• Blog

Nhấp chuột và Mồi nhử: Các nhà bảo vệ nhân quyền Việt Nam bị tấn công bằng phần mềm gián điệp

Một cuộc điều tra mới của Ân xá Quốc tế vừa xác định một chiến dịch tấn công bằng phần mềm gián điệp nhắm vào những người bảo vệ nhân quyền (HRDs) Việt Nam từ tháng 2 năm 2018 đến tháng 11 năm 2020. Phòng Nghiên cứu An ninh của Ân xá Quốc tế cho rằng các cuộc tấn công này là do một nhóm hacker có tên là Ocean Lotus thực hiện. Nhóm này hoạt động từ năm 2014, chuyên nhắm vào các công ty tư nhân và HRDs.

Phòng Nghiên cứu An Ninh của Ân xá Quốc tế đã điều tra và xác định những vụ tấn công bằng phần mềm gián điệp này là bằng chứng mới đây nhất về tình trạng đàn áp tự do biểu đạt tại Việt Nam và chống lại các nhà hoạt động Việt Nam tại nước ngoài.

Lịch sử các cuộc đàn áp trên không gian mạng ở Việt Nam

Nhân quyền đang ngày càng bị vi phạm cả ngoại tuyến và trực tuyến ở Việt Nam. Trong suốt 15 năm qua, tình trạng đàn áp liên quan đến các hoạt động trực tuyến đã gia tăng đáng kể ở Việt Nam, dẫn tới một làn sóng quấy rối, đe dọa, hành hung, và truy tố.

Ân xá Quốc tế đã ghi nhận kể từ năm 2006 nhiều trường hợp bắt giam và truy tố các nhà bảo vệ nhân quyền tại Việt Nam để trả đũa việc họ biểu đạt trên mạng. Cùng năm đó, cựu tù nhân lương tâm Trương Quốc Huy  bị bắt giữ tại một internet café ở Thành phố Hồ Chí Minh.

Nhiều nhà hoạt động và blogger đã bị kết án vì tội “tuyên truyền chống Nhà nước”. Blogger bảo vệ nhân quyền Nguyễn Ngọc Như Quỳnh (Mẹ Nấm) đã bị kết án 10 năm tù vào tháng 6 năm 2017 với tội danh này.

Các nhà hoạt động và các blogger cũng phải thường xuyên đối mặt với những vụ hành hung của các quan chức hay những kẻ côn đồ có liên quan tới chính phủ. Cảnh sát đặt các nhà hoạt động trong tình trạng quản thúc tại gia hoặc bị giam giữ một thời gian ngắn để ngăn cản họ không được tham gia vào các sự kiện công cộng. Chính phủ cũng sử dụng lệnh cấm đi lại để ngăn cản các nhà hoạt động và những người bảo vệ nhân quyền đi ra nước ngoài và tham gia các hoạt động với cộng đồng quốc tế.

Vào tháng 12 năm 2020, Ân xá Quốc tế đã công bố báo cáo “Hãy để chúng tôi thở”, nói về tình trạng hình sự hóa, quấy rối trực tuyến và các vụ hành hung lan rộng mà các nhà hoạt động và bloggers phải đối mặt, ngoài ra, báo cáo còn cho thấy sự gia tăng về số lượng người bị giam giữ vì biểu đạt ôn hoà trên mạng. Ân xá Quốc tế cũng đã chỉ ra tình trạng đồng lõa ngày càng tăng của các công ty công nghệ khổng lồ như Facebook và Google với chế độ kiểm duyệt hà khắc của chính quyền Việt Nam, mà theo đó bất cứ biểu đạt bất đồng ôn hòa nào cũng đều có thể bị ngăn chặn hoặc hạn chế.

Các nhà hoạt động và HRDs bị bỏ tù, sách nhiễu, tấn công và bị kiểm duyệt đến mức phải buộc im tiếng bỡi các bộ luật mơ hồ và có phạm vi rất rộng vốn không tuân thủ các tiêu chuẩn nhân quyền quốc tế. Vào tháng 1 năm 2019,bộ luật gây nhiều tranh cãi, Luật An ninh Mạng  bắt đầu có hiệu lực tại Việt Nam, bộ luật này cho phép chính phủ có quyền lực rộng lớn trong việc hạn chế quyền tự do trên mạng, buộc các công ty công nghệ phải giao nộp một lượng dữ liệu rất lớn và kiểm duyệt nội dung của người dùng.

Nhóm Ocean Lotus là ai?

Giới an ninh mạng, bao gồm tất cả các nhà nghiên cứu độc lập và làm việc cho các công ty, thường xuyên nghiên cứu và công bố thông tin về các nhóm tấn công mạng nhắm vào các công ty và các chính phủ. Họ thường đặt tên không chính thức cho các nhóm hacker mà họ liên tục theo dõi dựa trên các chiến thuật và công cụ đặc biệt riêng của mỗi nhóm. Ocean Lotus (hay còn gọi là APT32 hoặc APT-C-00) là một trong những nhóm này.

Vụ tấn công đầu tiên được biết đến của Ocean Lotus xảy ra vào năm 2014. Họ nhắm vào tổ chức phi chính phủ có trụ sở tại Mỹ Electronic Frontier Foundation (EFF), hãng tin quốc tế Associated Press và hai nhà hoạt động người Việt Nam. Nhóm này được đặt tên là Ocean Lotus trong một báo cáo từ công ty Trung Quốc Qihoo 360 vào tháng 5 năm 2015. Vào năm 2017, Công ty an ninh mạng của Mỹ, FireEye, đã công bố một báo cáo qui trách nhiệm của vụ tấn công EFF năm 2014 và các vụ tấn công khác cho nhóm Ocean Lotus này.

Trong những năm qua Ocean Lotus đã phát triển được một bộ công cụ phần mềm gián điệp tinh vi bao gồm một vài biến thể của phần mềm gián điệp Mac OS, phần mềm gián điệp Android phần mềm gián điệp Windows. Họ cũng tổ chức những cuộc xâm nhập có tính chiến lược vào các websites để xác định danh tính những người truy cập và tiến hành nhắm mục tiêu thêm nhiều người nữa. Mới gần đây, Ocean Lotus bị phát hiện đã tạo các trang web truyền thông giả dựa trên các nội dụng được thu thập tự động trên mạng.

Một phần quan trọng trong các hoạt động của nhóm này là nhắm vào HRDs và xã hội dân sự. Năm 2017, công ty an ninh mạng Volexity tiết lộ hơn 100 websites đã bị xâm nhập, bao gồm nhiều trang thuộc các tổ chức nhân quyền từ Việt Nam, trong một chiến dịch tấn công mà họ cho là do Ocean Lotus thực hiện. Ngoài ra còn có nhiều cuộc tấn công bằng phần mềm gián điệp khác có liên quan tới Ocean Lotus chống lại các tổ chức nhân quyền cũng đã được báo cáo, như vụ nhắm vào Tổ chức nhân quyền Campuchia, LICADHO vào năm 2018.

Dựa trên danh sách các công ty và các nhóm xã hội dân sự bị nhắm mục tiêu đã xác định được, công ty an ninh mạng FireEye đã miêu tả hoạt động của Ocean Lotus là “phù hợp với lợi ích của nhà nước Việt Nam”. Tháng 12 năm 2020, Facebook cũng công bố một báo cáo về một mối đe doạ gắn các hoạt động của Ocean Lotus với một công ty Việt Nam có tên là CyberOne Group (Nhóm CyberOne). Mặc dù Ân xá Quốc tế không thể xác minh độc lập bất kỳ mối liên hệ trực tiếp nào giữa Ocean Lotus với CyberOne hoặc với các cơ quan chức năng của Việt Nam, nhưng những vụ tấn công được miêu tả trong cuộc điều tra này đã khẳng định đó là một mô hình tấn công nhằm vào các cá nhân và các tổ chức Việt Nam.

Các vụ tấn công nhắm vào HRDs

Cuộc điều tra do Phòng Nghiên cứu An ninh của Ân xá Quốc tế thực hiện đã cho thấy hai nhà bảo vệ nhân quyền và một tổ chức nhân quyền phi lợi nhuận Việt Nam đã bị nhắm mục tiêu bởi một chiến dịch tấn công bằng phần mềm gián điệp có phối hợp. Phần mềm gián điệp này cho phép theo dõi toàn bộ một hệ thống bị xâm nhập, gồm cả việc đọc và ghi tệp hoặc khởi động các chương trình độc hại khác.

Bùi Thanh Hiếu, còn được biết đến với nickname “Người Buôn Gió”, là một blogger và một nhà hoạt động dân chủ người Việt Nam. Ông viết về công bằng kinh tế, xã hội và các quyền con người. Ông cũng chỉ trích các chính sách và hành động của chính phủ Việt Nam có liên quan đến quan hệ với Trung Quốc, bao gồm cả tranh chấp chủ quyền tại Biển Đông. Do các bài viết và hoạt động của ông, mà ông đã bị rút giấy phép kinh doanh một Internet café tại Hà Nội  và nhiều lần bị trả thù. Ông bị bắt cùng với nhà hoạt động Phạm Đoan Trang và Nguyễn Ngọc Như Quỳnh vào năm 2009 và bị công an tạm giam 10 ngày vì “lợi dụng quyền tự do dân chủ, xâm phạm lợi ích Nhà nước”. Vào tháng 1 năm 2013, Bùi Thanh Hiếu đưa tin về phiên xử 14 người bất đồng chính kiến tại Việt Nam và đã bị bắt giữ nhưng ông được thả sau vài ngày. Kể từ đó ông rời Việt Nam và sang sống lưu vong tại Đức từ năm 2013.

  Sáng kiến Thể hiện Lương tâm Người Việt Hải ngoại (VOICE) là một tổ chức phi lợi nhuận hỗ trợ người tị nạn Việt Nam và thúc đẩy nhân quyền tại Việt Nam. Tổ chức này được thành lập vào năm 1997 tại Manila, Philippines như một văn phòng trợ giúp pháp lý, trước khi chính thức đăng ký hoạt động tại Hoa Kỳ vào năm 2007. VOICE tiếp tục mở rộng các hoạt động ra khỏi Manila và đã giúp hơn 3.000 người Việt tị nạn được tái định cư tại các nước thứ ba. Từ năm 2011, VOICE đã vận hành một chương trình thực tập nhằm trang bị cho người Việt Nam kiến thức, kỹ năng và công cụ để trở thành những nhà hoạt động hiệu quả. Tổ chức này đã một vài lần bị chính quyền Việt Nam trả đũa. Nhân viên tại VOICE nói với Ân xá Quốc tế rằng nhân viên và thực tập sinh đã bị quấy rối, cấm đi lại và bị tịch thu hộ chiếu khi họ trở về Việt Nam. Thêm vào đó truyền thông nhà nước đã thực hiện một chiến dịch bôi nhọ không có căn cứ chống lại VOICE, nói rằng tổ chức này là một nhóm khủng bố.

Mt blogger cư trú ti Vit Nam, do quan ngại về vấn đề an ninh nên không nêu danh tính, cũng được Phòng Nghiên cứu An ninh xác định đã bị Ocean Lotus nhắm mục tiêu. Người này được biết đến là người công khai lên tiếng v s kin Đng Tâm xảy ra ngày 9 tháng 1 năm 2020, khi khoảng 3.000 nhân viên an ninh từ Hà Nội đột kích vào làng Đồng Tâm và giết chết vị trưởng thôn 84 tuổi, ông Lê Đình Kình. Ba cảnh sát cũng bị thiệt mạng. Vụ Đồng Tâm đã làm bùng nổ làn sóng phản đối kịch liệt trên toàn quốc tại Việt Nam. Các nhà hoạt động và các blogger mở ra các cuộc tranh luận trực tuyến công khai, việc này đã khiến chính phủ mở chiến dịch đàn áp những biểu đạt trên mạng trên toàn quốc. Cả VOICE và hai blogger nêu trên đều nhận được email chứa phần mềm gián điệp trong khoảng thời gian từ tháng 2năm 2018 đến tháng 11 năm 2020.

Những email này được ngụy trang thành email chia sẻ một tài liệu quan trọng. Chúng chứa phần mềm gián điệp dưới dạng tệp đính kèm hoặc dưới dạng đường liên kết (link). Sau khi được tải xuống và chạy trên máy tính của nạn nhân, phần mềm gián điệp sẽ mở một tài liệu mồi, có nội dung phù hợp với những gì email này chia sẻ để lừa nạn nhân khiến họ tin rằng tệp đó là vô hại.

Ảnh chụp màn hình thư gửi tới VOICE vào tháng 4 năm 2020

Phòng Nghiên cứu An Ninh đã xác định phần mềm gián điệp này là cho hệ điều hành Mac OS hoặc Windows. Phần mềm gián điệp cho Windows là một biến thể của dòng phần mềm độc hại mang tên Kerrdown và được sử dụng độc quyền bỡi nhóm Ocean Lotus. Kerrdown là một trình tải xuống có thể cài thêm phần mềm gián điệp từ một máy chủ lên hệ điều hành của nạn nhân và mở một tài liệu mồi được thiết kế sẵn. Trong trường hợp này, nó tải xuống Cobalt Strike, một bộ công cụ phần mềm gián điệp thương mại do công ty Strategy Cyber của Hoa Kỳ làm ra và thường được sử dụng hợp pháp để định kỳ kiểm tra mức độ an ninh của các tổ chức thông qua các cuộc tấn công mô phỏng. Nó cho phép người thực hiện vụ tấn công có thể truy cập vào toàn bộ  hệ thống những máy đã bị xâm nhập, bao gồm thực thi các tập lệnh (executing scripts), chụp màn hình hay ghi lại trình tự tổ hợp phím (logging keystrokes). Các phiên bản không có giấy phép của Cobalt Strikes đang ngày càng được các nhóm chuyên tấn công mạng sử dụng trong đó có Ocean Lotus, trong hơn ba năm qua.

theo phân tích của Trend Micro vào tháng 4 năm 2018tháng 11 năm 2020 thì phần mềm gián điệp cho Mac OS là một biến thể của dòng phần mềm độc hại cho hệ điều hành Mac OS được chính Ocean Lotus phát triển và cũng được sử dụng độc quyền bởi nhóm này. Nó cho phép kẻ xâm nhập truy cập thông tin hệ điều hành, tải xuống, tải lên hoặc chạy các tệp tin và chạy các lệnh.

Giám sát bất hợp pháp: Mối đe dọa đối với nhân quyền

Cuộc điều tra của chúng tôi không thể quy kết các hoạt động của Ocean Lotus cho bất kỳ công ty hoặc tổ chức nào của chính phủ. Tuy nhiên, danh sách dài những người và tổ chức bị Ocean Lotus nhắm đến trong nhiều năm qua cho thấy trọng tâm rõ ràng của Ocean Lotus là nhắm mục tiêu vào các nhóm nhân quyền, truyền thông độc lập Việt Nam và các nước lân cận. Điều này đặt ra câu hỏi là liệu Ocean Lotus có liên hệ gì với các tổ chức của nhà nước Việt Nam hay không? Từ những bằng chứng cho thấy sự liên quan giữa Ocean Lotus và Việt Nam có thể sẽ khiến giới chức trách Việt Nam tiến hành một cuộc điều tra khách quan, kỹ lưỡng và độc lập về các hoạt động bất hợp pháp và các vi phạm nhân quyền của nhóm này.

Theo luật nhân quyền quốc tế, việc dùng công nghệ giám sát kỹ thuật số nhắm vào những người bảo vệ nhân quyền là bất hợp pháp. Giám sát bất hợp pháp là vi phạm quyền riêng tư và cản trở các quyền như: quyền tự do ngôn luận và quan điểm, quyền tự do lập hội và hội họp ôn hòa. Cả Tuyên ngôn Nhân quyền và Công ước Quốc tế về các Quyền Dân sự và Chính trị đều bảo vệ các quyền này. Công ước đảm bảo quyền giữ quan điểm mà không bị can thiệp và quyền tự do biểu đạt (Điều 19) và bảo vệ chống lại hành động xâm phạm tùy tiện và bất hợp pháp tới quyền riêng tư (Điều 17). Luật pháp và các tiêu chuẩn quốc tế cũng yêu cầu bất kỳ sự can thiệp nào của nhà nước vào quyền riêng tư đều phải hợp pháp, cần thiết, có mức độ phù hợp và chính đáng. Các quốc gia tham gia công ước được yêu cầu phải đảm bảo rằng các cá nhân bị vi phạm các quyền này có quyền được đền bù khắc phục (Điều 2 (3)). Nó cũng bao gồm nghĩa vụ tích cực thực hiện các biện pháp thích hợp để ngăn chặn, trừng phạt, điều tra hoặc khắc phục thiệt hại do các hành vi xâm phạm những quyền trên của cá nhân hoặc tổ chức gây ra.

Hoạt động giám sát có mục tiêu do Ocean Lotus thực hiện này là một phần của chiến dịch rộng lớn hơn về kiểm duyệt và hình sự hóa việc biểu đạt trên không gian mạng ở Việt Nam. Điều này đã được miêu tả kỹ càng trong báo cáo “Hãy để chúng tôi thở” của Ân xá Quốc tế. Ngoài việc kiểm duyệt nội dung chính trị có sự đồng lõa của các công ty “công nghệ lớn” như Google và Facebook và việc hình sự hóa các blogger, báo cáo còn miêu tả hành vi quấy rối và lạm dụng trên không gian mạng một cách có hệ thống đối với các nhà hoạt động. Trong bối cảnh đó, những vụ tấn công này càng làm suy giảm khả năng của HRDs trong việc thực thi các quyền tự do biểu đạt, có chính kiến và hội họp ôn hòa. Việc nhắm vào những người này chỉ vì họ ôn hoà thực thi các quyền con người của mình là việc làm bất hợp pháp. Chính phủ Việt Nam nên tiến hành một cuộc điều tra độc lập và minh bạch về các vụ tấn công này và đảm bảo rằng những người khiếu nại về việc các quyền con người của họ  bị vi phạm do bị giám sát cần được cung cấp các biện pháp khắc phục pháp lý có hiệu quả.

Ân Xá Quốc Tế đã gửi những gì điều tra được đến các cơ quan chức năng của Việt Nam, nhưng cho đến thời điểm ra mắt báo cáo này vẫn chưa nhận được bất cứ phản hồi nào

Khuyến nghị

Ti các cơ quan chc năng của Việt Nam:

  • Tiến hành một cuộc điều tra độc lập, khách quan và minh bạch về các hoạt động giám sát bất hợp pháp đối với những người bảo vệ nhân quyền được nêu trong bản báo cáo này, bao gồm việc điều tra nhóm Ocean Lotus và xác định xem có liên hệ nào giữa chiến dịch phần mềm gián điệp với bất cứ cơ quan chính phủ nào hay không.
  • Thực hiện một khuôn khổ các quy định về nhân quyền để quản lý hoạt động giám sát. Trong khi một khuôn khổ như vậy chưa được thực hiện thì cần thực thi việc tạm dừng mua, bán, chuyển nhượng và sử dụng các thiết bị giám sát.

Việc sử lý các hoạt động giám sát có mục tiêu bất hợp pháp cũng đòi hỏi có những thay đổi từ các cơ quan chức năng Việt Nam. Có thể tìm thấy danh sách đầy đủ các khuyến cáo trong báo cáo “Hãy để chúng tôi thở” công bố vào tháng 12 năm 2020.

Cách tự bảo vệ mình

  • Hãy cẩn thận khi nhận emails có chứa tệp đính kèm hay đường liên kết. Nếu bạn nhận được những email mà mình không mong đợi, hoặc không biết người gửi là ai thì đừng nhấp chuột vào đường liên kết trong email hay mở tệp đính kèm hoặc chia sẻ các tệp đó.
  • Bạn nên chú ý tới những đường liên kết được rút gọn, đặc biệt là trên mạng xã hội. Những kẻ tấn công thường sử dụng những thứ đó - từ Bitly và các dịch vụ rút gọn khác - để lừa bạn, khiến bạn nghĩ rằng mình đang nhấp vào một liên kết hợp pháp, trong khi trên thực tế là bạn đang bị dẫn sang một trang web giả mạo. Nếu thấy nghi ngờ về một liên kết rút gọn thì đây là hướng dẫn về cách hiện thị URL đầy đủ
  • Hãy cẩn thận khi một trang web hoặc một ứng dụng yêu cầu quyền truy cập vào tài khoản Google của bạn. Nếu trang web hay ứng dụng nào đó yêu cầu truy cập email của bạn (“Đọc, gửi, xóa và quản lý email của bạn”), thì đừng chấp nhận yêu cầu đó trừ khi bạn hoàn toàn tin tưởng ứng dụng đó
  • Bật xác thực hai yếu tố (xác minh hai bước) trên mọi tài khoản của bạn, đặc biệt là với tài khoản email.
  • Thường xuyên cập nhật hệ điều hành và các ứng dụng của bạn. Tránh sử dụng hệ điều hành và các công cụ văn phòng crack, vì có thể phần mềm crack sẽ chứa virus, phần mềm gián điệp, và chúng sẽ gây thiệt hại nghiêm trọng cho máy tính của bạn.
  • Hãy sử dụng phần mềm chống virus. Lưu ý: máy Mac cũng cần phần mềm chống virus giống như máy Windows. Luôn bật Windows Defender (nếu bạn là người dùng Windows) và XProtect (nếu bạn là người dùng Mac).
  • Nếu bạn tin rằng bạn là mục tiêu của các cuộc tấn công tương tự như được miêu tả trong báo cáo này, vui lòng liên hệ với chúng tôi theo địa chỉ:

  • Bạn có thể tìm thêm các hướng dẫn cách tự bảo vệ mình tại đây

Phụ lục

Đây là danh sách emails được xác định trong cuộc điều tra này:

Hãy xem bản phân tích kỹ thuật của phần mềm gián điệp được sử dụng trong các cuộc tấn công này trên trang web của Github (bằng tiếng Anh).