Một nhóm chuyên xâm nhập mạng đứng sau chiến dịch tấn công kéo dài bằng phần mềm gián điệp vào những người bảo vệ nhân quyền Việt Nam vừa được công bố trong kết luận điều tra của nhóm Kỹ thuật An ninh của Tổ chức Ân Xá Quốc tế (Amnesty Tech). Diện tấn công bao gồm các nhà hoạt động cá nhân, hoặc tổ chức vì nhân quyền Việt Nam trong và ngoài nước.

email chua phan mem gian diep 1
(Ảnh minh họa: Gorodenkoff/Shutterstock)

Trong một công bố đưa ra ngày 24/2, nhóm Amnesty Tech cho biết Phòng Nghiên cứu An ninh của nhóm đã tìm thấy những bằng chứng kỹ thuật trong các thư điện tử (emails) lừa đảo gửi đến một nhà hoạt động và một tổ chức bảo vệ nhân quyền Việt Nam nổi tiếng, cho thấy Ocean Lotus (tạm dịch: Hoa Sen Biển) chịu trách nhiệm về các vụ tấn công xảy ra từ năm 2018 đến tháng 11/2020.

Điều tra của Amnesty Tech phát hiện thấy blogger và nhà hoạt động vì dân chủ Bùi Thanh Hiếu (“Người Buôn Gió”) đã bị nhắm mục tiêu bằng phần mềm gián điệp ít nhất bốn lần từ tháng 2/2018 đến tháng 12/2019. Ông Hiếu sinh sống tại Đức từ năm 2013.

Một blogger khác ở Việt Nam, không nêu danh tính vì quan ngại vấn đề an ninh, đã bị nhắm mục tiêu ba lần từ tháng 7 đến tháng 11/2020. Người này được biết đến là người đã lên tiếng về sự kiện Đồng Tâm (Hà Nội) xảy ra vào rạng sáng 9/1/2020.

Tổ chức Sáng kiến Thể hiện Lương tâm Người Việt Hải ngoại (VOICE) – một tổ chức phi lợi nhuận có trụ sở ở Philippines chuyên hỗ trợ người Việt tị nạn và thúc đẩy nhân quyền [tháng 10/2019, Đài truyền hình CBC của Canada đưa phóng sự nêu việc VOICE đã giúp nộp hồ sơ cho những người không đủ tiêu chuẩn tị nạn định cư thành công tại Canada, trong khi bỏ qua một số người tị nạn thực sự – chú thích], đã bị nhắm mục tiêu vào tháng 4/2020. Theo Amnesty Tech, các cựu nhân viên và những người tình nguyện của tổ chức phi chính phủ này cũng nhiều lần bị quấy rối, bị cấm đi lại và bị tịch thu hộ chiếu khi họ quay trở lại Việt Nam.

Tất cả những cuộc tấn công được thực hiện dưới dạng các email vờ chia sẻ một tài liệu quan trọng với một đường liên kết để tải xuống một tệp tin. Những tệp này có chứa phần mềm gián điệp cho hệ điều hành Mac OS hoặc Windows. Theo Amnesty Tech, Ocean Lotus đứng sau các email độc hại này từ dấu vết các công cụ, kỹ thuật và cơ sở hạ tầng mạng đặc biệt thường được nhóm này sử dụng.

Phần mềm gián điệp cho Windows là một biến thể của dòng phần mềm độc hại mang tên Kerrdown và được sử dụng độc quyền bởi nhóm Ocean Lotus. Kerrdown là một trình tải xuống có thể cài thêm phần mềm gián điệp từ một máy chủ lên hệ điều hành của nạn nhân và mở một tài liệu mồi được thiết kế sẵn.

Trong trường hợp này, nó tải xuống Cobalt Strike, một bộ công cụ phần mềm gián điệp thương mại do công ty Strategy Cyber của Hoa Kỳ làm ra và thường được sử dụng hợp pháp để định kỳ kiểm tra mức độ an ninh của các tổ chức thông qua các cuộc tấn công mô phỏng. Bộ công cụ phần mềm này cho phép người thực hiện vụ tấn công có thể truy cập vào toàn bộ hệ thống những máy đã bị xâm nhập, bao gồm thực thi các tập lệnh (executing scripts), chụp màn hình hay ghi lại trình tự tổ hợp phím (logging keystrokes).

Phần mềm gián điệp cho Mac OS là một biến thể của dòng phần mềm độc hại cho hệ điều hành Mac OS do chính Ocean Lotus phát triển và sử dụng độc quyền. Nó cho phép người xâm nhập truy cập thông tin hệ điều hành, tải xuống, tải lên hoặc chạy các tệp tin và chạy các lệnh.

Theo đó, Amnesty Tech lưu ý mọi người hãy cẩn thận khi nhận các email có chứa tệp đính kèm hay đường liên kết. Cách tự bảo vệ là đừng nhấp chuột vào đường liên kết trong email hay mở tệp đính kèm hoặc chia sẻ các tệp đó nếu nhận được những email mà mình không mong đợi, hoặc không biết người gửi là ai.

email chua phan mem gian diep
Ảnh chụp màn hình email được gửi tới VOICE vào tháng 4/2020. Các email chứa phần mềm gián điệp dưới dạng tệp đính kèm hoặc đường link. (Nguồn: amnesty.org)

Trở lại các cuộc tấn công, theo Amnesty Tech, việc nhắm vào các nhà bảo vệ nhân quyền bằng công nghệ giám sát kỹ thuật số là bất hợp pháp theo luật nhân quyền quốc tế. Giám sát bất hợp pháp là vi phạm quyền riêng tư và ảnh hưởng đến quyền tự do biểu đạt và chính kiến, hiệp hội và hội họp ôn hòa.

“Hoạt động giám sát bất hợp pháp này vi phạm quyền riêng tư và bóp nghẹt quyền tự do biểu đạt,” Likhita Banerji, nhà nghiên cứu tại Amnesty Tech cho hay, đồng thời đề nghị Chính phủ Việt Nam phải thực hiện một cuộc điều tra độc lập. “Từ chối làm điều này sẽ chỉ khiến tăng thêm ngờ vực rằng chính phủ đang đồng lõa với các vụ tấn công của Ocean Lotus.”, bà Banerji nói.

Cung cấp thêm thông tin, Amnesty Tech cho biết Ocean Lotus (còn được gọi là APT-C-00 và APT32) là nhóm chịu trách nhiệm nhiều cuộc tấn công mạng có mục tiêu ít nhất là từ năm 2014, nhằm vào các ngành khác nhau, các cơ quan chính phủ các nước láng giềng của Việt Nam và các tổ chức xã hội dân sự.

Trong những năm qua, nhóm này đã phát triển được một bộ công cụ phần mềm gián điệp tinh vi bao gồm một số biến thể của phần mềm gián điệp Mac OS, phần mềm gián điệp Android và phần mềm gián điệp Windows.

Ocean Lotus cũng tổ chức những cuộc xâm nhập có tính chiến lược vào các trang web được quan tâm để xác định danh tính những người truy cập và tiến hành nhắm mục tiêu thêm nhiều người nữa. Mới gần đây, Ocean Lotus bị phát hiện đã lập các trang web truyền thông trực tuyến giả mạo dựa trên nội dung được thu thập tự động từ các trang web tin tức hợp pháp.

Năm 2017, công ty an ninh mạng Volexity tiết lộ hơn 100 websites đã bị xâm nhập, bao gồm nhiều trang thuộc các tổ chức nhân quyền từ Việt Nam, trong một chiến dịch tấn công mà họ cho là do Ocean Lotus thực hiện. Ngoài ra còn có nhiều cuộc tấn công bằng phần mềm gián điệp khác có liên quan tới Ocean Lotus chống lại các tổ chức nhân quyền cũng đã được báo cáo, như vụ nhắm vào Tổ chức nhân quyền Campuchia, LICADHO vào năm 2018.

Tổ chức Ân xá Quốc tế cho hay đã gửi những gì điều tra được đến các cơ quan chức năng của Việt Nam, nhưng cho đến thời điểm công bố báo cáo này (ngày 24/2/2021) vẫn chưa nhận được bất cứ phản hồi nào.

Nguyễn Minh

Xem thêm:

Hacker TQ tiết lộ cách giúp Bắc Kinh đánh cắp bí mật từ các chính phủ và công ty nước ngoài