Trả lời phỏng vấn đài Châu Á Tự Do về OceanLotus

Cách đây vài hôm hãng FireEye đưa ra một báo cáo về nhóm hacker OceanLotus và cho rằng nhóm này "conduct targeted operations that are aligned with Vietnamese state interests", tức là thực hiện các phi vụ có chủ đích gắn với lợi ích của Việt Nam. Hacker làm việc cho chính phủ Việt Nam không mới (ví dụ như nhóm Sinh Tử Lệnh), nhưng đây là lần đầu tiên có báo cáo về một nhóm hacker xâm nhập các mục tiêu nước ngoài.

Nếu đúng như FireEye báo cáo, tôi thấy đây là một bước tiến tích cực, vì sẽ rất khó cho chính phủ Việt Nam đảm bảo lợi ích quốc gia nếu như họ không tiến hành do thám, thu thập tình báo, hay thậm chí phá hoại ở các nước có ảnh hưởng đến lợi ích của Việt Nam. Dẫu vậy tôi không quá lạc quan, bởi chưa có nhiều bằng chứng để tin rằng chính phủ Việt Nam thôi không sử dụng hacker để theo dõi, kiểm soát người dân và đàn áp tự do.

Thông qua một người bạn, đài Châu Á Tự Do (RFA) có phỏng vấn tôi về sự kiện này. Bài phỏng vấn đăng nguyên văn ở http://www.voatiengviet.com/a/chuyen-gia-noi-ve-bao-cao-fireeye-hacker-viet/3855896.html. Tôi dẫn lại ở bên dưới.

---

1. Làm thế nào FireEye có thể đưa ra nhận định là "các hacker làm việc cho chính phủ Việt Nam hoặc đại diện cho chính phủ", nhưng đồng thời FireEye cũng nói "không thể xác định chính xác danh tính và địa điểm của các hacker"? FireEye sử dụng các biện pháp theo dõi, phân tích gì để nhận định như vậy?


Quy cứu trách nhiệm (attribution) các vụ tấn công mạng khó và không thể chính xác 100%. Để tăng độ tin cậy, các nhóm nghiên cứu lập hồ sơ của các nhóm hacker rồi theo vết, quan sát từng nhóm trong một thời gian dài. Hồ sơ của một nhóm hacker bao gồm những thông tin như họ muốn hack ai, sau khi hack được rồi thì họ làm gì, phương pháp, công cụ, hạ tầng, thủ thuật, chiêu thức, v.v. mà họ thường sử dụng. Từ những thông tin này các nhóm nghiên cứu có thể xác định được động cơ và từ động cơ có thể đoán được ai đứng ngoài sau.


FireEye nói rằng không thể xác định danh tính và địa điểm các hacker vì những thông tin này thường cần HUMINT, tức là thu thập thông tin tình báo thông qua điệp viên thực địa. FireEye là một công ty tư nhân, họ không phải là CIA, thành ra họ chỉ có thể thu thập SIGINT, thông qua phần mềm chống mã độc mà họ bán cho các công ty và cá nhân. Các phần mềm này sẽ thu thập các mẫu mã độc và các chuyên gia của FireEye sẽ phân tích để xây dựng hồ sơ cho từng nhóm hacker. Ngoài ra họ cũng có thể thu thập thông tin qua các nguồn tình báo mở như Wikileaks, báo cáo của các nhóm nghiên cứu khác, mạng xã hội, v.v.


Một nhóm hacker làm việc cho chính phủ Việt Nam sẽ muốn hack những người bất đồng chính kiến, những tổ chức chính trị đối lập, những nhà báo, trí thức, doanh nhân có tên tuổi uy tín, những website, blog “lề trái". Sau khi hack được rồi, đối với cá nhân thì họ âm thầm theo dõi, thu thập thông tin riêng tư, để sau này có thể blackmail hoặc bôi nhọ uy tín, đối với tổ chức thì họ phá hoại, đánh sập website, đóng cửa blog, v.v. Cách thức tấn công của họ cũng đa dạng, nhưng chủ yếu là nhúng virus vào các tệp văn bản tiếng Việt rồi gửi cho mục tiêu thông qua email. Nếu FireEye theo dõi một nhóm hacker trong một thời gian dài và phát hiện hồ sơ của họ trùng với những đặc điểm ở trên thì FireEye có thể đưa ra nhận định nhóm hacker đó làm việc cho chính phủ Việt Nam.


Trong hồ sơ của một nhóm hacker, mục tiêu và cách thức tấn công là hai thông tin đáng tin cậy nhất để đánh giá họ làm việc cho ai. Tôi đồng ý với FireEye rằng cách thức tấn công của OceanLotus rất giống với các nhóm hacker làm việc cho chính phủ Việt Nam mà tôi được biết. Tôi nghĩ đây là bằng chứng quan trọng nhất trong báo cáo của FireEye.


Dẫu vậy báo cáo của FireEye về nhóm OceanLotus cho thấy mục tiêu của nhóm này là một bước tiến so với mục tiêu quen thuộc của các nhóm hacker làm việc cho chính phủ Việt Nam. Từ trước đến nay các nhóm hacker làm việc cho chính phủ Việt Nam thường chỉ tập trung vào các mục tiêu chính trị, nhưng FireEye chỉ ra rằng OceanLotus quan tâm đến các mục tiêu kinh tế. Tôi cũng chưa từng thấy nghiên cứu hay báo cáo nào chỉ ra chính phủ Việt Nam đứng ngoài sau các vụ tấn công mạng vào chính phủ hoặc lợi ích của các nước khác, nhưng FireEye cho rằng OceanLotus đã thực hiện các vụ tấn công nhắm vào Philippines, Trung Quốc và nghị viện một nước phương Tây. Nếu quả thật chính phủ Việt Nam chỉ đạo APT32 xâm nhập các mục tiêu nước ngoài, đây là một bước tiến tích cực. Không thể đảm bảo lợi ích của Việt Nam nếu như chính phủ không tiến hành thu thập thông tin tình báo, do thám, phá hoại ở các quốc gia trong khu vực.


Lưu ý là FireEye cũng có văn phòng và khách hàng ở Việt Nam. Rõ ràng báo cáo của họ sẽ không được chính phủ Việt Nam hoan nghênh và công việc kinh doanh của họ cũng sẽ ít nhiều bị ảnh hưởng. Tôi nghĩ họ cũng đã phải cân nhắc rất kỹ lưỡng thiệt và hại, bằng chứng mà họ có phải rất vững vàng, họ mới dám đưa ra một kết luận “phật lòng” chính phủ Việt Nam. Dẫu vậy, để marketing các công ty như FireEye cũng có xu hướng đưa tin giật gân.


2. Xin ông phân tích về mặt kỹ thuật các hacker có thể thâm nhập, theo dõi, lấy trộm dữ liệu của các công ty, cá nhân dễ dàng hoặc khó khăn ra sao.


Không khó để hack một công ty hoặc một cá nhân nào đó. Có rất nhiều cách thức tấn công, nhưng phổ biến nhất vẫn là phishing, thông qua email. Hacker thu thập địa chỉ email, thông tin nhân viên, các mối quan hệ thông qua Facebook , LinkedIn, v.v., rồi gửi email có chứa mã độc. Nạn nhân sẽ bị hack và nhiễm mã độc khi mở email hoặc tệp đính kèm.


Sau khi hack được rồi, để theo dõi và lấy trộm dữ liệu thì cần phải đầu tư nhiều hơn về công cụ, phương pháp và hạ tầng. Chẳng hạn như làm sao để tuồn dữ liệu ra ngoài mà không bị phát hiện, làm sao để chiếm quyền cao nhất trên hệ thống, làm sao để truy tìm các nguồn dữ liệu quan trọng trong hệ thống của nạn nhân, v.v. Để xây dựng trọn vẹn một bộ công cụ, hạ tầng hỗ trợ, quy trình và nhân lực để tiến hành các cuộc tấn công đòi hỏi phải có sự đầu tư nhất định. Dẫu vậy chi phí cho những đầu tư này chỉ là con số lẻ, nếu so với mua sắm vũ khí thông dụng.


Thực tế các chính phủ không cần phải có những hacker lành nghề mới có thể tiến hành các vụ hack, vì có những công ty chuyên cung cấp dịch vụ này, từ A đến Z. Một trong những công ty như thế là HackingTeam. Vào năm 2015, công ty này bị hack và toàn bộ dữ liệu của họ bị đưa lên Wikileaks. Theo nguồn dữ liệu này, HackingTeam có vài ba khách hàng ở Việt Nam.


3. Các hacker làm việc cho chính phủ có những lợi thế gì? Những lợi thế đó làm cho họ đáng sợ hơn các hacker khác ra sao?


Trong một bài blog gần đây (Có một Biển Đông trên không gian mạng), tôi có viết thế này:


Trên Internet có nhiều nhóm hacker với các động cơ khác nhau. Có những thanh niên đang tập tễnh vào nghề an ninh mạng muốn tấn công để chứng tỏ kỹ năng, cũng có những tập đoàn tội phạm tấn công để kiếm tiền. Những nhóm này thường quét toàn bộ Internet để tìm mục tiêu, gặp ai hack đó, không cần biết lý do. Không quá khó để ngăn chặn những nhóm hacker như vầy, vì họ chỉ muốn tìm những mục tiêu dễ nhất.


Một số nhóm hacker lại thường ra tay để thể hiện lòng yêu nước hay để gửi đi một thông điệp chính trị (hacktivism). Nếu ở Phương Tây có nhóm Anonymous thì ở Trung Quốc có nhóm 1937CN, vừa qua đã phá hoại hệ thống mạng máy tính ở sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines. Mục đích của những nhóm hacker này là tạo tiếng vang, nên họ thường chọn mục tiêu theo dòng sự kiện. Do thiếu một chiến lược lâu dài cùng với sự tổ chức quy cũ bài bản, các nhóm hacktivism thường chỉ có tác động ngắn hạn, nổi lên một vài năm rồi sẽ tan rã, một phần trong số đó sẽ gia nhập vào các nhóm hacker được bảo trợ bởi chính phủ và thuộc biên chế quân đội các nước. Đây chính là những nhóm hacker đáng lo ngại nhất. Với nguồn tài chính dồi dào, nguồn nhân lực chất lượng cao, những “tiểu đội” hacker này có nhiệm vụ xâm nhập vào hệ thống mạng máy tính của các cơ quan nhà nước ở các quốc gia khác để do thám (espionage) và phá hoại (sabotage). Là cánh tay nối dài của những cơ quan tình báo, những nhóm hacker này có tầm nhìn dài hạn, có chiến lược được tính bằng thập kỷ, rất kiên nhẫn, không dễ gì bỏ cuộc.


Tóm lại các nhóm hacker làm việc cho chính phủ có rất nhiều lợi thế. Họ không sợ bị bắt, vì đã có chính phủ "bảo kê". Họ có nguồn đầu tư dồi dào và có rất nhiều thời gian. Nhân danh lòng yêu nước và chủ nghĩa quốc gia, họ có thể dễ dàng tìm kiếm và thu hút nhân tài, đặc biệt là ở các quốc gia thiếu tự do nhưng thừa tuyên truyền.


4. Ông đánh giá thế nào về "danh tiếng" hay "đẳng cấp" của hacker do chính phủ VN hậu thuẫn so với các nước "khét tiếng" khác?


Nhìn chung giới hacker Việt Nam, được chính phủ hỗ trợ hay không, vẫn chưa bì được so với các nước như Mỹ, Trung Quốc hay Nga. Nhưng như đã nói ở trên, xâm nhập không đòi hỏi trình độ cao và nếu không tự làm được thì có thể mua.


Sự thua sút của Việt Nam thể hiện rõ hơn ở khâu phòng vệ. Muốn hack đương nhiên phải cần hacker, nhưng muốn không bị hack cũng cần hacker. Chỉ có hacker mới có thể chống lại hacker, không thể mua giải pháp hay sản phẩm có sẵn. Có nhiều bằng chứng cho thấy hệ thống mạng máy tính của chính phủ Việt Nam đã bị hacker "nước lạ" xâm nhập từ nhiều năm nay. Sự thua sút về nhân lực còn sẽ khiến Việt Nam thiệt hại rất nhiều trên mặt trận không gian mạng.

Comments

RANDOM said…
Em vừa đọc trên VOA. Định bê về blog mà sợ đụng chạm =))
* Thiếu tự do, thừa tuyên truyền * :))