Giới hoạt động Việt Nam bị mã độc gián điệp nghi liên kết với chính phủ tấn công
Một ngày làm việc của nhà báo Lê Trung Khoa thường bắt đầu bằng việc theo dõi tin tức, gặp gỡ các đối tác và phụ trách sản xuất tin bài cho trang Thoibao.de có văn phòng tại Berlin, Đức.
Ông Lê Trung Khoa (trái) và ông Bùi Thanh Hiếu đều từng là nạn nhân của các vụ tấn công bằng phần mềm gián điệp được cho là có liên kết với chính phủ Việt Nam
Tuy nhiên vài năm qua, ông tiêu tốn đáng kể thời gian và công sức chỉ riêng cho việc đảm bảo an ninh, an toàn cho trang web, cho bản thân và nhân viên. Nguồn lực này, theo ông, lẽ ra có thể được dùng cho công việc làm báo.
Hồi đầu năm, Thoibao.de trở thành mục tiêu của phần mềm gián điệp Predator, do một liên minh, bao gồm công ty Intellexa và Cytrox, phân phối, theo điều tra mới công bố của tổ chức Ân xá Quốc tế (Amnesty International).
Cả hai công ty này đều bị Bộ Thương mại Hoa Kỳ đưa vào "Danh sách đen" hồi tháng 7, theo The Washington Post.
Ông Khoa thuật lại với BBC News tiếng Việt :
"Tôi thường chia sẻ các bản tin của Thoibao.de lên các trang mạng xã hội như Facebook, Twitter để độc giả Việt Nam và thế giới đọc được thông tin hàng ngày.
"Hôm 9/2/2023, dưới bản tin của chúng tôi trên Twitter xuất hiện bình luận và đường link với nội dung về cuộc chiến quyền lực trong nội bộ Đảng cộng sản Việt Nam, nghe rất hấp dẫn".
"Sau đó một thời gian, khi tôi gặp chuyên gia bảo mật của Tổ chức Phóng viên không biên giới (RSF) và Ân xá Quốc tế, họ kiểm tra các hệ thống truyền thông của chúng tôi và phát hiện ra đường link kết nối tới phần mềm gián điệp nguy hiểm Predator".
"Tôi may mắn không bấm vào link này".
"Tôi không biết có ai bấm vào nó hay không vì hàng ngày có rất nhiều người xem tin tức chúng tôi đăng tải kèm theo các bình luận của họ".
Đây không phải là lần đầu ông Khoa hay trang web của ông bị tấn công. Ông từng bị bôi nhọ trên mạng xã hội và thường bị gắn mác ‘kẻ phản bội’.
Thoibao.de từng là mục tiêu của các cuộc tấn công Từ chối Dịch vụ (DDoS) khiến trang web bị sập.
Ông còn từng bị dọa giết.
"Từ tháng 8/2017, sau khi tôi đưa ra công bố trên chương trình bàn tròn của BBC tiếng Việt tại London về việc mật vụ Việt Nam bắt cóc ông Trịnh Xuân Thanh tại Berlin, thì tôi bắt đầu nhận được các lời đe dọa trực tiếp và gián tiếp từ những nhân vật cụ thể tại Đức và nhiều nơi khác".
"Thậm chí tôi còn được cảnh sát Đức mời lên gặp và thông báo đang có âm mưu "ám sát nhà báo Lê Trung Khoa bằng hình thức gây tai nạn". Rồi thì tấn công mạng vào trang web, Facebook, YouTube của Thoibao.de diễn ra liên tục và không ngừng", ông Khoa thuật lại với BBC.
Các sự kiện này khiến ông Khoa hiện đang nằm trong chế độ bảo vệ của cảnh sát Đức. Tuy nhiên điều này đồng nghĩa với việc các hoạt động của ông bị hạn chế.
"Nó làm cho tôi không thể sống bình thường như một người Việt Nam định cư tại Đức nữa, mà trước mỗi công việc hàng ngày tôi đều phải cân nhắc làm sao cho an toàn cho bản thân và gia đình ở Berlin", ông Khoa nói.
Ông Khoa lo ngại rằng những sự việc như vậy gây nguy hiểm cho cả các nhà báo khác làm việc tại Thoibao.de.
"Các cộng tác viên của chúng tôi ở Việt Nam cũng có thể bị nhà cầm quyền theo dõi, gây khó khăn", ông Khoa chia sẻ.
Việc tấn công mạng nhắm vào các nhà hoạt động Việt Nam không phải là điều gì mới mẻ.
Nhiều năm trước, blogger, nhà hoạt động ủng hộ dân chủ Bùi Thanh Hiếu, thường được biết tới dưới bút danh Người Buôn Gió, từng là nạn nhân của phần mềm gián điệp chạy trên hệ điều hành Windows, theo một nghiên cứu năm 2021 của Ân xá Quốc tế .
Một blogger khác ở Việt Nam, không được nêu tên do lo ngại về an ninh, cũng bị nhắm tới trong khoảng thời gian từ tháng 7 -11/2020.
Hai người này bị tấn công bởi một nhóm hacker khét tiếng trong ngành an ninh mạng là Ocean Lotus.
Mặc dù không thể xác minh độc lập bất kỳ mối liên hệ trực tiếp nào giữa Ocean Lotus với chính quyền Việt Nam, Ân xá Quốc tế nói rằng các cuộc tấn công cho thấy một khuynh hướng nhắm vào các cá nhân và tổ chức Việt Nam.
Ông Bùi Thanh Hiếu cũng chung lo ngại của ông Khoa.
Trong một cuộc trả lời phỏng vấn của BBC News tiếng Việt hồi 2021, ông nói rằng từ ngày bị tấn công bằng mã độc, ông quyết định ‘ly khai’, ‘chọn đi một mình’ vì không muốn những người liên hệ với ông nhưng còn sống tại Việt Nam phải chịu liên lụy.
Ông Hiếu – người từng bị tù tại Việt Nam và sang Đức tị nạn năm 2013 - nói kết quả điều tra của Amnesty International khiến ông bi quan, thấy rằng nếu "nhà nước cộng sản có thể xâm nhập mọi hình thức thế này thì không nơi đâu an toàn".
Ảnh minh họa
‘Liên quan tới chính phủ Việt Nam ?
Điều tra mới của Ân xá Quốc tế phối hợp với EIC – một đối tác của các tổ chức truyền thông Châu Âu – chỉ ra bằng chứng cho thấy phần mềm gián điệp Predator của Intellexa đã được bán cho Bộ Công an Việt Nam thông qua một số công ty môi giới quốc tế và trong nước với hợp đồng trị giá hàng triệu euro.
Điều tra của Ân xá Quốc tế cũng chỉ ra rằng, từ tháng 2-6/2023, một khách hàng của Intellexa có quan hệ với Việt Nam đã dùng các công cụ gián điệp do Intellexa phát triển và bán để nhắm vào ít nhất 50 tài khoản X và Facebook thuộc 27 cá nhân và 23 tổ chức.
Cụ thể, một tài khoản X có tên @Joseph_Gordon16 đăng các đường link tới các bài viết thuộc chủ đề mà đối tượng họ nhắm tới quan tâm, chẳng hạn như Biển Đông. Nhưng thực ra link này chứa mã độc gián điệp có khả năng xâm nhập vào điện thoại của nạn nhân. Qua đó, đánh cắp các tài liệu và đọc tin nhắn trên điện thoại, dù chúng được mã hóa.
Theo điều tra của Ân xá Quốc tế, các tên miền mà @Joseph_Gordon16 sử dụng để tweet thường được thiết kế bắt chước các trang web hợp pháp của Việt Nam.
Ân xá Quốc tế nhận định rằng việc một số tên miền như vậy được sử dụng trong cuộc tấn công cho thấy có một mối liên hệ với các tác nhân có liên quan đến Việt Nam. Dòng tweet đầu tiên từ tài khoản @Joseph_Gordon16 vào năm 2020 là bằng tiếng Việt.