19/08/2015

Bằng chứng an ninh Việt Nam cộng tác với Hacking Team tấn công các blogger lề trái

Theo blog Tiến

Dân Luận: Bài viết dưới đây cho chúng ta thấy lực lượng an ninh Việt Nam là người đứng sau những vụ tấn công hòm thư của các nhà bất đồng chính kiến, điển hình là email với danh sách "73 nhà hoạt động bị cấm xuất cảnh" mà nhiều người trong số họ đã nhận được. Đây chính là sản phẩm của sự hợp tác giữa an ninh Việt Nam và công ty Hacking Team, nơi chuyên cung cấp các công cụ tấn công đột nhập, ăn trộm dữ liệu và theo dõi cá nhân cho các chính phủ trên thế giới. Qua những trao đổi giữa lực lượng an ninh Việt Nam ta thấy một số điểm thú vị:

- Thiếu tính chuyên nghiệp: Buổi đào tạo không được chuẩn bị trước, an ninh Việt Nam thậm chí còn dùng... Windows bị bẻ khóa trên mạng trong công việc. Một số email trao đổi cho thấy đối tác Việt Nam gợi ý Hacking Team mua... quà cho phía Việt Nam khi gặp mặt để demo hệ thống!!!

- Nhiều tiền được chi cho tấn công mạng này: An ninh đã mua hệ thống giám sát từ xa RCS trị giá hơn nửa triệu Euro (tức là khoảng 15 tỉ đồng Việt Nam) bằng tiền thuế của người dân để tấn công vào những người hoạt động xã hội. Đây mới chỉ là khoản tiền bỏ ra mua bản quyền cho một hệ thống theo dõi, chưa tính đến các phụ phí khác.

Dân Luận nhận định rằng lực lượng đứng sau vụ mua bán này rất có thể liên quan đến nhóm hacker Sinh Tử Lệnh, nhóm chuyên tấn công các nhà bất đồng chính kiến và mạng lề trái xuất hiện từ năm 2010. Dân Luận sẽ tiếp tục theo dõi vụ việc để cập nhật tới độc giả.

#hackingteam Vietnam Customers - Khách hàng ở Việt Nam

Sau một thời gian coi qua các dữ liệu bị rò rỉ từ công ty HackingTeam, công ty chuyên cung cấp các giải pháp tấn công có chủ đích cho các tổ chức*, tôi có một số thông tin muốn chia sẻ cùng các bạn về các thông tin từ dữ liệu này.

Danh sách các khách hàng của HackingTeam trải dài từ Đông sang Tây, riêng với khu vực châu Á, có các khách hàng như: Acerbaijan, Kazakhstan, Malaysia, Mongolia, Singapore, South Korea... trong đó có Việt Nam. Tôi hiện chỉ điều tra một số thông tin liên quan đến các khách hàng ở Việt Nam này, tham gia buôn bán này hẳn họ phải có nhiều tiền dư dả.

Theo thông tin bị rò rỉ, có 3 tổ chức ở VN là khách hàng (customer/partner) của HackingTeam, như thông tin dưới đây:

VIRNA - GD1
HI-TECH SECURITY INVESTMENT AND DEVELOPMENT COMPANY
No 10, Ho Giam Street, Dong Da District, Hanoi, Vietnam
http://ancnc.vn/index.php?option=com_content&view=article&id=21%3Alinh-vuc-kinh-doanh&catid=30%3Ahoat-dong-kinh-doanh&Itemid=101&lang=vi

VIKIS - GD5
dhag.com.vn
Room 212, Block B, B15 Tower, Dai Kim - Dinh Cong New Town, Hanoi, Vietnam

Với VIRNA là An Ninh Việt Nam [Dân Luận: Khách hàng của công ty DHAG là Tổng cục I (Tổng Cục An Ninh) và Tổng Cục IV (Tổng Cục Hậu Cần - Kỹ Thuật) thuộc Bộ Công An. Không rõ thương vụ có thành công hay không, nhưng các email trao đổi diễn ra vào tháng 8 năm 2013]. Có một số bằng chứng về việc HackingTeam tham gia giảng dạy trực tiếp cho Cảnh Sát Việt Nam, một báo cáo từ HackingTeam có thể chứng thực điều này.

clip_image001

Bản dịch báo cáo của Dân Luận

Người báo cáo: Walter Furlan / Eugene Ho
Đối tác: CNC
Khách hàng: Cảnh sát Việt Nam
Ngày: 8-13 tháng 6 năm 2015

Ngày 0: Gặp đối tác tại sảnh khách sạn để thảo luận về kế hoạch đã được lên từ trước và mong đợi của khách hàng. Khi hỏi về cơ sở hạ tầng, đối tác khẳng định mọi thứ đều hoàn tất và sẵn sàng để chúng tôi cài đặt.

Ngày 1: Khi tới văn phòng của đối tác, chúng tôi gặp bất ngờ nhỏ. Phiên bản hệ điều hành không đúng (Windows 2008 SP1 là hệ điều hành ko được hỗ trợ), tường lửa không được thiết lập đúng, mạng Internet không hoạt động, chỉ có 1 màn hình, 1 bàn phím và 1 chuột mà không có KVM, chuyển mạch cũng chưa được lên cấu hình, không có bảng đen. Và đó chưa phải điều tồi tệ nhất, mà là khách hàng đã sắp xếp để đào tạo ngay hôm đó. Để giữ khách hàng bận rộn, chúng tôi đã chỉ cho khách hàng về TNI và hướng dẫn về những điều kiện cần thiết về hệ thống cho RCS. Hơi khó khăn khi tất cả ánh mắt khách hàng dồn về phía bạn trong khi bạn đang cố gắng thiết lập mạng internet và tường lửa, cũng như cài đúng hệ điều hành. Chúng tôi phần nào hoàn tất công việc cài đặt (tốn quá nhiều thời gian cho việc cài một bản Windows không "xịn" do khách hàng lấy xuống từ internet) vào lúc 6h tối, và đối tác tiếp tục cài đặt sau đó. Sau buổi ăn tối chúng tôi quay lại văn phòng để kiểm tra lần nữa để đảm bảo việc cài đặt đã xong và mọi thứ đều ok trước khi quay lại khách sạn.

Ngày 2: Việc đào tạo chính thức bắt đầu hôm nay! Walter giảng về tài khoản, hoạt động và hệ thống. Anh ta làm việc rất chuyên nghiệp và chi tiết, và đã chiếm được cảm tình của khách hàng Việt Nam – họ nhìn anh ta với sự ngưỡng mộ dù họ hiểu chưa tới 95% những gì anh ta nói. Đối tác cố gắng để phiên dịch, mặc dù tôi có cảm giác anh ta cũng không hiểu hết những gì chúng tôi muốn truyền đạt.

Ngày 3-5: Các hoạt động thực tế như xây dựng các agents, lên cấu hình cho các factories, phương pháp lây nhiễm, nâng cấp các agent, các khuyến nghị về biện pháp thu thập thông tin đã được giảng trong khóa học. Người sử dụng cuối cùng (chúng tôi có thể xác định được 5 người quan trọng nhất, một lãnh đạo và 2 kỹ thuật viên, 2 chuyên gia phân tích – đám còn lại chỉ mong sao cho ngày học chóng qua) có khả năng tiếp thu thông tin khá nhanh do đó chúng tôi có nhiều thời gian để dành cho giả lập và các bài tập luyện để bắt chước các tình huống hoạt động thường ngày.

Ngày 6: Chúng tôi lùi lại và trao quyền điều khiển toàn bộ hệ thống cho khách hàng, để họ tập xây dựng chương trình lây nhiễm, lây nhiễm các đối tượng bằng nhiều hình thức khác nhau, và thu thập những bằng chứng cần thiết từ đầu. Nhiệm vụ của chúng tôi ngày hôm nay là "trông trẻ", chỉ giúp họ khi họ gặp vấn đề không tự giải quyết được. Toàn bộ tiến trình, bao gồm cả lây nhiễm TNI, kết thúc vào 7h45 tối.

Điều cần cân nhắc

Những người quan trọng nhất trong số khách hàng không lạ gì với những phương pháp tấn công và có đủ khả năng hiểu công nghệ của chúng ta làm việc như thế nào. Điều khó khăn nhất của buổi đào tạo là sự không chuẩn bị của đối tác nhưng may mắn là họ đã có thể chuyển giao nguồn lực (một kỹ thuật viên mạng và một chuyên gia hệ thống) để nhanh chóng xử lý các vấn đề vào buổi đêm trước. Vấn đề kế tiếp là rào cản ngôn ngữ khi mà tiếng Anh của đối tác cũng không giỏi lắm.

Bước kế tiếp

Khi mà khách hàng muốn xây dựng toàn bộ giải pháp từ đầu, chúng ta sẽ cần sẵn sàng để giúp đỡ họ khi họ cần. Nếu họ thành công trong việc thiết lập hệ thống giám sát từ xa RCS và có thể tối ưu hóa giải pháp để phục vụ hoạt động của họ, chúng ta có thể trông đợi Giai đoạn 2 sớm hơn.

Một số thông tin hợp đồng:

clip_image002

Và hóa đơn thanh toán đợt 1:

clip_image003

Hiện thông tin thu thập chưa được nhiều, tôi rất muốn biết mục tiêu tấn công của họ là những ai. Qua một số dữ liệu tôi phân tích được, có vài thông tin thú vị như sau:

- Một yêu cầu đính mã tấn công vào tệp văn bản được gửi cho HackingTeam từ khách hàng Việt Nam:

clip_image004

Và sau đó là trả lời từ HackingTeam

clip_image005

Các mẫu khai thác này theo phân tích sơ bộ của tôi, họ đính kèm một activex vào tệp docx, activex này sẽ load một swf từ trang mynewsfeeds.info là một 0day đã được thông báo từ hôm qua.

clip_image006

Nội dung hiển thị của các tệp docx có nội dung tương tự như:

clip_image007

Nội dung này một phần là có mục đích để tấn công social engineer đối với đối tượng. Nhìn nội dung trên thì tôi cũng đoán ra mục tiêu tấn công là những người thuộc nhóm đối tượng nào rồi. Tôi nhớ là, trong một số báo cáo về mã độc trước đây cũng có các kịch bản tấn công bằng cách đính kèm mã khai thác vào tệp văn bản với nội dung có tính chất tương tự như trên.

Tôi có tải các mẫu lên ở đây, các bạn có thể tải về và thử làm rõ hơn.

* * *

clip_image008

Khi phía Việt Nam yêu cầu ghi hình buổi đào tạo, chuyên gia Hacking Team đã từ chối và nói trong email rằng: "Hãy tưởng tượng một ngày nào đó thông tin như thế xuất hiện trên WikiLeaks, cho tất cả mọi người rằng chúng ta đang dạy cho nhau về những công nghệ "độc ác" nhất quả đất. Bạn sẽ bị người thân và các nhà hoạt động, công chúng đánh giá như quỷ dữ". Và tiên đoán của chuyên viên này đã thành sự thật, bức email được đưa lên WikiLeaks!!!

Nguồn: https://www.danluan.org/tin-tuc/20150816/da-phat-hien-dau-vet-dan-den-sinh-tu-lenh