“Như một mẩu chuyện Trung Quốc được thu nhỏ”, các nhà nghiên cứu bình luận về sự kiện một nhóm tin tặc Việt Nam, học hỏi cách làm của tin tặc Trung Quốc, đã sử dụng những cách thức tấn công mạng tinh vi để do thám đối thủ kinh tế và giúp Việt Nam bắt kịp những nhà sản xuất ô tô trên thế giới.
Công ty an ninh mạng CrowdStrike Inc cho hay trong hai năm qua, một nhóm tin tặc được biết đến dưới tên gọi APT32, tin rằng có mối dây liên hệ với chính phủ Việt Nam, đã phát triển hàng loạt vụ đột nhập và do thám trên mạng, đặc biệt tại khu vực Đông Nam Á. Công ty an ninh mạng nói hoạt động của nhóm này bao gồm việc ăn cắp tài sản trí tuệ, một hành vi mà xưa nay những tin tặc Trung Quốc thường nổi tiếng khắp thế giới.
Mục tiêu chủ yếu của nhóm APT32 là kỹ nghệ ô tô. Ví dụ APT32 đã tạo ra những tên miền giả của tập đoàn ô tô Toyota và Hyundai, từ đó nỗ lực xâm nhập vào mạng lưới của những nhà sản xuất ô tô. Phát ngôn nhân của hãng Toyota Brian Lyons cho biết hồi tháng Ba năm 2019, Toyota phát hiện mình bị tin tặc nhắm đến thông qua một công ty con của hãng này là Toyota Tokyo Sales Holdings Inc. Một nhân viên của Toyota, từng được đề nghị trao đổi nặc danh với tổ chức tin tặc này, đã xác nhận rằng đó là nhóm APT32.
Vietnam cũng nhắm đến những công ty Mỹ đang kinh doanh các mặt hàng thích hợp với kinh tế Việt Nam, bao gồm các sản phẩm hàng hoá tiêu thụ.
Andrew Grotto là nhà nghiên cứu tại trường đại học Stanford, ông từng là Giám Đốc Cao Cấp về chính sách an ninh mạng tại Hội Đồng An Ninh Quốc Gia Hoa Kỳ từ cuối năm 2015 tới giữa năm 2017. Ông nói “Điều thay đổi gần đây, và điều này phát triển giống như xu hướng chung của các hoạt động của tin tặc trên thế giới, đó là bọn chúng ngày càng tinh vi hơn. Bọn chúng có thể phát triển những thiết bị của riêng mình, cùng lúc đó liên lạc với thị trường phần mềm hacker toàn cầu để mua sắm những thiết bị tấn công phổ biến khác”.
Theo CrowdStrike, các hoạt động gián điệp kinh tế của Việt Nam tăng nhẹ bắt đầu từ năm 2012, và hoạt động dữ dội nhất kể từ năm 2018, khi chính phủ của tổng thống Trump tìm cách kiềm chế cái việc mà nhiều người tin là sự ăn cắp tài sản trí tuệ lan tràn của Trung Quốc. Cựu giám đốc cơ quan tình báo quốc gia Mỹ Keith Alexander, từng phục vụ dưới thời tổng thống Barack Obama và George W. Bush, đã gọi những hoạt động ăn cắp của Trung Quốc là “sự di chuyển tài sản lớn nhất trong lịch sử”.
Theo Eric Rosenbach, đồng giám đốc Trung tâm Khoa học và Quan hệ Quốc tế Belfer, thuộc Harvard Kennedy School, và cũng là cựu trợ lý Bộ trưởng Quốc phòng Mỹ về an ninh toàn cầu dưới thời Obama, các hacker Việt Nam đã học theo các phương pháp tấn công mạng của Trung Quốc, cũng như các hacker làm việc cho chính phủ này đã nhìn thấy “sự thành công” của Trung Quốc trong việc xây dựng các khả năng xâm nhập hệ thống an ninh mạng và giám sát. Kết quả là họ đã có thể tự xây dựng hoặc mua về cho riêng mình những khả năng đó “cho dù với mục đích giành lợi ích kinh tế hay ăn cắp tài sản trí tuệ”, ông Eric nói.
‘Hoa Sen Đại Dương’
Theo lời giám đốc công ty an ninh mạng FireEye Inc Nick Carr, công ty ông đã lần theo dấu vết của nhóm APT32, còn gọi là ‘Hoa Sen Đại Dương’, từ năm 2012. Năm 2017, công ty này đã điều tra một loạt các vụ đột nhập các trang mạng tại Mỹ, Đức và nhiều quốc gia khác ở Á Châu. Công ty tìm thấy có một nhóm trong ít nhất ba năm đã tấn công các chính phủ ngoại quốc, các nhà báo, người bất đồng chính kiến và “các tập đoàn ngoại quốc có đặt lợi ích kinh tế tại Việt Nam trên các lãnh vực sản xuất, các mặt hàng tiêu thụ và lĩnh vực nhà hàng khách sạn”.
Phúc trình của FireEye cho biết “mức độ xâm nhập của APT32 tinh vi với những phần mềm đầy đủ tính năng, có liên quan với một vài công cụ có sẵn trên thị trường hacker, để thực hiện các vụ đột nhập được nhắm đến, vì lợi ích của chính quyền Việt Nam”.
Theo John Hultquist, giám đốc Phân tích Tình báo của FireEye, phương pháp thường được APT32 sử dụng là đăng ký tên miền giống với các công ty xe hơi – một động thái nhằm dọn đường cho các vụ tấn công, trong đó các tài khoản cá nhân bị ăn cắp để xâm nhập vào các mạng lưới nội bộ. Ông nói:
“Gần đây nhất, chúng tôi thấy các hoạt động đăng ký tên miền tình nghi do APT32 thực hiện, các tên miền này giống các công ty sản xuất ô tô. Những hoạt động này xác nhận APT32 vẫn quan tâm tới những hãng sản xuất ô tô ngoại quốc đang làm ăn tại Việt Nam”.
FireEye cũng nhận thấy APT32 thu thập thông tin về hoạt động của một tập đoàn (được giấu tên) đang kinh doanh tại Việt Nam, sau đó chọn lựa thông tin để phát tán ra cộng đồng nhằm tạo ảnh hưởng dư luận tới tập đoàn đó.
Theo Marc-Etienne M.Léveillé, nhà nghiên cứu thuộc công ty an ninh mạng của Slovakia tên là Eset, thì gần đây APT32 sử dụng mạng xã hội Facebook để nhắm tới những cá nhân hoạt động nổi bật liên quan tới chính trị Việt Nam. Hacker của nhóm APT32 gởi các tin nhắn trên Facebook hoặc gởi các trang Facebook chứa một album ảnh. Khi nạn nhân rê chuột qua album ảnh, một trong các bức ảnh là một tập tin ‘độc hại’ sẽ cài phần mềm do thám vào máy chủ.
Steven Adair, nhà sáng lập công ty an ninh mạng Volexity, Inc cho biết những nhà bất đồng chính kiến là một phần của chiến dịch giám sát của APT32, bao gồm việc tấn công vào những website nổi tiếng mà các nhà hoạt động thường theo dõi, sau đó sử dụng các trang đó để lần theo hoạt động của họ trên mạng và thu thập thông tin.
Phúc trình của Volexity cho biết APT32 đã thực hiện một “chiến dịch tấn công và giám sát mạng rộng lớn và tinh vi”, nhắm đến các quốc gia Á Châu, truyền thông, các nhóm liên hệ tới nhân quyền và xã hội dân sự, cũng như Hiệp Hội các Quốc Gia Đông Nam Á.
