Một nhóm hacker làm việc cho chính phủ Việt Nam sẽ muốn hack những người bất đồng chính kiến, những tổ chức chính trị đối lập, những nhà báo, trí thức, doanh nhân có tên tuổi uy tín, những website, blog “lề trái". Sau khi hack được rồi, đối với cá nhân thì họ âm thầm theo dõi, thu thập thông tin riêng tư, để sau này có thể blackmail hoặc bôi nhọ uy tín, đối với tổ chức thì họ phá hoại, đánh sập website, đóng cửa blog, v.v.
VOA: Làm thế nào FireEye có thể đưa ra nhận định là "các hacker làm việc cho chính phủ Việt Nam hoặc đại diện cho chính phủ", nhưng đồng thời FireEye cũng nói "không thể xác định chính xác danh tính và địa điểm của các hacker"? FireEye sử dụng các biện pháp theo dõi, phân tích gì để nhận định như vậy?
Thái Dương: Quy trách nhiệm (attribution) các vụ tấn công mạng khó và không thể chính xác 100%. Để tăng độ tin cậy, các nhóm nghiên cứu lập hồ sơ của các nhóm hacker rồi theo vết, quan sát từng nhóm trong một thời gian dài. Hồ sơ của một nhóm hacker bao gồm những thông tin như họ muốn hack ai, sau khi hack được rồi thì họ làm gì, phương pháp, công cụ, hạ tầng, thủ thuật, chiêu thức, v.v. mà họ thường sử dụng. Từ những thông tin này các nhóm nghiên cứu có thể xác định được động cơ và từ động cơ có thể đoán được ai đứng ngoài sau.
FireEye nói rằng không thể xác định danh tính và địa điểm các hacker vì những thông tin này thường cần HUMINT, tức là thu thập thông tin tình báo thông qua điệp viên thực địa. FireEye là một công ty tư nhân, họ không phải là CIA, thành ra họ chỉ có thể thu thập SIGINT, thông qua phần mềm chống mã độc mà họ bán cho các công ty và cá nhân. Các phần mềm này sẽ thu thập các mẫu mã độc và các chuyên gia của FireEye sẽ phân tích để xây dựng hồ sơ cho từng nhóm hacker. Ngoài ra họ cũng có thể thu thập thông tin qua các nguồn tình báo mở như Wikileaks, báo cáo của các nhóm nghiên cứu khác, mạng xã hội, v.v.
Tôi đồng ý với FireEye rằng cách thức tấn công của OceanLotus rất giống với các nhóm hacker làm việc cho chính phủ Việt Nam mà tôi được biết. Tôi nghĩ đây là bằng chứng quan trọng nhất trong báo cáo của FireEye. Thái Dương, kỹ sư an toàn thông tin |
Trong hồ sơ của một nhóm hacker, mục tiêu và cách thức tấn công là hai thông tin đáng tin cậy nhất để đánh giá họ làm việc cho ai. Tôi đồng ý với FireEye rằng cách thức tấn công của OceanLotus rất giống với các nhóm hacker làm việc cho chính phủ Việt Nam mà tôi được biết. Tôi nghĩ đây là bằng chứng quan trọng nhất trong báo cáo của FireEye.
Dẫu vậy báo cáo của FireEye về nhóm OceanLotus cho thấy mục tiêu của nhóm này là một bước tiến so với mục tiêu quen thuộc của các nhóm hacker làm việc cho chính phủ Việt Nam. Từ trước đến nay các nhóm hacker làm việc cho chính phủ Việt Nam thường chỉ tập trung vào các mục tiêu chính trị, nhưng FireEye chỉ ra rằng OceanLotus quan tâm đến các mục tiêu kinh tế. Tôi cũng chưa từng thấy nghiên cứu hay báo cáo nào chỉ ra chính phủ Việt Nam đứng ngoài sau các vụ tấn công mạng vào chính phủ hoặc lợi ích của các nước khác, nhưng FireEye cho rằng OceanLotus đã thực hiện các vụ tấn công nhắm vào Philippines, Trung Quốc và nghị viện một nước phương Tây. Nếu quả thật chính phủ Việt Nam chỉ đạo APT32 xâm nhập các mục tiêu nước ngoài, đây là một bước tiến tích cực. Không thể đảm bảo lợi ích của Việt Nam nếu như chính phủ không tiến hành thu thập thông tin tình báo, do thám, phá hoại ở các quốc gia trong khu vực.
Lưu ý là FireEye cũng có văn phòng và khách hàng ở Việt Nam. Rõ ràng báo cáo của họ sẽ không được chính phủ Việt Nam hoan nghênh và công việc kinh doanh của họ cũng sẽ ít nhiều bị ảnh hưởng. Tôi nghĩ họ cũng đã phải cân nhắc rất kỹ lưỡng thiệt và hại, bằng chứng mà họ có phải rất vững vàng, họ mới dám đưa ra một kết luận “phật lòng” chính phủ Việt Nam. Dẫu vậy, để marketing các công ty như FireEye cũng có xu hướng đưa tin giật gân.
giả mạo người quen để lừa nạn nhân, cài mã độc là thủ đoạn thường thấy của hacker (ảnh minh họa) |
VOA: Xin ông phân tích về mặt kỹ thuật các hacker có thể thâm nhập, theo dõi, lấy trộm dữ liệu của các công ty, cá nhân dễ dàng hoặc khó khăn ra sao.
Thái Dương: Không khó để hack một công ty hoặc một cá nhân nào đó. Có rất nhiều cách thức tấn công, nhưng phổ biến nhất vẫn là phishing, thông qua email. Hacker thu thập địa chỉ email, thông tin nhân viên, các mối quan hệ thông qua Facebook , LinkedIn, v.v., rồi gửi email có chứa mã độc. Nạn nhân sẽ bị hack và nhiễm mã độc khi mở email hoặc tệp đính kèm.
... phổ biến nhất vẫn là phishing, thông qua email. Hacker thu thập địa chỉ email, thông tin nhân viên, các mối quan hệ thông qua Facebook , LinkedIn, v.v., rồi gửi email có chứa mã độc. Nạn nhân sẽ bị hack và nhiễm mã độc khi mở email hoặc tệp đính kèm ... Thái Dương, kỹ sư an toàn thông tin |
Thực tế các chính phủ không cần phải có những hacker lành nghề mới có thể tiến hành các vụ hack, vì có những công ty chuyên cung cấp dịch vụ này, từ A đến Z. Một trong những công ty như thế là HackingTeam. Vào năm 2015, công ty này bị hack và toàn bộ dữ liệu của họ bị đưa lên Wikileaks. Theo nguồn dữ liệu này, HackingTeam có vài ba khách hàng ở Việt Nam.
VOA: Các hacker làm việc cho chính phủ có những lợi thế gì? Những lợi thế đó làm cho họ đáng sợ hơn các hacker khác ra sao?
Thái Dương: Trong một bài blog gần đây (Có một Biển Đông trên không gian mạng), tôi có viết thế này:
...các nhóm hacker làm việc cho chính phủ có rất nhiều lợi thế. Họ không sợ bị bắt, vì đã có chính phủ "bảo kê". Họ có nguồn đầu tư dồi dào và có rất nhiều thời gian. Nhân danh lòng yêu nước và chủ nghĩa quốc gia, họ có thể dễ dàng tìm kiếm và thu hút nhân tài, đặc biệt là ở các quốc gia thiếu tự do nhưng thừa tuyên truyền. Thái Dương, kỹ sư an toàn thông tin |
'Một số nhóm hacker lại thường ra tay để thể hiện lòng yêu nước hay để gửi đi một thông điệp chính trị (hacktivism). Nếu ở Phương Tây có nhóm Anonymous thì ở Trung Quốc có nhóm 1937CN, vừa qua đã phá hoại hệ thống mạng máy tính ở sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines. Mục đích của những nhóm hacker này là tạo tiếng vang, nên họ thường chọn mục tiêu theo dòng sự kiện. Do thiếu một chiến lược lâu dài cùng với sự tổ chức quy củ bài bản, các nhóm hacktivism thường chỉ có tác động ngắn hạn, nổi lên một vài năm rồi sẽ tan rã, một phần trong số đó sẽ gia nhập vào các nhóm hacker được bảo trợ bởi chính phủ và thuộc biên chế quân đội các nước. Đây chính là những nhóm hacker đáng lo ngại nhất. Với nguồn tài chính dồi dào, nguồn nhân lực chất lượng cao, những “tiểu đội” hacker này có nhiệm vụ xâm nhập vào hệ thống mạng máy tính của các cơ quan nhà nước ở các quốc gia khác để do thám (espionage) và phá hoại (sabotage). Là cánh tay nối dài của những cơ quan tình báo, những nhóm hacker này có tầm nhìn dài hạn, có chiến lược được tính bằng thập kỷ, rất kiên nhẫn, không dễ gì bỏ cuộc'.
Tóm lại các nhóm hacker làm việc cho chính phủ có rất nhiều lợi thế. Họ không sợ bị bắt, vì đã có chính phủ "bảo kê". Họ có nguồn đầu tư dồi dào và có rất nhiều thời gian. Nhân danh lòng yêu nước và chủ nghĩa quốc gia, họ có thể dễ dàng tìm kiếm và thu hút nhân tài, đặc biệt là ở các quốc gia thiếu tự do nhưng thừa tuyên truyền.
các hacker làm việc cho chính phủ đáng sợ hơn các hacker khác (ảnh minh họa) |
VOA: Ông đánh giá thế nào về "danh tiếng" hay "đẳng cấp" của hacker do chính phủ VN hậu thuẫn so với các nước "khét tiếng" khác?
Nhìn chung giới hacker Việt Nam, được chính phủ hỗ trợ hay không, vẫn chưa bì được so với các nước như Mỹ, Trung Quốc hay Nga ... Sự thua sút của Việt Nam thể hiện rõ hơn ở khâu phòng vệ. Thái Dương, kỹ sư an toàn thông tin |
Sự thua sút của Việt Nam thể hiện rõ hơn ở khâu phòng vệ. Muốn hack đương nhiên phải cần hacker, nhưng muốn không bị hack cũng cần hacker. Chỉ có hacker mới có thể chống lại hacker, không thể mua giải pháp hay sản phẩm có sẵn. Có nhiều bằng chứng cho thấy hệ thống mạng máy tính của chính phủ Việt Nam đã bị hacker "nước lạ" xâm nhập từ nhiều năm nay. Sự thua sút về nhân lực còn sẽ khiến Việt Nam thiệt hại rất nhiều trên mặt trận không gian mạng.
VOA: Xin cảm ơn ông!
VOA
Không có nhận xét nào:
Đăng nhận xét