Thụy My
 |
| Những người chống ông Trump tại Washington tố cáo ông là con rối của Nga, 17/12/2016. |
(Libération
31/12/2016) Các công cụ của nhóm tin tặc Fancy Bear và Cozy Bear, mà mục
tiêu là những người chống đối Kremlin, thường xuyên được nâng cấp.
Đó là một
nhúm mật danh thường được nhắc đến trong các bài báo viết về tấn công tin học.
Và ngày càng nhiều thêm : « Fancy Bear »,
« APT28 », « Sofacy », « Sednit »,
« Strontium »…bấy nhiêu cái tên được các công ty an ninh mạng hay
các nhà sản xuất phần mềm nêu ra, để chỉ một nhóm duy nhất.
Nhóm này
cũng được cho là vào mùa hè đã xâm nhập và « tiết lộ » cho WikiLeaks
những thông tin chủ yếu làm ảnh hưởng đến phe bà Clinton : các thư điện tử
của Ủy ban quốc gia đảng Dân Chủ (DNC) và của John Podesta, giám đốc chiến dịch
tranh cử của bà, được WikiLeaks công bố. Bên cạnh đó còn có thư của các nhân
vật khác như cựu tổng tư lệnh NATO ở châu Âu là Philip Breedlove, hay cựu ngoại
trưởng phe Cộng Hòa Colin Powell.
Nhóm tin
tặc là trung tâm của căng thẳng trên mặt trận tin học giữa Washington và Matx
cơva - đã tăng thêm một nấc tối thứ Năm 29/12 với việc tổng thống Barack Obama
loan báo các trừng phạt nhắm vào Nga. Và nhóm này đang khiến người Đức và người
Pháp phải toát mồ hôi lạnh vào thời điểm sắp đến các cuộc bầu cử quốc gia quan
trọng.
MH17
Trong
ngôn ngữ chuyên môn của an ninh mạng, Fancy Bear – tên do công ty Mỹ
Crowdstrike đặt – là một Advanced Persistent Threat, một « mối
đe dọa tiến triển dai dẳng ». Tức là một nhân tố giấu mặt và ngoan cố.
Các hoạt động của nó có từ năm 2004, nhưng chỉ từ hai, ba năm qua nhóm này mới
được đặc biệt chú ý, vì ngày càng tích cực thêm. Danh sách các mục tiêu của
nhóm ngày càng dài ra : các định chế của chính phủ và quân đội Mỹ, châu
Âu, các đại sứ quán, các nhà đối lập Nga chống đối Vladimir Putin, các nhà đấu
tranh Ukraina…
Tháng
2/2015, văn phòng liên lạc của NATO ở Ukraina bị chiếu cố, tháng 4/2016, là
đảng CDU của bà Angela Merkel. Trong thời gian đó, người ta tìm thấy dấu vết
của Fancy Bear trong vụ tấn công vào đài truyền hình Pháp TV5 Monde tháng
4/2015, rồi tại Bundestag (Quốc hội Liên bang Đức), và các trang mạng của chính
phủ Thổ Nhĩ Kỳ. Đặc biệt tại Văn phòng an
ninh Hà Lan, nơi tham gia cuộc điều tra về chuyến bay MH17 của Malaysia
Airlines, bị một hỏa tiễn từ khu vực quân nổi dậy thân Nga kiểm soát bắn rơi
vào tháng 7/2014 trên không phận Ukraina. Mới đây, Crowdstrike cho rằng nhóm
này đã tiến hành một chiến dịch gián điệp nhắm vào pháo binh Ukraina, từ cuối
năm 2014. Và hôm thứ Ba 27/12, báo Le Monde tiết lộ Tổ chức An ninh Hợp
tác Châu Âu (OSCE) đã bị tấn công tin học, phát hiện vào cuối tháng 10. « Theo
một cơ quan tình báo phương Tây », lại là Fancy Bear đứng đằng sau…
Để nhận
ra « chữ ký » của một nhóm tin tặc, các chuyên gia dựa vào nhiều tiêu
chí : xuất xứ địa lý của vụ tấn công, cơ sở hạ tầng sử dụng, phương pháp
hành động, các phần mềm gián điệp, thời gian hoạt động…Giống như từ một hiện
trường vụ án, cần tích tụ và phân tích các yếu tố vì có không ít các chỉ số sai
lạc nhằm đổ tội cho người khác.
Được công
ty an ninh mạng Nhật Trend Micro đặt tên là « Pawn Storm » và
công ty Eset của Slovakia gọi là « Sednit », Fancy Bear đã
đánh lừa các mục tiêu của mình qua email giả và các trang mạng giả. Nhóm này sử
dụng các phần mềm gián điệp của riêng mình, và các lỗ hổng an ninh được gọi là « zero
day » - các điểm yếu chưa được biết đến. Loic Guéro, giám đốc chiến
lược Nam Âu của Trend Micro nhấn mạnh : « Điều này cho thấy các vụ
tấn công tin học có được những phương tiện hoặc kỹ thuật hoặc con người hay tài
chính, hoặc có cả ba cùng một lúc ».
 | |
| Một xe mang bảng số ngoại giao Nga rời khu vực Upper Brookville, New York, 30/12/2016. |
Tình
báo quân đội Nga
Cả Trend
Micro lẫn Eset đều không muốn dẫn đến kết luận là các tin tặc trên có liên hệ
với một Nhà nước. Nhưng Trend Micro ghi nhận, Fancy Bear « nhắm vào các
nhóm có thể bị coi là nguy cơ cho lợi ích và chính trị Nga », còn Eset
tiết lộ chúng « không ngần ngại tấn công vào các mục tiêu cao
cấp », và « các hoạt động của nhóm này có liên hệ với địa
chính trị quốc tế ». Chính phủ Pháp rất thận trọng, còn bên kia bờ Đại
Tây Dương thì không phòng bị. Những mục tiêu « phản ánh rõ rệt các lợi
ích chiến lược của chính quyền Nga, và có thể có quan hệ với GRU », cơ
quan tình báo quân đội Nga – Dimitri Alperovitch, người đồng sáng lập
Crowstrike hồi tháng Sáu đã viết như thế.
Một nhóm
khác cũng bị nhận diện trong các máy chủ của DNC là Cozy Bear hay APT29, dường
như chỉ giới hạn ở những hoạt động gián điệp « cổ điển » hơn, cũng có
thể có liên hệ với cơ quan phản gián Nga. Hôm 7/10, một thông cáo của bộ Nội an
Mỹ và giám đốc tình báo quốc gia cáo buộc « các quan chức cao cấp
nhất » của điện Kremlin. Tổng thống Obama, trong cuộc họp báo hôm
16/12 lại còn thẳng thừng hơn : tuy không trực tiếp tố cáo Putin, nhưng
cũng gần như thế, ông khẳng định « hiếm có điều gì xảy ra tại Nga mà
không được ông ta bật đèn xanh ». Cuối cùng, đến tối thứ Năm 29/12, bộ
Nội an và FBI công bố một báo cáo mang tên « Grizzly
Steppe », điểm lại cung cách hành động của Fancy Bear và Cozy Bear.
Báo cáo tổng hợp những yếu tố đã được các công ty an ninh mạng và dữ liệu kỹ
thuật giải mật, chỉ ra thủ phạm các vụ tấn công tin học là « tình báo
dân sự và quân sự Nga ». Một báo cáo chi tiết hơn sẽ được chuyển cho
Quốc hội.
Câu
lạc bộ hacker
Ngoài vấn
đề quy trách nhiệm cao nhất về chính trị, tất cả mọi người nhận thấy năm 2016,
Fancy Bear tỏ ra hung hăng hơn. « Các công cụ của nó thường xuyên tăng
tiến » - một trong các chuyên gia của Eset là Jessy Campos hôm thứ Ba tại
Hambourg đã nhấn mạnh trong hội nghị lần thứ 33 của Chaos Computer Club, câu
lạc bộ hacker nổi tiếng của Đức. Và các hoạt động của tin tặc Nga đã mang một
tầm vóc mới. Khi thiết lập các trang mạng đặc biệt để phát tán các dữ liệu,
« họ không ngần ngại đóng vai các nhà tranh đấu » - Feike
Hacquebord của Trend Micro ghi nhận. « Có thể tin rằng họ đã sử dụng
WikiLeaks và truyền thông chính thống để công bố các dữ liệu đánh cắp
được ».
Các nạn nhân của tin tặc Nga trong năm nay – DNC của Mỹ,
đảng CDU của Đức hay đảng AKP cầm quyền của Thổ Nhĩ Kỳ - khiến người ta khó thể
nghi ngờ về động cơ chính trị của các chiến dịch tấn công. Feike Hacquebord
cảnh báo : « Chúng ta đã đạt đến mức có thể sản xuất ra bằng
chứng: mã nguồn của một số phần mềm gián điệp của Pawn Storm từ nay có thể mở
cho một số đối tượng. Về lý thuyết, các nhân tố khác có thể sao chép cách hoạt
động ». Thế nên cần phải cân nhắc kỹ lưỡng : mỗi nước biết rằng
trong sân khấu đầy bóng tối của không gian mạng, cần cảnh giác không chỉ trước
các kẻ thù mà còn đối với các đồng minh.
Không có nhận xét nào:
Đăng nhận xét