Có phải tin tặc Việt Nam đã nhắm vào chính phủ Trung Quốc để lấy thông tin về COVID-19?
Giáo sư Carl Thayer
Vào ngày 22 tháng 4, FireEye, một hãng an ninh mạng của Hoa Kỳ đã báo cáo rằng ít nhất từ tháng 1 đến tháng 4 năm 2020, các nghi phạm trong nhóm tin tặc APT32 của Việt Nam đã thực hiện các chiến dịch tấn công nhằm thu thập thông tin về cuộc khủng hoảng COVID-19 của Trung Quốc. Các mục tiêu bị tấn công là Bộ Quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán.
Một ngày sau đó, phát biểu tại một cuộc họp báo thường kỳ, Phó phát ngôn viên của Bộ Ngoại giao Việt Nam Ngô Toàn Thắng cho rằng cáo buộc này không có cơ sở. Ông khẳng định “Việt Nam nghiêm cấm các cuộc tấn công mạng nhắm vào các tổ chức và cá nhân dưới mọi hình thức”.
Bài viết này tìm hiểu sự phát triển lịch sử của nhóm hacker APT32 và những cáo buộc nhóm này có liên quan đến chính phủ Việt Nam. Trong đó, APT là chữ viết tắt của Advanced Persistent Threat, tức mối đe dọa liên tục nâng cao.
APT32 lần đầu tiên được xác định vào năm 2012 khi nhóm hacker này khởi xướng các cuộc tấn công mạng vào Trung Quốc và sau đó mở rộng sang các mục tiêu ở Việt Nam và Philippines. APT32 còn được gọi là OceanLotus, APT-C-00, SeaLotus và OceanBuffalo.
Vào năm 2016, Cybereason, công ty tình báo về các mối đe dọa trên mạng, đã phát hiện ra rằng hãng này đã bị tấn công mạng cả năm trời mà những liên kết của các cuộc tấn công này đều dẫn đến APT32. Tin tặc APT32 tấn công nhắm vào sở hữu trí tuệ, thông tin kinh doanh bí mật và chi tiết những dự án của Cybereason. Khi Cybereason chuyển sang chặn APT32, nhóm hacker này tỏ ra là một đối thủ linh hoạt đã nhanh chóng dùng đến các công cụ tự tạo để vào lại hệ thống của Cybereason.
Cũng trong năm 2016, một nhà phân tích ứng phó sự cố tại FireEye với kinh nghiệm xử lý khoảng mười hai cuộc xâm nhập mạng APT32 đã kết luận rằng mục đích tấn công của APT32 có vẻ như phục vụ lợi ích nhà nước Việt Nam. Nhà phân tích của FireEye đã kết luận rằng APT32 có thể thực hiện đồng thời nhiều chiến dịch, và có đủ nguồn lực cũng như khả năng để thực hiện các cuộc tấn công mạng quy mô lớn, đặc biệt là giám sát và kiểm tra dữ liệu. Trong một báo cáo được công bố vào tháng 5 năm 2017, FireEye đã đánh giá rằng APT32 là một nhóm gián điệp mạng dính đến lợi ích của chính phủ Hà Nội.
Nick Carr, Giám đốc của FireEye đã theo dõi APT32 từ năm 2012 tiết lộ rằng một cuộc điều tra được thực hiện vào năm 2017 về các vụ tấn công ở châu Á, Đức và Hoa Kỳ đã phát hiện ra rằng nhóm này đã dành ít nhất ba năm để nhắm vào các tập đoàn nước ngoài có quyền lợi ở Việt Nam trong lĩnh vực sản xuất, sản phẩm tiêu dùng và khách sạn.
Năm 2018, có nhiều báo cáo rằng OceanLotus/APT32 đã tham gia vào hoạt động gián điệp công nghiệp trong hai năm qua nhắm vào các nhà sản xuất ô tô BMW, Toyota và Huyndai. Các hãng truyền thông đã trích dẫn lời những nhà phân tích mạng cho biết các cuộc xâm nhập mạng dường như để hỗ trợ mục tiêu sản xuất của Việt Nam.
Ngoài ra, Volexity, một công ty an ninh mạng, đã báo cáo vào năm 2019 rằng APT32 đã thực hiện chiến dịch tấn công và giám sát kỹ thuật số hàng loạt rất tinh vi và cực kỳ rộng rãi nhằm vào các phương tiện truyền thông, nhân quyền và các nhóm xã hội dân sự cũng như Hiệp hội các quốc gia Đông Nam Á. Công ty an ninh mạng CrowdStrike đã lưu ý vào cuối năm 2019 rằng sự bùng phát trong hoạt động gián điệp của Việt Nam, tức APT 32, đã bắt đầu từ năm 2012 và gia tăng kể từ năm 2018, được cho là gắn liền với chính phủ Việt Nam.
APT32, COVID-19 và thu thập tin tức
Phần này trình bày về những yếu tố có thể thúc đẩy chính phủ Việt Nam giao nhiệm vụ cho APT32 tấn công vào một bộ của chính phủ Trung Quốc và chính quyền thành phố để có được thông tin về COVID-19.
Truyền thông đưa tin cho hay Trung tâm Tình báo Y tế Quốc gia Hoa Kỳ (NCMI) dựa trên phân tích điện báo và dữ liệu từ máy tính cũng như hình ảnh vệ tinh, đã kết luận rằng một căn bệnh truyền nhiễm lan qua Vũ Hán và khu vực xung quanh có nguy cơ ảnh hưởng đến sức khỏe người dân. NCMI đã đưa ra một báo cáo mật vào cuối tháng 11 năm 2019 cảnh báo rằng một căn bệnh ngoài tầm kiểm soát sẽ gây ra mối đe dọa nghiêm trọng cho các lực lượng của Hoa Kỳ ở Châu Á. NCMI báo cáo tóm tắt vấn đề này đến Cơ quan Tình báo Quốc phòng, Bộ tham mưu Lầu năm góc và Nhà Trắng.
Không có lý do rõ ràng nào lý giải việc tại sao chính phủ Hà Nội không thể phát hiện ra căn bệnh lây lan này vào tháng 11-12/2019 thông qua các nguồn tin tình báo do con người thu thập và tình báo tín hiệu qua theo dõi mạng internet tiếng Trung. Nếu phát hiện, phản ứng đầu tiên của Việt Nam sẽ là thử và xác định COVID-19 gây chết người như thế nào. Đồng thời tìm hiểu càng nhiều càng tốt về căn bệnh mới cũng như khả năng ảnh hưởng của nó đối với Việt Nam. Các nhà ngoại giao Việt Nam tại Trung Quốc nên được giao nhiệm vụ lấy thông tin này từ các những viên chức tương nhiệm Trung Quốc.
Do Trung Quốc thiếu minh bạch về sự lây lan của coronavirus đến tháng 1, nhiều khả năng các quan chức Bắc Kinh đã không đáp ứng yêu cầu cung cấp thông tin từ phía các đồng sự Hà Nội. Sự thiếu minh bạch của Trung Quốc sẽ khiến các nhà lãnh đạo Việt Nam đưa ra chỉ thị, hoặc giao nhiệm vụ cho các cơ quan tình báo và quan chức khác nhau của Hà Nội ở Trung Quốc ưu tiên thu thập tất cả thông tin nguồn về coronavirus. Điều này sẽ bao gồm các nguồn mở như internet, Weibo – một dạng Facebook của Trung Quốc, các trang blog và các ấn phẩm điện tử.
Việt Nam có thể đã tiếp cận được thông tin tình báo có được từ các dịch vụ tình báo thân thiện thông qua liên lạc và trao đổi thông thường. Việt Nam có thể đã có yêu cầu cung cấp thông tin, chia sẻ thông tin hoặc được cung cấp thông tin. Ở mức tối thiểu, các cuộc thảo luận liên lạc có thể đã tiết lộ mối quan tâm chung về COVID-19.
Ngoài ra, Việt Nam cũng có thể có được thông tin từ các nguồn thông tin tình báo nhân sự. Đó là các nguồn bao gồm các quan chức chính phủ Trung Quốc, ngành vụ an ninh, nhân viên y tế, các nhà khoa học nghiên cứu và công dân bình thường ở Trung Quốc và đặc biệt ở Vũ Hán. Các nguồn thông tin nhân sự cũng bao gồm các cư dân Việt và nước ngoài tại Trung Quốc, đặc biệt là ở Vũ Hán, như các doanh nhân, sinh viên và khách du lịch.
Tóm lại, các nguồn tình báo cả con người và tín hiệu có khả năng đã xác nhận những tin đồn đầu tiên về sự xuất hiện và lan truyền của COVID-19 đến giới thu thập tin tình báo Việt Nam. Một báo cáo của FireEye cáo buộc rằng cuộc xâm nhập mạng đầu tiên của Việt Nam nhằm thu thập thông tin về COVID-19 đã được khởi xướng tấn công Bộ quản lý khẩn cấp Trung Quốc và chính quyền thành phố Vũ Hán vào ngày 6 tháng 1 năm 2020 và tiếp tục trong suốt quý đầu tiên của năm. Sự thiếu minh bạch của Trung Quốc có thể là một yếu tố thúc đẩy quan trọng đằng sau quyết định này.
Kết luận
Bằng chứng công khai rằng APT32 được liên kết với chính phủ Việt Nam dựa trên sự giám sát lâu dài những phương thức hoạt động của các công ty an ninh mạng chuyên nghiệp. APT32 hành động chống lại các nhà bất đồng chính kiến Việt Nam trong và ngoài nước và nhắm vào các doanh nghiệp thương mại nước ngoài cho thấy có thể nhóm hacker này có liên kết với Bộ Công an.
Năm 2017, Bộ Quốc phòng đã thành lập Bộ Tư lệnh Tác chiến Không gian mạng. Có thể nhóm tin tặc APT32 được đặt dưới trướng của Bộ Tư lệnh Không gian mạng mới này.
Sách trắng quốc phòng gần đây nhất của Việt Nam được phát hành vào cuối năm 2019 tuyên bố ‘Việt Nam sẵn sàng sử dụng mọi biện pháp phù hợp luật pháp quốc tế để phòng ngừa và ngăn chặn các cuộc tấn công mạng nhằm bảo vệ chủ quyền và lợi ích quốc gia trong không gian mạng.’
Thật khó tưởng tượng được rằng Bộ Tư lệnh Tác chiến Không gian mạng đã không phát triển một số khả năng phản công có thể cho phép nó hack máy tính của chính phủ Trung Quốc trong trường hợp bắt buộc.
Tuy nhiên, cũng có lý khi APT32 là một đơn vị của Bộ Thông tin và Truyền thông, hay một bộ khác, hoặc một đơn vị độc lập báo cáo thẳng cho các nhà lãnh đạo cao nhất của đảng và nhà nước Việt Nam.
RFA
Giáo sư Carl Thayer là Giáo sư danh dự và là thành viên thỉnh giảng của Trường Nhân văn và Khoa học xã hội, Đại học New South Wales tại Học viện Quốc phòng Úc ở Canberra.