Nhóm Hacker APT32 và cách thức tấn công trên mạng
 |
Nhóm tin tặc OceanLotus, nghi là liên quan Việt Nam, đã lập hàng loạt trang web tin tức và trang Facebook để lừa người đọc, từ đó cài virus vào máy tính của họ để theo dõi, theo công ty an ninh mạng đặt tại Washington DC có tên Volexity.
Volexity nói nhóm tin tặc OceanLotus đã lập ra hàng loạt trang tin tức mang chủ đề chính trị, chống tham nhũng, trông có vẻ rất thuyết phục nhưng thực chất nhằm lừa và cài đặt phần mềm xấu vào máy người đọc.
Ví dụ có trang lấy địa chỉ là nhansudaihoi13.org, ra vẻ đưa tin về Đại hội 13 của Đảng Cộng sản Việt Nam, cộng thêm trang của họ trên Facebook.
Các tin tức chủ yếu sao chép tự động từ các trang báo chí truyền thống, có vẻ dùng plugin của WordPress.
Volexity tin rằng có hai cách để các trang giả mạo này nhắm vào độc giả.
Một là cơ chế mà họ gọi là “profiling framework” có sẵn trong các trang web này, dùng để xác minh danh tính và đánh giá thông tin về người thăm trang web.
Hai là nhắm trực diện vào từng cá nhân bằng cách gửi đường dẫn có virus cho độc giả bằng cách lừa đảo (phishing) và gửi trực tiếp tin nhắn qua mạng xã hội như Facebook.
Khi người đọc vào thăm các trang tin giả này, công cụ tấn công dùng JavaScript được mở ra. Thông thường sẽ có hai đoạn mã được sử dụng:
Một mã dùng để lưu trữ thông tin về khách thăm.
Một mã dùng để lừa độc giả download về máy phần mềm giả hoặc tài liệu giả.
Volexity, trong nghiên cứu, lấy ví dụ trang giả mạo có tên baomoivietnam.com. Độc giả có thể bấm vào xem một tin về đại học Tôn Đức Thắng. Sau khi họ vào, công cụ JavaScript sẽ bật lên, mời họ xem một video.
Trang sẽ hiện ra hộp thoại bảo rằng có video đang mở ra.
Nếu khách dùng máy hệ điều hành Windows, sau vài giây, video không chạy và có thông báo hãy cài đặt Flash Player ngay. Một file, ví dụ có tên Adobe_Flash_Install.rar, hiện ra, mời người đọc download về để rồi bị nhiễm virus Cobalt Strike.
Nếu khách dùng điện thoại chạy iOS hay Android, họ sẽ thấy có hình nói video yêu cầu phải đăng nhập thì mới được xem, và dĩ nhiên đây chỉ là cái bẫy.
Volexity cảnh báo nhóm tin tặc OceanLotus đang tiếp tục nhắm vào người dùng bằng cách lập ra nhiều trang web tương tự.
Họ khuyên người dùng phải cẩn thận khi xem các trang web, đặc biệt là các trang được giới thiệu qua email, đoạn chat, tin nhắn, hay SMS.
Và dù thăm trang web nào, họ cảnh báo người dùng phải thận trọng nếu được mời gọi download hay đăng nhập với thông tin cá nhân.
Mục tiêu mới của nhóm hacker Việt Nam: Những người đấu tranh cho nhân quyền tại Đức
Một nhóm tin tặc từ Việt Nam, với tên APT32, được nghi vấn là hoạt động trái phép với sự điều động của nhà nước Việt Nam trong nhiều năm qua đã nhắm mục tiêu tấn công vào cộng đồng người Việt ở Đức, đặc biệt là những người cổ võ cho nhân quyền tại Việt Nam, và kể cả những nhà báo Đức đưa tin bất lợi cho chính quyền Việt Nam.
Đó là kết luận một cuộc điều tra kéo dài nhiều tháng do hai cơ quan truyền thông báo chí lớn của nước Đức, báo Die Zeit và đài Bayerischer Rundfunk thực hiện. Phóng sự điều tra được phố biến qua nhiều loạt bài viết, như bài với tựa đề “Tin tặc của Hà Nội” trên tờ Zeit ngày 8/10. Các phóng sự điều tra cũng đã được loan đi trên khắp các cơ quan đài truyền hình lớn của Đức trong những ngày qua.
Cuộc điều tra đề cập đến những người bất đồng chính kiến hiện đang sống tại Đức, như ông Bùi Thanh Hiếu, còn được biết qua bút hiệu Người Buôn Gió, và ông Vũ Quốc Dụng, là giám đốc của VETO, một tổ chức bảo vệ nhận quyền với trụ sở ở Berlin.
Ông Dụng chia sẻ với Đài Á Châu Tự Do rằng ông không phải là người mà các tin tặc nhắm để tấn công nhưng họ đã giả mạo tên ông để tấn công những người ông thường liên lạc:
“Tôi được một vài người liên lạc với tôi để hỏi có phải là tôi đã gửi thư cho họ không. Vì họ nghi ngờ, họ hỏi lại nên họ không bị nhiễm mã độc vì họ không mở tệp đính kèm trong đó. Sau này có một số chuyên viên IT cho biết trong tệp này có mã độc tên Cobalt Strike, nó có mục đích dọ thám máy tính của họ. Họ cũng cho biết cái mã độc này do nhóm hacker có tên APT32 hay là Ocean Lotus phát đi.”
APT32 đã từng hoạt động dưới nhiều tên, như Ocean Lotus, APT-C-00, SeaLotus và OceanBuffalo. Vào tháng 4 năm nay, hãng an ninh mạng FireEye báo cáo nhóm tin tặc APT32 của Việt Nam đã thực hiện các chiến dịch tấn công Bộ Quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán nhằm thu thập thông tin về cuộc khủng hoảng Covid-19.
Tháng 5 năm nay, họ thực hiện chiến dịch gửi email giả mạo nhắm vào những người hoạt động nhân quyền và tìm cách cài phần mềm gián điệp với tên Cobalt Strike vào máy. Ông Dụng kể tiếp:
“Họ dùng một cái email rất giống email mà tôi thường dùng. Họ gửi đến người đó với dòng tít là ‘Rò rỉ thông tin nhân sự Đại hội XIII – Dự kiến tứ trụ triều đình Cộng Sản’. Nghe cũng rất là hấp dẫn. Xong rồi họ yêu cầu mở tệp đính kèm ra. Họ sử dụng tên, địa chỉ mà chúng tôi thường dùng để liên lạc trong tính cách là (giám đốc) tổ chức để gây cảm tưởng email này là email chính thức của chính chúng tôi gửi đi. Thế nhưng có điều họ không lưu ý là những người mà họ báo cho chúng tôi, họ lấy làm lạ bởi vì chưa bao giờ mà tôi gửi thư cho họ hoặc trao đổi với họ về đề tài này cả”.
Người nhận email giả mạo danh tính của ông Dụng chính là bà Marina Mai, một nhà báo độc lập ở Berlin. Bà Mai từng viết nhiều bài trên những tờ báo lớn như nhật báo TAZ về cộng đồng người Việt tại Đức cũng như về các vấn để ở Việt Nam.
Bà thuật lại: “Vào tháng 5, tôi nhận được một email bằng tiếng Việt. Phải nói tôi chỉ hiểu được vài từ trong tiếng Việt thôi. Người gửi email này là anh Vũ Quốc Dụng từ mạng lưới nhân quyền VETO tại Đức. Anh Dụng nói tiếng Đức rất giỏi, và tôi rất ngạc nhiên tại sao anh ấy viết email cho tôi bằng tiếng Việt và tôi đã hồi âm, ‘Xin chào Mr Dụng, v.v’. Tất nhiên tôi viết bằng tiếng Đức. Sáng hôm sau tôi nhận được câu trả lời bằng tiếng Đức, nhưng ngôn ngữ tiếng Đức rất tệ, đại khái nói là đây không phải là thư rác. Vì vậy, tôi rất ngạc nhiên tại sao lúc đầu anh Dụng lại viết cho tôi bằng tiếng Việt, tại sao anh ấy lại trả lời bằng tiếng Đức rất tệ, và tại sao anh ấy lại trả lời lúc 5h sáng. Tôi nghĩ 5 giờ sáng mọi người ở Đức đang ngủ, nhưng ở Việt Nam lúc đó là ban ngày”.
Bà đã báo lại cho ông Dụng và bà không mở tệp đính kèm. Thế nhưng bà nói bà vẫn không hề có hoài nghi gì đây là nhóm tin tặc đã tấn công bà mãi cho đến khi nhóm phóng viên của đài Bayerischer Rundfunk tìm đến bà và cho biết đây là tin tặc rất có thể là do nhóm APT32. Lúc đó bà cảm tưởng như “trên trời rớt xuống”.
Bà Mai chia sẻ:“Tôi bị sốc vì tôi không nghĩ rằng tôi lại là mục tiêu của chính phủ Việt Nam, một người mà họ muốn hack và họ quan tâm đến các liên hệ của tôi… Tôi đã viết bài về vụ bắt cóc Trịnh Xuân Thanh vào mùa hè năm 2017. Tôi đã viết bài về phản ứng của chính phủ Đức và xã hội dân sự Đức về vụ bắt cóc này. Tôi là nhà báo thứ nhì trên toàn thế giới đã đưa tin về vụ bắt cóc. Nó đã gây ra một chấn động dữ dội về mặt truyền thông trên toàn thế giới. Mỗi ngày càng có thêm chi tiết được đưa ra ánh sáng.
Chính quyền Việt Nam chắc hẳn không hài lòng về những tin nói là đích thân Trung tướng Công an Nhân dân Việt Nam ông Đường Minh Hưng mặc bộ đồ lót ở trong phòng khách sạn tại Berlin, điều động vụ bắt cóc này. Việt Nam họ không thích điều đó”.
Ông Trịnh Xuân Thanh là một viên chức dầu khí cao cấp của Việt Nam. Năm 2017 bị Hà Nội truy nã vì cáo buộc tham nhũng, ông trốn qua Đức và đang làm thủ tục xin tỵ nạn chính trị tại đây khi ông bị mật vụ Việt Nam bắt cóc tại Berlin. Sự kiện đã ảnh hưởng nặng nề đến quan hệ ngoại giao giữa Đức và Việt Nam và phía chính quyền Đức đã tạm ngưng đối tác chiến lược với Hà Nội trong hơn một năm.
Nhà báo Hakan Tanriverdi thường viết về tin tặc do chính quyền báo trợ. Ông là một trong nhóm phóng viên của đài Bayerischer Rundfunk và tờ báo Zeit, thực hiện phóng sự điều tra kỹ thuật và phỏng vấn hàng loạt các cá nhân hoạt động nhân quyền. Ông chia sẻ:
“Chúng tôi đã mất tổng cộng từ 5-7 tháng xem xét nhóm (APT32) này và chúng tôi có thể kết luận ngay về tầm quy mô hoạt động của họ như thế nào. Nó bao gồm hàng trăm trang web, nhiều thực thể bị tấn công, từ các nhà hoạt động nhân quyền, xã hội dân sự, đến nhà báo… đó là một phần quan trọng. Sau đó bạn có những mục tiêu mà chúng tôi nghĩ có lợi ích chiến lược đối với chính phủ Việt Nam”.
Ông nói với những kết luận nêu trên, nhóm phóng viên đã chất vấn chính quyền Việt Nam qua tổng lãnh sự Việt Nam tại Berlin. Như những lần trước, khi bị hỏi về nhóm APT32, câu trả lời được lập lại y chang, là “những cáo buộc này không có cơ sở” và “Việt Nam nghiêm cấm các cuộc tấn công mạng nhắm vào các tổ chức và cá nhân dưới mọi hình thức”.
Nhà báo Hakan Tanriverdi nói không thể xác định 100% là nhóm APT32 do chính quyền Việt Nam điều động, nhưng tất cả chỉ dấu cho thấy như vậy:
“Nhóm này đã hoạt động từ năm 2011. Lúc đó chưa ai để ý đến tin tặc từ chính quyền. Hồi đó họ thậm chí còn chọn cho mình một cái tên Việt Nam, đó là Sinh Tử Lệnh, đại khái có nghĩa là lá cảm tử. Điều này đáng chú ý, vì nếu không quan hệ với Việt nam thì tại sao lại chọn một cái tên Việt ngữ từ một tiểu thuyết Trung Quốc. Đây không phải là bằng chứng tuyệt đối, nhưng nó là chỉ dấu đáng chú ý. Chúng tôi cũng đã nói chuyện với nhiều chuyên gia an ninh mạng khác.
Và ông Thomas Haldenwang, Chủ tịch Cơ quan Tình báo Liên bang, cũng nói với chúng tôi rằng họ thấy dấu hiệu rõ ràng rằng nhóm này đang hoạt động từ Việt Nam căn cứ trên các mục tiêu như ông Vũ Quốc Dụng, ông Bùi Thanh Hiếu đều sống ở Đức và đã bị nhóm này nhắm tới bằng các thư lừa đảo”.
Ông Tanriverdi không tiết lộ hết tất cả tên tuổi của những ai bị chính quyền Việt Nam tấn công, nhưng ông nói họ đều có một điểm chung:
“Những người này có một điểm chung là họ đều đang nỗ lực dân chủ hóa Việt Nam bằng cách này hay cách khác, như cố gắng vận động tự do cho những luật sự bị giam ở Việt Nam hoặc đưa hình ảnh, video từ Việt Nam cho thấy lực lượng an ninh Việt Nam có hành vi sai phạm như bắt dân ra khỏi nhà, cướp đất v.v.”.
Theo nhà báo Hakan Tanriverdi, từ vụ việc Trịnh Xuân Thanh và nay có thêm phát hiện về tin tặc APT32 qua cuộc điều tra mới nhất này, chính quyền Đức trong thời gian trước mắt sẽ phải đưa chương trình ngăn chặn loại tin tặc do chính quyền nước ngoài, như Iran, Nga, và Việt Nam hỗ trợ.
“Theo luật, thì tất cả mỗi người ở Đức có quyền nói những gì mình suy nghĩ. Nếu bạn bị tấn công thì bạn không thể làm được điều đó nữa”. -Ông Hakan Tanriverdi
Đối với những người bị tấn công như bà Marina Mai thì những gì hiện cảnh sát đang làm chưa đủ. Bà tố cáo chính quyền Đức đã quan tâm đến các hãng xưởng lớn của Đức khi họ bị tin tặc xâm nhập vào máy, nhưng họ đã bỏ qua những người hoạt động vì nhân quyền.
Bà nói, “Cơ quan mật vụ Đức biết nhóm hacker Việt Nam Ocean Lotus, nhưng họ đã không thông báo cho những người có máy tính bị tấn công. Năm trước, cơ quan mật vụ đã thông báo cho các công ty ô tô lớn như BMW rằng họ nên kiểm tra máy tính của họ về hoạt động tin tặc xâm nhập từ Việt Nam, nhưng lời cảnh báo đó đã không được truyền đến những người bất đồng chính kiến và những nhà hoạt động nhân quyền”.
Bà Marina Mai nói bà phải tự suy nghĩ cách để tự vệ mình. Tuy nhiên bà cũng đã đề nghị ông Vũ Quốc Dụng nộp thư tố cáo hành vi trộm cắp danh tính của ông, và ông đã thực hiện như thế. Trong lúc chờ đợi cảnh sát điều tra, ông đã đổi email mới.
Nhà báo Hakan Tanriverdi nói, “Theo luật, thì tất cả mỗi người ở Đức có quyền nói những gì mình suy nghĩ. Nếu bạn bị tấn công thì bạn không thể làm được điều đó nữa”.
Thế nhưng nhà báo độc lập Marina Mai nói bà không sợ và bà hiện đang chuẩn bị một phóng sự về Bộ Trưởng Bộ Công an Tô Lâm liên quan đến đường dây ma túy. Bài báo dự kiến xuất bản tuần này.
https://thoibao.
Không có nhận xét nào