Thứ Ba, 3 tháng 1, 2017

Toát mồ hôi lạnh trước chiến tranh tin học Nga

Thụy My


Những người chống ông Trump tại Washington tố cáo ông là con rối của Nga, 17/12/2016.

(Libération 31/12/2016) Các công cụ của nhóm tin tặc Fancy Bear và Cozy Bear, mà mục tiêu là những người chống đối Kremlin, thường xuyên được nâng cấp.
Đó là một nhúm mật danh thường được nhắc đến trong các bài báo viết về tấn công tin học. Và ngày càng nhiều thêm : « Fancy Bear », « APT28 », « Sofacy », « Sednit », « Strontium »…bấy nhiêu cái tên được các công ty an ninh mạng hay các nhà sản xuất phần mềm nêu ra, để chỉ một nhóm duy nhất.
Nhóm này cũng được cho là vào mùa hè đã xâm nhập và « tiết lộ » cho WikiLeaks những thông tin chủ yếu làm ảnh hưởng đến phe bà Clinton : các thư điện tử của Ủy ban quốc gia đảng Dân Chủ (DNC) và của John Podesta, giám đốc chiến dịch tranh cử của bà, được WikiLeaks công bố. Bên cạnh đó còn có thư của các nhân vật khác như cựu tổng tư lệnh NATO ở châu Âu là Philip Breedlove, hay cựu ngoại trưởng phe Cộng Hòa Colin Powell. 

Nhóm tin tặc là trung tâm của căng thẳng trên mặt trận tin học giữa Washington và Matx cơva - đã tăng thêm một nấc tối thứ Năm 29/12 với việc tổng thống Barack Obama loan báo các trừng phạt nhắm vào Nga. Và nhóm này đang khiến người Đức và người Pháp phải toát mồ hôi lạnh vào thời điểm sắp đến các cuộc bầu cử quốc gia quan trọng.

MH17

Trong ngôn ngữ chuyên môn của an ninh mạng, Fancy Bear – tên do công ty Mỹ Crowdstrike đặt – là một Advanced Persistent Threat, một « mối đe dọa tiến triển dai dẳng ». Tức là một nhân tố giấu mặt và ngoan cố. Các hoạt động của nó có từ năm 2004, nhưng chỉ từ hai, ba năm qua nhóm này mới được đặc biệt chú ý, vì ngày càng tích cực thêm. Danh sách các mục tiêu của nhóm ngày càng dài ra : các định chế của chính phủ và quân đội Mỹ, châu Âu, các đại sứ quán, các nhà đối lập Nga chống đối Vladimir Putin, các nhà đấu tranh Ukraina…

Tháng 2/2015, văn phòng liên lạc của NATO ở Ukraina bị chiếu cố, tháng 4/2016, là đảng CDU của bà Angela Merkel. Trong thời gian đó, người ta tìm thấy dấu vết của Fancy Bear trong vụ tấn công vào đài truyền hình Pháp TV5 Monde tháng 4/2015, rồi tại Bundestag (Quốc hội Liên bang Đức), và các trang mạng của chính phủ Thổ Nhĩ Kỳ. Đặc biệt tại Văn phòng an  ninh Hà Lan, nơi tham gia cuộc điều tra về chuyến bay MH17 của Malaysia Airlines, bị một hỏa tiễn từ khu vực quân nổi dậy thân Nga kiểm soát bắn rơi vào tháng 7/2014 trên không phận Ukraina. Mới đây, Crowdstrike cho rằng nhóm này đã tiến hành một chiến dịch gián điệp nhắm vào pháo binh Ukraina, từ cuối năm 2014. Và hôm thứ Ba 27/12, báo Le Monde tiết lộ Tổ chức An ninh Hợp tác Châu Âu (OSCE) đã bị tấn công tin học, phát hiện vào cuối tháng 10. « Theo một cơ quan tình báo phương Tây », lại là Fancy Bear đứng đằng sau…

Để nhận ra « chữ ký » của một nhóm tin tặc, các chuyên gia dựa vào nhiều tiêu chí : xuất xứ địa lý của vụ tấn công, cơ sở hạ tầng sử dụng, phương pháp hành động, các phần mềm gián điệp, thời gian hoạt động…Giống như từ một hiện trường vụ án, cần tích tụ và phân tích các yếu tố vì có không ít các chỉ số sai lạc nhằm đổ tội cho người khác. 

Được công ty an ninh mạng Nhật Trend Micro đặt tên là « Pawn Storm » và công ty Eset của Slovakia gọi là « Sednit », Fancy Bear đã đánh lừa các mục tiêu của mình qua email giả và các trang mạng giả. Nhóm này sử dụng các phần mềm gián điệp của riêng mình, và các lỗ hổng an ninh được gọi là « zero day » - các điểm yếu chưa được biết đến. Loic Guéro, giám đốc chiến lược Nam Âu của Trend Micro nhấn mạnh : « Điều này cho thấy các vụ tấn công tin học có được những phương tiện hoặc kỹ thuật hoặc con người hay tài chính, hoặc có cả ba cùng một lúc ».

Một xe mang bảng số ngoại giao Nga rời khu vực Upper Brookville, New York, 30/12/2016.
Tình báo quân đội Nga

Cả Trend Micro lẫn Eset đều không muốn dẫn đến kết luận là các tin tặc trên có liên hệ với một Nhà nước. Nhưng Trend Micro ghi nhận, Fancy Bear « nhắm vào các nhóm có thể bị coi là nguy cơ cho lợi ích và chính trị Nga », còn Eset tiết lộ chúng « không ngần ngại tấn công vào các mục tiêu cao cấp »,« các hoạt động của nhóm này có liên hệ với địa chính trị quốc tế ». Chính phủ Pháp rất thận trọng, còn bên kia bờ Đại Tây Dương thì không phòng bị. Những mục tiêu « phản ánh rõ rệt các lợi ích chiến lược của chính quyền Nga, và có thể có quan hệ với GRU », cơ quan tình báo quân đội Nga – Dimitri Alperovitch, người đồng sáng lập Crowstrike hồi tháng Sáu đã viết như thế.

Một nhóm khác cũng bị nhận diện trong các máy chủ của DNC là Cozy Bear hay APT29, dường như chỉ giới hạn ở những hoạt động gián điệp « cổ điển » hơn, cũng có thể có liên hệ với cơ quan phản gián Nga. Hôm 7/10, một thông cáo của bộ Nội an Mỹ và giám đốc tình báo quốc gia cáo buộc « các quan chức cao cấp nhất » của điện Kremlin. Tổng thống Obama, trong cuộc họp báo hôm 16/12 lại còn thẳng thừng hơn : tuy không trực tiếp tố cáo Putin, nhưng cũng gần như thế, ông khẳng định « hiếm có điều gì xảy ra tại Nga mà không được ông ta bật đèn xanh ». Cuối cùng, đến tối thứ Năm 29/12, bộ Nội an và FBI công bố một báo cáo mang tên « Grizzly Steppe », điểm lại cung cách hành động của Fancy Bear và Cozy Bear. Báo cáo tổng hợp những yếu tố đã được các công ty an ninh mạng và dữ liệu kỹ thuật giải mật, chỉ ra thủ phạm các vụ tấn công tin học là « tình báo dân sự và quân sự Nga ». Một báo cáo chi tiết hơn sẽ được chuyển cho Quốc hội.

Câu lạc bộ hacker

Ngoài vấn đề quy trách nhiệm cao nhất về chính trị, tất cả mọi người nhận thấy năm 2016, Fancy Bear tỏ ra hung hăng hơn. « Các công cụ của nó thường xuyên tăng tiến » - một trong các chuyên gia của Eset là Jessy Campos hôm thứ Ba tại Hambourg đã nhấn mạnh trong hội nghị lần thứ 33 của Chaos Computer Club, câu lạc bộ hacker nổi tiếng của Đức. Và các hoạt động của tin tặc Nga đã mang một tầm vóc mới. Khi thiết lập các trang mạng đặc biệt để phát tán các dữ liệu, « họ không ngần ngại đóng vai các nhà tranh đấu » - Feike Hacquebord của Trend Micro ghi nhận. « Có thể tin rằng họ đã sử dụng WikiLeaks và truyền thông chính thống để công bố các dữ liệu đánh cắp được ».


Các nạn nhân của tin tặc Nga trong năm nay – DNC của Mỹ, đảng CDU của Đức hay đảng AKP cầm quyền của Thổ Nhĩ Kỳ - khiến người ta khó thể nghi ngờ về động cơ chính trị của các chiến dịch tấn công. Feike Hacquebord cảnh báo : « Chúng ta đã đạt đến mức có thể sản xuất ra bằng chứng: mã nguồn của một số phần mềm gián điệp của Pawn Storm từ nay có thể mở cho một số đối tượng. Về lý thuyết, các nhân tố khác có thể sao chép cách hoạt động ». Thế nên cần phải cân nhắc kỹ lưỡng : mỗi nước biết rằng trong sân khấu đầy bóng tối của không gian mạng, cần cảnh giác không chỉ trước các kẻ thù mà còn đối với các đồng minh.

Không có nhận xét nào:

Đăng nhận xét