Tin tặc và cuộc bầu cử ở Pháp

Lê Phan

Mọi người ai cũng biết là tin tặc sẽ tấn công. Cơ Quan An Ninh Quốc Gia (National Security Agency-NSA) ở Hoa Kỳ tìm thấy tín hiệu. Và Ban Kỹ Thuật nhỏ nhoi của ứng cử viên Emmanuel Macron cũng đã biết.

Không quên chuyện đã xảy ra cho cuộc bầu cử ở Hoa Kỳ mà dư họa vẫn còn ám ảnh chính trị nước Mỹ, cũng như cuộc trưng cầu dân ý ở Anh, toán kỹ thuật này đã phản ứng bằng cách tạo ra một loạt vài chục trương mục email giả mạo, cùng với những văn kiện “doc” giả mạo, mục đích là để tạo rối trí cho kẻ tấn công.

Người Nga chuyến này, về phần họ, đã quá vội vàng và hơi chểnh mảng, để lại một lô bằng cớ tuy không đủ để chứng minh chắc chắn là họ làm việc cho chính phủ của Tổng Thống Vladimir Putin nhưng cũng đủ rõ ràng cho thấy họ nằm trong chiến dịch “Chiến tranh thông tin” của ông.

Câu chuyện mà các viên chức Hoa Kỳ, các chuyên gia tin học và chính toán phụ tá của ông Macron cho thấy cuộc tấn công tin tặc có mục đích để làm gián đoạn cuộc bầu cử có nhiều hậu quả nhất cho Pháp và cho Âu Châu trong nhiều thập niên nay đã chỉ là một viên đạn tịt ngòi và cũng là một sự nhắc nhở là tuy tấn công tin học rất hữu hiệu trong việc đình chỉ các lò phản ứng hạt nhân Iran, hay mạng lưới điện của Ukraine, nó không phải là một viên đạn vạn năng. Loại chiến tranh thông tin mà phe Nga ưa thích có thể bị đánh bại bởi báo động sớm và nhanh chóng phản ứng.

Nhưng cho đến Thứ Sáu trước ngày bầu cử, khi điều được gọi là một cuộc tấn công tin tặc “khổng lồ” đột nhiên khiến cho triển vọng thắng cử của ông Macron có thể bị lâm nguy. Đối với các viên chức Pháp và Mỹ tuy nhiên, không có gì đáng ngạc nhiên cả.

Điều trần trước Ủy Ban Quân Vụ Thượng Viện ở Washington, hôm Thứ Ba trước ngày bầu cử, Đô Đốc Mike Rogers, giám đốc cơ quan NSA, nói là các cơ quan tình báo Hoa Kỳ đã thấy cuộc tấn công diễn ra, và thông báo cho phía Pháp. Ông bảo đã nói với họ “Này, chúng tôi đang theo dõi người Nga. Chúng tôi thấy họ đột nhập vào một số hạ tầng cơ sở của các bạn. Đây là những gì chúng tôi thấy. Chúng tôi có thể làm gì để giúp đỡ không?”

Nhưng nhân viên ở tổng hành dinh tạm bợ của ông Macron ở quận 15 ở bên lề Paris không cần NSA bảo cho họ biết là họ bị tấn công: Hồi Tháng Mười Hai, khi cựu viên chức ngân hàng và cựu bộ trưởng tài chánh đã trở thành ứng cử viên bài Nga, ủng hộ NATO, ủng hộ Liên Hiệp Âu Châu nhất trong các ứng cử viên của cuộc bầu cử tổng thống, họ bắt đầu nhận được những email “phishing” tức là loại emails cò mồi hòng đột nhập hệ thống qua việc dụ dỗ người nhận “click” vào một “link.”

Giám đốc tin học của ông Macron, ông Mounir Mahjoubi, giải thích là những emails “phishing” này “phẩm chất cao”: Chúng bao gồm tên thật của nhân viên ban vận động, và mới nhìn thì có vẻ đến từ họ. Đặc biệt là cái email cuối cùng mà ban vận động nhận được, chỉ vài ngày trước cuộc bầu cử vào Chủ Nhật, 7 Tháng Năm, vốn nói là đến từ chính ông Mahjoubi.

Ông Mahjoubi bảo, “Nó hầu như là một câu nói đùa, hay là như giơ tay nhục mạ chúng tôi.” Cái email đó mang theo nhiều file yêu cầu chuyển xuống để “tự vệ.”

Nhưng ngay trước đó, ban vận động ông Macron đã bắt đầu tìm cách xem làm sao cho mọi sự khó hơn cho người Nga, cho thấy một mức độ khả năng và sáng tạo đã không có trong ban vận động của bà Hillary Clinton và của Ủy Ban Quốc Gia Đảng Dân Chủ, vốn có an ninh tối thiểu và trong nhiều tháng không để ý gì đến khuyến cáo của cơ quan FBI rằng hệ thống computer của họ đã bị đột nhập.

Ông Mahjoubi nói, “Chúng tôi phản công. Chúng tôi không thể bảo đảm bảo vệ 100 phần trăm thành ra chúng tôi tự hỏi: Có thể làm được gì?” Ông Mahjoubi đã chọn một chiến thuật cổ điển được gọi là “cyber-blurring,” thường được các ngân hàng và đại công ty sử dụng, tạo nên những trương mục emails dỏm và đổ vào đó đầy những tài liệu dỏm, không khác gì mỗi ngân hàng đều có những đồng tiền giả để sẵn trong két nhỡ khi có ăn cướp.

“Chúng tôi tạo nên trương mục giả, với nội dụng giả, như là những cái bẫy. Chúng tôi tạo rất nhiều, để buộc họ phải kiểm chứng, để xem cái nào là thực cái nào là giả,” ông Mahjoubi giải thích, “Tôi không nghĩ là chúng tôi ngăn cản được họ. Chúng tôi chỉ làm họ bị chậm đi thôi. Nhưng ngay cả chỉ khiến họ chậm đi một phút thôi là chúng tôi hài lòng rồi.”

Ông Mahjoubi từ chối tiết lộ bản chất của những văn kiện giả mà họ tạo ra, hay nói là trong số văn kiện bị tung ra hôm Thứ Sáu có văn kiện nào trong số văn kiện giả hay không. Nhưng ông có ghi nhận là có một sự rối loạn trong số văn kiện tung ra hôm thứ sáu tuần bầu cử, một số là dỏm do tin tặc tự chế ra, một số là văn kiện ăn cắp và một số là emails dỏm của chính phe ông.

Với chỉ có 18 người trong toán tin học, đa số còn lo soạn những vật liệu cho ban vận động như videos, ông Mahjoubi khó có thời giờ để truy nguyên thủ phạm. Ông bảo “Chúng tôi không có thì giờ bắt họ.” Nhưng ông cũng hầu như biết họ là ai. Đồng thời với cuộc tấn công phishing, ban vận động Macron cũng bị tấn công bởi truyền thông và báo chí Nga với vô số tin giả mạo.

Điều kỳ lạ là người Nga đã rất tệ trong việc che dấu nguồn gốc. Việc này đã giúp các công ty an ninh mạng, đã đề phòng sẵn sau những cố gắng ảnh hưởng đến cuộc bầu cử Hoa Kỳ, tìm kiếm bằng cớ.

Giữa Tháng Ba, những nhà nghiên cứu ở Trend Micro, một công ty an ninh mạng khổng lồ có trụ sở ở Tokyo, đã thấy cũng cùng một đơn vị của tình báo Nga đằng sau một số các vụ đột nhập vào Ủy Ban Quốc Gia Đảng Dân Chủ, bắt đầu chế tạo các dụng cụ để tấn công vào chiến dịch vận động của ông Macron. Họ lập những địa chỉ bắt chước đảng En Marche! Họ bắt đầu gửi emails với những link độc hại và trang login giả mạo nhằm dụ dỗ nhân viên tiết lộ usernames và passwords, hay click vào một đường chuyền vốn sẽ cho người Nga một chỗ đứng trong hệ thống của ban vận động.

Đây là cách cổ truyền của người Nga, các nhà nghiên cứu an ninh mạng nói, nhưng lần này thế giới đã có chuẩn bị. Ông John Hultquist, giám đốc về phân tích tình báo mạng ở FireEye, công ty an ninh có trụ sở ở Silicon Valley giải thích “Tin vui lần này là hoạt động nay trở thành quá quen thuộc, và quần chúng mạng cũng đã quá quen thuộc với ý tưởng là có bàn tay người Nga đằng sau những cuộc tấn công này, và điều đó đã có hậu quả xấu cho họ.”

Ông Hultquist chỉ ra là cuộc tấn công lần này quá vội vàng và để lại một chuỗi những sai lầm điện toán. Ông tiếp “Đã có thời tin tặc Nga được biết vì họ ít khi luộm thuộm. Khi họ sai lầm, họ “đốt” hoàn toàn chiến dịch và bắt đầu từ đầu. Nhưng kể từ cuộc xâm lăng Ukraine và Crimea, chúng ta thấy họ thực hiện nhiều cuộc tấn công rộng lớn và tỏ ra không biết sợ,” phần có thể vì “đã không có hậu quả gì cả cho hành động của họ.”

Tin tặc cũng đã lầm lẫn khi phổ biến những thông tin, mà theo tiêu chuẩn của một cuộc bầu cử, tẻ nhạt quá. Số 9 gigabytes emails và hồ sơ bị đánh cắp từ ban vận động của ông Macron được tuyên truyền là “đầy scandal” nhưng thực ra hầu hết là những chuyện bình thường của cuộc bầu cử.

Một email bị tiết lộ là về một nhân viên bị hỏng xe. Một nhân viên ban vận động bị khiển trách vì không chịu ghi sổ một ly cà phê.

Đây là khi tin tặc làm ăn cẩu thả. Số lượng dữ liệu khổng lồ, mà các chuyên gia tin học gọi là metadata dính đến khoảng một chục văn kiện – tức là mã số cho thấy nguồn gốc của văn kiện- cho thấy nó đã đi qua các computers của Nga và được cắt xén bởi người sử dụng tiếng Nga. Một số văn kiện Excel được sửa đổi sử dụng một chương trình chỉ có trong ấn bản Nga của Microsoft Windows. Những văn kiện khác được sửa đổi bởi những người có tên usernames bằng tiếng Nga, kể cả một người mà các nhà nghiên cứu nhận diện là một nhân viên 32 tuổi của Eureka CJSC, có trụ sở ở thủ đô Moscow, một công ty kỹ thuật Nga vốn hợp tác chặt chẽ với bộ Quốc phòng và các cơ quan tình báo. Công ty được giấy phép của cơ quan an ninh liên bang FSB để bảo vệ bí mật nhà nước.

Những văn kiện bị tiết lộ có vẻ đã bị giả mạo hay là dỏm. Một đưa ra chi tiết cho việc mua chất kích thích mephedrone, có khi được bán như là “bath salts,” bởi nhân viên của chiến dịch Macron vốn bị cáo buộc là gửi loại ma túy này đến địa chỉ là Quốc Hội Pháp. Nhưng ông Henk Van Ess, thành viên của toán điều tra ở Bellingcat, một cơ quan điều tra của Anh, cùng những người khác khám phá ra là số trong biên nhận không có trong hồ sơ của tất cả Bitcoin. Nói cách khác làm dỏm biên nhận nhưng quên cho nó vào sổ chung.

Ông Holtquist thì nói “Rõ ràng là họ vội vàng quá. “Nếu đây là APT28,” dùng tên cho nhóm tin tặc Nga được biết có liên hệ với cơ quan GRU, tức là cơ quan quân báo, “họ đã bị bắt quả tang và nó đã đánh ngược lại họ.”

Điều đáng lo theo ông Holtquist là sự thất bại của vụ tấn tin tặc vào ông Macron có thể đẩy những tin tặc của Nga cải thiện cách làm việc. Ông bảo, “Họ có thể phải đổi lại toàn cung cách.” Nhưng nếu họ đổi thành công thì lại khó tìm họ hơn.