y tế thế giới WHO và Quỹ Bill & Melinda Gates vừa bị phát tán trên mạng. Đây là thông tin vừa được SITE Intelligence Group – tổ chức phi chính phủ chuyên giám sát các nhóm cực đoan và khủng bố trực tuyến công bố hôm 22/4, theo tờ Washington Post.
Hiện tại, SITE vẫn chưa thể xác thực số địa chỉ và mật khẩu email bị phát tán này có thực sự thuộc về NIH, WHO và quỹ từ thiện Gates & Melinda hay không. Cũng theo SITE, những thông tin trên đã được phát tán từ ngày 19/4.
Những thông tin về địa chỉ và mật khẩu email (được cho là) của Quỹ Gates & Melinda của Bill Gates cũng đã bị phát tán
Được biết, danh sách 25.000 địa chỉ và mật khẩu email có nguồn gốc không rõ ràng đã được đăng tải lần đầu tiên trên 4chan – một diễn đàn mạng nổi tiếng với những bình luận chính trị cực đoan và gây thù hận. Những thông tin này sau đó đã được phát tán thông qua Twitter và một số kênh Telegram của các đối tượng cực hữu.
"Những đối tượng theo chủ nghĩa phát xít mới và chủ nghĩa da trắng thượng đẳng đã tận dụng bản danh sách này và phát tán mạnh mẽ lên các diễn đàn của chúng. Các phần tử cực hữu đã lợi dụng những dữ liệu này để kêu gọi một chiến dịch quấy rối, trong khi liên tục chia sẻ các thuyết âm mưu về đại dịch CÚM VŨ HÁN. Đây là một phần trong những hoạt động kéo dài nhiều tháng của phe cực hữu nhằm vũ khí hóa đại dịch Cúm Vũ Hán", Rita Katz – giám đốc điều hành của SITE cho biết.
Bản báo cáo của SITE cho thấy, Viện Y tế Quốc gia Mỹ (NIH) có khoảng 9938 địa chỉ và mật khẩu email bị phát tán trên mạng.
Đứng ngay sau NIH là Trung tâm kiểm soát và phòng ngừa dịch bệnh Hoa Kỳ (CDC), với 6857 thông tin bị rò rỉ. Con số này với Ngân hàng Thế Giới và WHO lần lượt là 5120 và 2732. Đặc biệt, những thông tin về địa chỉ và mật khẩu emai lđược cho là thuộc về Viện Virus học Vũ Hán và Quỹ Gates & Melinda của Bill Gates cũng đã bị phát tán, theo SITE.
Ông Robert Potter, giám đốc điều hành của công ty an ninh mạng Internet 2.0 (Australia) xác nhận các địa chỉ email và mật khẩu của WHO bị rò rỉ là có thật. Ông đã sử dụng địa chỉ email và mật khẩu phát tán trên Internet để truy cập thành công vào hệ thống máy tính của WHO.
"Cách họ đặt mật khẩu email thật đáng quan ngại. 48 người thậm chí đã dùng mật khẩu là ‘password’. Một số người khác sử dụng mật khẩu là tên của chính họ", ông Potter cho biết.
Cũng theo ông Potter, danh sách địa chỉ email và mật khẩu bị phát tán nói trên có thể đã được một số đối tượng mua từ giới hacker hoạt động trên Dark Web, vốn thường được biết đến như là ‘mảng tối’ của Internet, tập hợp những trang web không thể truy cập hay tìm thấy thông qua các công cụ tìm kiếm như Google hay Bing. Theo đó, những thông tin bao gồm địa chỉ email và mật khẩu của WHO có thể đã bị đánh cắp bởi hacker trong một vụ tấn công mạng diễn ra vào năm 2016.
Trong thông cáo báo chí đưa ra vào hôm 22/4, Quỹ Bill & Melinda Gates khẳng định đang theo sát vụ việc, đồng thời cho biết vẫn chưa phát hiện bất kỳ dấu vết nào cho thấy dữ liệu của tổ chức này bị rò rỉ. Trong khi đó, CDC Hoa Kỳ, WHO và Ngân hàng Thế giới đã từ chối đưa ra bình luận.
Tin tặc Việt Nam đã từng gây ra các vụ đột nhập bất hợp pháp vào năm 2019, tấn công cả những công ty lớn như hãng xe BMW của Đức, được cho rằng để đánh cắp dữ liệu kỹ thuật sản xuất ô tô.
Thời điểm đó, một nhà " tư bản đỏ"là ông Phạm Nhật Vượng cũng dồn tiền cùng sự bảo trợ chính trị của các quan chức chế độ Đảng Cộng sản độc tài khét tiếng tại Hà Nội là ông Nguyễn Phú Trọng, nguyễn Xuân Phúc để xây dựng nhà máy ô tô tại Việt Nam. Hành động đánh cắp công nghệ này là hình thức dã man nhất trong các thủ đoạn đen tối để làm kinh tế, nhưng lại nhanh thu lại lợi nhuận – điều mà mà các liên minh ma quỷ tại Việt Nam vẫn thường hay áp dụng.
Hoàng Trung (tổng hợp)
**********************
Tin tặc được chính phủ Việt Nam hậu thuẫn làm việc ‘mờ ám, thiếu văn minh’ ! (RFA, 23/04/2020)
Theo FireEye, nhóm tin tặc APT32 được chính phủ Việt Nam hậu thuẫn đã tìm cách thâm nhập vào trang mạng của Bộ Quản lý Khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán vào giữa khi dịch bệnh Covid-19 bùng phát.
Ảnh minh họa tin tặc do chính phủ Việt Nam hậu thuẫn. AFP
Reuters trích lời ông Ben Read, quản lý cao cấp thuộc FireEye nhận định : "những vụ tấn công (của APT32) cho thấy thông tin tình báo về virus (corona) là một ưu tiên - mọi người làm mọi thứ có thể và đối với Việt Nam, APT32 là cái mà Việt Nam có".
Tiến sĩ Nguyễn Quang A, nguyên Chủ tịch Hội tin học Việt Nam, nguyên viện trưởng Viện Nghiên cứu Phát triển IDS đã tự giải thể, nhận định với RFA hôm 23/4 :
"Cái mà gọi là hoạt động tình báo, thì hoạt động tình báo của nước nào cũng có thu thập thông tin đủ loại, đó là chuyện từ đời cổ nhân đến bây giờ đều có cả. Trong việc thu thập thông tin như thế thì họ sử dụng rất nhiều phương tiện... từ đọc báo chí cho đến dùng điệp viên. Và tôi nghĩ trong một thế giới kết nối mạng như hiện nay, thì hoạt động tình báo sử dụng mạng là một chuyện dễ hiểu và không lấy gì làm lạ cả, mà trong tình báo thì có đủ loại, về kinh tế, dịch bệnh, thông tin chính trị"...
Cụ thể, APT32 đã tìm cách gửi vào các tài khoản email của các chuyên gia và nhân viên của Bộ Quản lý Khẩn cấp và chính quyền thành phố Vũ Hán, các đường dẫn có thể thông báo với hacker một khi người nhận mở ra xem. Sau đó hacker sẽ gửi email với phần đính kèm độc hại có chứa virus gọi là METALJACK giúp họ có thể đột nhập vào máy tính của nạn nhân.
Các chuyên gia của FireEye cho rằng, APT32 đã tận dụng một bộ phần mềm độc hại có đầy đủ tính năng, kết hợp với các công cụ có sẵn trên thị trường, để thực hiện các mục tiêu phù hợp với lợi ích của nhà nước Việt Nam.
Tiến sĩ Kinh tế Nguyễn Huy Vũ, ở Na Uy, khi trao đổi qua tin nhắn với RFA hôm 23/4 về vấn đề nàycho rằng, để xem xét những vấn đề liên quan đến chính sách như vậy, cần phân tích theo hai khía cạnh : mục đích và phương tiện. Nếu chính sách có mục đích tốt nhưng phương tiện lại không phù hợp với chuẩn mực văn minh của thế giới thì nó sẽ khiến hình ảnh của chính quyền giảm sút. Còn nếu mục đích rõ ràng là xấu, không phù hợp với tiêu chuẩn văn minh của thế giới, thì rõ ràng chính quyền sẽ nhận được một hình ảnh tương xứng.
Theo ông Vũ, việc tìm kiếm những thông tin liên quan đến dịch Covid-19 là việc đúng, có mục đích đúng. Nếu APT-32 là một nhóm của cơ quan an ninh và được chính phủ Việt Nam hậu thuẫn để thâm nhập vào các trung tâm của chính phủ Trung Quốc nhằm tìm kiếm những dữ liệu mật liên quan đến virus Covid-19 mà kết quả sẽ giúp cho hệ thống y tế Việt Nam phòng chống dịch tốt hơn thì đó là một hành động không có gì sai. Phải nói như vậy vì dù muốn dù không, trong cuộc tranh đua toàn cầu hiện nay giới tình báo các nước khác nhau luôn tìm cách khai thác thông tin của đối phương nhằm bảo vệ an ninh quốc gia của mình, điều mà Việt Nam luôn cần.
Chuyên gia an ninh mạng Hoàng Ngọc Diêu từ Sydney, Úc, nhận định với RFA hôm 23/4 :
"Hầu như tất cả các quốc gia mạnh mẽ không ít thì nhiều đều có những chiêu trò theo dõi, thâm nhập, thu thập thông tin... thậm chí ăn cắp bí mật quốc gia, bí mật kinh tế... Các nước lớn đã làm chuyện đó nhiều năm qua, bây giờ Việt Nam bắt chước học theo những chiêu trò đó, nhưng làm chưa tới, bị lộ ra với truyền thông quốc tế thì sẽ bị đánh giá, vì rõ ràng đó là hành vi ăn cắp... Chính phủ Việt Nam ăn vụng mà bị bắt quả tang thành ra ê chề... Nếu xét về mặt đạo đức, pháp luật, lẽ phải, mình có nói thế nào thì rõ ràng cũng trật. Một tổ chức mang danh do nhà nước hỗ trợ mà để bị lộ ra thì quá kẹt, có nói là vì lợi ích quốc gia, an ninh gì đi nữa thì cũng sai".
Chính phủ Trung Quốc cho đến hôm nay chưa đưa ra bất cứ phản ứng nào trước thông tin về các vụ tấn công mạng mới này.
Còn Bộ Ngoại giao Việt Nam hôm 23/4 đã lên tiếng phủ nhận cáo buộc chính phủ Việt Nam đứng sau nhóm hacker APT32 xâm nhập vào trang mạng Trung Quốc.
Phó phát ngôn nhân Bộ Ngoại giao Việt Nam Ngô Toàn Thắng nói tại cuộc họp báo thường kỳ rằng cáo buộc này là không có căn cứ : "Việt Nam ngăn cấm tất cả các cuộc tấn công mạng. Những cuộc tấn công này nên bị lên án và xử lý nghiêm khắc theo pháp luật…"
Trụ sở hãng xe Vinfast ở Hải Phòng, ảnh chụp năm 2019. AFP
Vào tháng 12/2019, các trang tin và truyền hình của Đức loan tin cho biết, nhóm tin tặc ký hiệu APT32, và cũng có tên Ocean Lotus, được nhà nước Việt Nam hỗ trợ, trong mấy tháng trước đó đã thâm nhập mạng máy tính của hai tập đoàn BMW và Hyundai rồi cài đặt công cụ Cobalt Strike để do thám.
Các trang tin của Đức cho rằng nhóm hackers này đã tìm kiếm các bí mật thương mại của BMW để giúp cho VinFast, công ty xe hơi của tỷ phú Phạm Nhật Vượng.
Ông Lê Văn Triết, nguyên Bộ trưởng Thương mại, khi trao đổi với RFA hôm 23/4 cho rằng, làm ăn là phải chính đáng, chứ mờ ám lợi dụng mạng internet tấn công người ta là phi pháp :
"VinFast thì tôi thấy không phải hãng làm ăn chân chính, nó là tập đoàn lợi dụng tài sản đất đai của đất nước để trở thành người giàu nhất Việt Nam. Trong nước lớp thì nó dựa vào ông Trọng, lớp thì nó dựa vào ông Dũng... nó trấn áp những hãng mà có thể vương lên ảnh hưởng đến nó... Chứ nó có thệ sự làm ra xe hơi VinFast đâu, có cái gì về mặt công nghệ để có thể tự hào mở ra ngành công nghiệp ô tô ở Việt Nam đâu ? Còn nếu có chỉ là tạm thời trước mắt để lòe người ta. Chứ nó không cho thấy cái đàng hoàng chân chính của một hãng xe hơi mang tầm cỡ quốc gia".
Theo báo chí Đức, một số các chuyên gia nước ngoài cho rằng, chính phủ Việt Nam đang học theo cách của Trung Quốc là cho tin tặc xâm nhập vào mạng các công ty nước ngoài để đánh cắp bí mật thương mại để sử dụng cho các công ty trong nước.
Trung Quốc đã sử dụng cách này để phát triển công nghiệp hàng không của mình. Các chuyên gia quốc tế tin là giờ đây Việt Nam cũng đang làm tương tự để giúp công ty xe hơi non trẻ VinFast.
Hiện hãng VinFast vẫn chưa đưa ra lời bình luận nào về những cáo buộc này trên báo chí Đức.
Theo bài viết trên trang ZDNET, vào tháng 3 năm 2019, công ty Toyota đã báo động hệ thống máy chủ của mình bị tin tặc tấn công đánh cắp thông tin của khách hàng tại chi nhánh tại Việt Nam và một số chi nhánh khác ở Úc và Thái Lan. Công ty an ninh mạng của Mỹ là FireEye xác định nhóm tấn công Toyota là APT32 hay một tên khác là OceanLotus.
Cho tới nay hãng Toyota vẫn từ chối xác nhận những nghi vấn đó, đồng thời nhà cầm quyền Việt Nam cũng phủ nhận các vụ xâm nhập mạng này.
Theo Tiến sĩ Kinh tế Nguyễn Huy Vũ, việc Việt Nam tìm mọi cách để giúp đỡ ngành công nghiệp xe hơi non trẻ của mình là một điều đúng. Nhưng hành động ngầm ủng hộ nhóm APT-32 đánh cắp công nghệ ở các nước tiên tiến là một hành động không đúng theo chuẩn mực văn minh của thế giới hôm nay, nó khiến cho hình ảnh của Việt Nam xấu trên trường quốc tế. Ông viết tiếp :
"Thế giới công nghệ và kinh doanh giờ đây cổ vũ cho sự cạnh tranh lành mạnh và sự sáng tạo. Hơn nữa, cho dù việc đánh cắp vài thông tin trong lĩnh vực sản xuất và kinh doanh có thành công thì về lâu về dài, muốn có một doanh nghiệp thành công hay một nền công nghiệp thành công, Việt Nam cần tự đứng dựa trên sự sáng tạo và khả năng tri thức khoa học của mình chứ không thể nào dựa trên sự ăn cắp mãi được. Vì ăn cắp có nghĩa là Việt Nam luôn đi sau các nước về công nghệ, và đi sau về công nghệ đồng nghĩa với việc các sản phẩm của Việt Nam không thể cạnh tranh về chất lượng và giá cả với các đối tác thế giới. Nền kinh tế do đó sẽ bị tụt hậu lại đằng sau nếu không có khả năng tự sáng tạo".
Theo ông Vũ, thúc đẩy sáng tạo là một chặng đường dài của Việt Nam và nó cần sự phối hợp của nhiều chính sách khác nhau : chính sách giáo dục và khoa học để cung cấp nhân lực và kiến thức, chính sách thuế và thị trường tài chính để khuyến khích các doanh nghiệp đầu tư, chính sách nhập cư khuyến khích nhân tài tham gia đóng góp vào sự phát triển của đất nước, chính sách ngoại thương để hỗ trợ các doanh nghiệp xuất khẩu...
Ông Nick Carr, Giám đốc của công ty an ninh mạng FireEye, khi trả lời hãng tin Bloomberg trước đây cho biết, FireEye đã theo dõi APT32 - còn được gọi là Ocean Lotus và Ocean Buffalo - từ năm 2012. Năm 2017, nhóm của ông đã điều tra một loạt các vụ tấn công mạng ở Mỹ, Đức và nhiều quốc gia ở Châu Á và thấy rằng nhóm APT32 đã dành ít nhất ba năm, không chỉ để tấn công các chính phủ nước ngoài, các tập đoàn nước ngoài vì lợi ích kinh tế, sản xuất... APT32 hay Ocean Lotus cũng nhắm đến các nhà báo, các nhà bất đồng chính kiến và những người cổ xúy cho tự do ngôn luận tại Việt Nam và khu vực Đông Nam Á.
Tiến sĩ Kinh tế Nguyễn Huy Vũ cho rằng, việc nhóm APT-32 được sự hậu thuẫn của chính quyền để theo dõi các nhà bất đồng chính kiến và thu thập các bằng chứng nhằm buộc tội và đàn áp họ là một điều xấu. Thế giới ngày càng văn minh và dân chủ hơn, và vì vậy một chính quyền muốn nhận được nhiều sự ủng hộ cần cởi mở hơn trong việc lắng nghe các tiếng nói đối lập. Lắng nghe không những giúp chính quyền cải thiện các chính sách tốt hơn mà nó còn giúp cải thiện tính chính danh và hình ảnh của nhà cầm quyền.
Việt Nam có thể đã tấn công Philippines để thu thập tin tức Biển Đông (RFI, 26/05/2017)
Các tin tặc có liên hệ với chính quyền Việt Nam có thể đã nhắm vào các cơ quan chính phủ Philippines để thu thập các thông tin liên quan đến tranh chấp Biển Đông. Hãng tin Reuters hôm 25/05/2017 dẫn nguồn từ công ty an ninh mạng FireEye cho biết như trên.
Ảnh minh họa.Reuters
FireEye nói rằng nhóm tin tặc được gọi là APT32 đã tấn công vào một tập đoàn sản xuất hàng tiêu dùng và một công ty công nghệ hạ tầng của Philippines trong năm 2016, cùng với những công ty khác, trong đó có một số đang làm ăn tại Việt Nam.
Ông Bryce Boland, phụ trách về công nghệ của FireEye tại Châu Á-Thái Bình Dương, trong một cuộc họp báo cho biết các tin tặc cũng nhắm vào các cơ quan chính phủ Philippines. Ông nói : "Có thể giả thiết rằng đó là nhằm tìm kiếm thông tin liên quan đến việc chuẩn bị về quân sự, và tìm hiểu cách thức hoạt động của các tổ chức chính phủ, để có thể chuẩn bị tốt hơn trong trường hợp xảy ra xung đột vũ trang".
Cũng ông Boland nói : "Việt Nam và Philippines có yêu sách chồng lấn về một số đảo ở Trường Sa, như vậy có thể nhằm bắt đầu thu thập tin tức tình báo về Biển Đông. Chúng tôi cho rằng tất cả các hoạt động của APT32 phù hợp với lợi ích của chính phủ Việt Nam".
APT (Advanced Persistent Threat, tạm dịch "Mối đe dọa Liên tục Cao độ"), là thuật ngữ dùng để chỉ các nhóm tin tặc có khả năng tấn công vào những mục tiêu cụ thể một cách liên tục và hiệu quả, thường do các Nhà nước bảo trợ.
Bộ Ngoại Giao Việt Nam trong tháng này đã tuyên bố chính quyền không cho phép bất kỳ dạng tấn công tin học nào nhắm vào các tổ chức hoặc cá nhân. Phát ngôn viên Lê Thị Thu Hằng trước những cáo buộc tương tự nói rằng : "Mọi tấn công tin học hay đe dọa đến an ninh mạng phải bị lên án và trừng trị nghiêm khắc theo quy định của luật pháp".
Còn phát ngôn viên bộ Ngoại Giao Philippines Robespierre Bolivar cho biết : "Mọi thông tin đáng tin cậy nhận được sẽ được xem xét và giải quyết trong trường hợp cần thiết".
Thụy My
**********************
FireEye : Tin tặc từ Việt Nam 'tấn công Philippines' (BBC, 26/05/2017)
Nhóm tin tặc 'có liên hệ với chính quyền Việt Nam' có thể đã tấn công các cơ quan chính phủ Phillipines nhằm thu thập thông tin mật liên quan đến tranh chấp ở Biển Đông, theo công ty an ninh mạng FireEye hôm 25/5.
Tỷ lệ sử dụng Internet cao, khả năng bị tấn công mã độc hoặc virut cũng cao hơn.
Cùng lúc, một số chuyên gia mạng ở Việt Nam nói với BBC rằng chính Việt Nam mới là đối tượng của nhiều vụ tấn công của tin tặc.
Theo FireEye, nhóm tin tặc APT32 mà họ phát hiện trước đó đã tấn công các công ty và tổ chức nước ngoài, các nhà báo và nhà hoạt động tại Việt Nam.
Bryce Boland, trưởng ban công nghệ Châu Á-Thái Bình Dương nói trong buổi họp báo hôm 25/5 rằng FireEye phát hiện APT32 còn tấn công các cơ quan chính phủ Philippines.
"Có thể suy đoán là việc này để lấy thông tin liên quan đến trang bị quân sự và tìm hiểu các tổ chức trong chính phủ đã hoạt động như thế nào để phòng khả năng xảy ra xung đột quân sự", hãng tin Reuters dẫn lời ông Boland tại cuộc họp báo.
Năm 2016, nhóm này đã tấn công một tập đoàn hàng hoá thương mại và hãng cơ sở hạ tầng công nghệ của Philippines, cùng với một số công ty, doanh nghiệp ở Việt Nam.
Tổng thống Philippines Rodrigo Duterte (trái) bắt tay Chủ tịch nước Nguyễn Xuân Phúc tại lễ khai mạc Diễn dàn Kinh tế Thế giới hôm 11/5
FireEye nói rằng nhóm tin tặc liên tục cập nhật công nghệ đột nhập khai thác thông tin để chiếm đoạt nhiều thông tin quan trọng hơn.
Ông Boland cảnh báo rằng các cuộc tấn công sẽ diễn ra trong nhiều năm tới, theo Reuters.
"Có nhiều bất đồng giữa Việt Nam và Philippines về tuyên bố chủ quyền của một số hòn đảo trong Biển Đông và rất có thể điệp vụ tình báo mạng này đã được tận dụng", ông Boland nói.
APT là viết tắt cho "Nguy cơ tấn công thường trực", một thuật ngữ thường được dùng cho các nhóm tin tặc được chính phủ hậu thuẫn.
"Tôi tin rằng tất cả các hoạt động của APT32 mang hướng có lợi có chính quyền Việt Nam", ông Boland nói.
Tin tặc Trung Quốc và Việt Nam hưởng lợi ?
Trong cuộc họp báo, FireEye cho biết nhóm APT32 cùng nhóm tin tặc Trung Quốc đã bắt đầu các chiến dịch tình báo công nghệ với Philippines và các quốc gia Đông Nam Á khác từ năm 2013.
Theo tờ Manila Times, các cuộc tấn công này nhắm vào các cơ quan chính phủ, công ty tư nhân và thậm chí cả truyền thông.
Ông Travis Reese, chủ tịch FireEye nói rằng các cuộc tấn công này đem lại lớn ích lớn cho Trung Quốc và Việt Nam.
Ngoài các lợi ích kinh tế, các cuộc tấn công mạng cũng đem lại những lợi ích về chính trị và thương mai nhờ khai thác thông tin về các hoạt động chính trị cũng như giao thương của nhiều quốc gia.
Ông Boland nói rằng các nhóm tin tặc này ngày càng gia tăng hoạt động để kiếm thêm lợi nhuận hàng năm.
Năm 2015, FireEye công bố nhóm tin tặc APT30, một nhóm tin tặc Trung Quốc, đã tấn công Việt Nam và các nước trong khu vực trong suốt 10 năm.
Việt Nam mới là nạn nhân ?
Trao đổi với BBC hôm 26/5, ông Nguyễn Minh Đức, Trưởng nhóm Bảo mật, Ban Công nghệ của tập đoàn FPT cho biết : "Tôi thường nghe thông tin ngược lại là Việt Nam mới là nạn nhân của các cuộc tấn công".
Việt Nam trong danh sách bị nhóm tin tặc Trung Quốc APT30 tấn công, theo báo cáo của FireEye năm 2015
"FireEye là một hãng rất nổi tiếng nhưng không phải thông tin nào cũng đáng tin cậy", ông Đức nói.
"Việt Nam luôn nằm trong top các nước bị lây nhiễm mã độc", ông Đức nói.
Phó chủ tịch phụ trách mảng Chống mã độc của BKAV, ông Vũ Ngọc Sơn thì nói : "Hiện có rất nhiều nhóm tin tặc tấn công vào các công ty, tổ chức ở Việt Nam".
"Các vụ tấn công tập trung cụ thể vào các công ty nước ngoài thì chúng tôi không ghi nhận được trường hợp nào như vậy, nhưng chủ yếu là các cơ quan của Việt Nam bị tin tặc tấn công".
"Tình hình bị tấn công mã độc, virus ở Viêt Nam là một trong những vấn đề lớn".
"Việt Nam là một điểm nóng về an minh mạng vì tỷ lệ sử dụng Internet cao. Virus hiện nay có thể tấn công vào các lỗ hổng phần mềm, tỷ lệ lỗ hổng là rất cao".
Khi được hỏi về các cuộc tấn công đối với các nhà báo, nhà hoạt động, ông Sơn nói :
"Các nhà báo, nhà hoạt động cũng chỉ là một số đối tượng của các nhóm tin tặc, còn việc các nhóm tin tặc này có hoạt động cho chính phủ Việt Nam hay không thì tôi không rõ".
Về phía mình, chính phủ Việt Nam, qua lời người phát ngôn Bộ Ngoại giao Lê Thu Hằng, khẳng định "Chính phủ Việt Nam không cho phép bất kỳ cuộc tấn công mạng nào chống lại các tổ chức hoặc cá nhân".
Bà Thu Hằng hồi trung tuần tháng Năm vừa qua cũng được báo chí trích lời nói : "Tất cả những cuộc tấn công trên mạng hoặc đe dọa an ninh mạng đều cần bị kết án và trừng trị nghiêm khắc theo luật pháp".
***********************
Tin tặc liên quan Việt Nam tấn công phía Philippines (RFA, 26/05/2017)
Ảnh minh họa tin tặc. AFP photo
Tin tặc có mối quan hệ với chính quyền Việt Nam nhắm đến các công ty và cơ quan nhà nước Philippines để thu thập thông tin tình báo về tranh chấp chủ quyền ở khu vực Biển Đông.
Công ty an toàn mạng FireEye cho biết như vừa nêu vào ngày 25 tháng 5. Theo đó những tin tặc được gọi là APT32 vào năm ngoái đã tiến hành tấn công một số công ty gồm một công ty sản phẩm tiêu dùng của Philippines, một công ty cơ sở hạ tầng công nghệ cùng những công ty khác ; trong số này có một số có làm ăn tại Việt Nam.
APT là chữ viết tắt của ba từ tiếng Anh ‘advanced persistent threat’, tạm dịch ‘nguy cơ liên tục cấp cao’. Đây là thuật ngữ thường được dùng để chỉ những nhóm tin tặc được nhà nước hỗ trợ.
Viên chức trưởng công nghệ khu vực Á Châu Thái Bình Dương của FireEye, Bryce Boland, còn cho báo giới biết những tin tặc còn nhắm đến những cơ quan chính phủ Philippines.
Theo vị này thì có thể mục tiêu những cuộc tấn công mạng vào những nơi như thế nhằm thu thập thông tin về hoạt động chuẩn bị quân sự, cũng như cách thức hoạt động của các cơ quan trong chính phủ để có được chuẩn bị tốt hơn trong trường hợp xảy ra xung đột quân sự.
Mới trong tháng này Bộ Ngoại giao Việt Nam lên tiếng chính phủ Hà Nội không cho phép sử dụng bất cứ hình thức tấn công mạng nào nhắm đến tổ chức hay cá nhân.
Sau khi có tin từ FireEye như vừa nêu, phát ngôn nhân Bộ Ngoại giao Philippines Robespierre Bolivar vào ngày thứ năm 25 tháng 5 lên tiếng cho biết chính phủ Manila sẽ xem xét tất cả những cáo giác một cách nghiêm túc.