Thứ Hai, 24 tháng 2, 2014

Cẩn thận với mã độc từ Việt Nam: Chúng được gửi dưới vỏ bọc rất cá nhân

-TLQ: -Gặp gỡ các công ty là kẻ thù của Internet năm 2013

- Cẩn thận với mã độc từ Việt Nam: Chúng được gửi dưới vỏ bọc rất cá nhân (Dân luận)

Eva Galperin và Morgan Marquis-Boire
Hoàng Triết chuyển ngữ
1Khi công nghệ mã hóa [encryption] đã trở nên phổ biến trong truyền thông trên mạng như là một biện pháp chống lại giám sát, những kẻ tấn công đã tìm cách đối phó với biện pháp này bằng cách ngấm ngầm cài đặt mã độc vào những máy tính trong tầm nhắm để ghi nhận từng phím bấm, theo dõi người sử dụng từ xa bằng chính ống kính thu hình [webcam] trên máy của họ, sao chép các cuộc gọi qua Skype, và nghe lén bằng microphone trong máy của người bị theo dõi.
Có khi thì kẻ tấn công là một tội phạm, chẳng hạn như tin tặc sử dụng một công cụ truy cập từ xa [Remote access tool – RAT] để chụp ảnh của Hoa hậu Thiếu niên Hoa Kỳ [Miss Teen USA]. Có khi thì kẻ tấn công lại thuộc phe ủng hộ một chính quyền, chẳng hạn như những tên tin tặc thân Assad sử dụng mã độc tung những đợt tấn công vào phe đối lập; [những đợt tấn công] mà EFF đã và đang theo dõi từ hai năm nay. Có khi thì kẻ tấn công là một chính phủ hoặc một cơ quan an ninh pháp luật, chẳng hạn như việc ngấm ngầm cài đặt phần mềm theo dõi mục tiêu của các đội Hoạt Động Truy Cập Phù Hợp [Tailored Access Operations] thuộc Cơ Quan An Ninh Quốc Gia Hoa Kỳ.
Mã độc là một công cụ đa số các chính quyền có trong hộp đồ nghề của mình, và Việt Nam cũng không ngoại lệ. Trong vài năm vừa qua, chính quyền Cộng Sản của Việt Nam đã sử dụng mã độc và RAT để theo dõi các phóng viên, nhà đấu tranh, nhà bất đồng chính kiến, và bloggers, trong khi họ đàn áp ngăn chặn đối kháng. Chiến dịch theo dõi mạng Internet của Việt Nam khởi đầu ít nhất là từ tháng 3 năm 2010 khi các kỹ sư phần mềm của Google khám phá ra phần mềm độc hại tấn công rộng rãi vào các máy tính do người Việt sử dụng. Các máy tính bị nhiễm mã độc được sử dụng để theo dõi chủ nhân của chúng cũng như để tham gia các cuộc tấn công từ chối dịch vụ DDoS trên những trang mạng bất đồng chính kiến. Chính phủ Việt Nam đã đàn áp mạnh các blogger đối kháng, thành phần duy nhất của quốc gia này đại diện cho báo chí độc lập. Theo một bản báo cáo 2013 từ Ủy ban Bảo vệ Ký Giả, Việt Nam hiện đang giam giữ 18 blogger và phóng viên báo chí, 14 trong số họ bị giam từ 1 năm trước đây.
EFF đã có nhiều bài viết về tình hình ngày càng tồi tệ đối với các bloggers tại Việt Nam này. [VFF] cũng đã hỗ trợ các chiến dịch giải phóng những blogger cao cấp như Lê Quốc Quân và Điếu Cày, cũng như đã chỉ trích dự luật kiểm duyệt Internet của Việt Nam. Báo cáo này sẽ phân tích phần mềm độc hại tấn công chính nhân viên của EFF và một nhà toán học nổi tiếng.người Việt, một nhà đấu tranh dân chủ người Việt, và một phóng viên của AP tại Việt Nam.

CHIẾN DỊCH TẤN CÔNG NHẮM VÀO EFF VÀ HÃNG THÔNG TẤN AP

Chúng tôi sẽ bắt đầu với cuộc tấn công nhắm vào nhân viên của EFF. Cuộc tấn công này đánh dấu lần đầu tiên chúng tôi khám phá được những kẻ thuộc phe chính quyền sử dụng mã độc để tấn công vào tổ chức của chúng tôi.
Vào ngày 20 tháng 12 năm 2013, hai nhân viên của EFF đã nhận được một điện thư từ “Andrew Oxfam,” mời họ tham dự một buổi “Hội Thảo Á Châu” và mời họ nhấn vào hai đường link để có thêm thông tin về buổi hội thảo và lời mời tham dự này. Hai đường link này rất đáng nghi vì chúng không thuộc máy chủ của Oxfam. Thay vào đó, nó đưa người được mời tham dự vào một trang mạng trên Google Drive, xem hình dưới. Thêm vào đó, điện thư này còn có cả hai file đính kèm về lời mời tham dự hội thảo này.
Hành động tấn công này có một sự thú vị đặc biệt vì nó thể hiện một sự thông hiểu tâm lý về những gì những người tranh đấu quan tâm. Cũng như các phóng viên báo chí rất muốn mở các dữ liệu đính kèm về những câu chuyện scandal, cũng như những nhà ủng hộ phong trào đối kháng người Syria rất muốn mở những dữ liệu nó về sự lạm dụng bạo lực của chính quyền Assad, các nhà đấu tranh nhân quyền như chúng tôi rất muốn mở xem những dữ liệu mời mọc tham dự hội thảo. Để cho có vẻ thật hơn, những kẻ tấn công nên kèm theo trong đó nhã ý trang trả chi phí đi lại và khách sạn.
Cả hai file đính kèm đều giống như nhau:
351813270729b78fb2fe33be9c57fcd6f3828576171c7f404ed53af77cd91206 Invitation.hta
351813270729b78fb2fe33be9c57fcd6f3828576171c7f404ed53af77cd91206 Location.hta
Khả năng bị khám phá của dạng mã độc này rất thấp. Sử dụng Virus Total, chúng tôi thấy chỉ có 1 trong số 47 Cty bán sản phẩm phòng chống virút có thể nhận ra loại mã độc này, tính đến ngày 19/1/14.
Mã độc này cũng được gửi đến một phóng viên AP dưới dạng một bài viết của tổ chức Giám Sát Nhân Quyền.
Trong lần tấn công này, nhấn vào đường link trong điện thư sẽ đưa người sử dụng đến trang mạng chứa mã độc HTML (.hta) file.
Dữ liệu chi tiết meta-data cho thấy thông tin sau:
“Invitation.hta: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Template: Normal, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00, Create Time/Date: Mon Nov 19 05:02:00 2012, Last Saved Time/Date: Mon Nov 19 05:02:00 2012, Number of Pages: 3, Number of Words: 395, Number of Characters: 2258, Security: 0”
Đoạn HTML này có chứa một file đã mã hóa ở dạng .exe và cũng chứa một Microsoft Word file với tên gọi “baiviet.doc”.
Khi người nhận được điện thư kích hoạt dữ liệu đính kèm, nó bỏ hai file này vào Local\Temp folder:
C:\Users\admin\AppData\Local\Temp\baiviet.doc
C:\Users\admin\AppData\Local\Temp\xftygv.exe
Khi “baiviet.doc” hiện ra và “xftygv.exe” được kích hoạt, nó sẽ cài những file này trong máy:
C:\Program Files\Common Files\microsoft shared\ink\InkObj.dat
C:\Users\admin\AppData\Local\Temp\1959.tmp
C:\Users\admin\AppData\Local\Temp\19A8.tmp
C:\Users\admin\AppData\Local\Temp\1A65.tmp
C:\Users\admin\AppData\Local\Temp\1D72.tmp
C:\Users\admin\AppData\Roaming\HTML Help\help.dat
C:\Users\admin\AppData\Roaming\KuGou7\status.dat
C:\Users\admin\AppData\Roaming\Microsoft\Media Player\PLearnL.DAT
C:\Users\admin\AppData\Roaming\Microsoft\Werfault\WerFault.exe
C:\Windows\Performance\WinSAT\DataStore\Formal.Assessment.WinSAT.xml
C:\Windows\Performance\WinSAT\ShaderCache.vs_3.0
C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.bin
C:\Windows\System32\odbccr64.dll
Một số thay đổi trong registry sẽ xảy ra để giúp phần mềm độc hại này tồn tại sau khi reboot và file api-ms-win-core-xstate-l1-1-0.bin sẽ được ghi vào process space của explorer.exe để mở một cổng kết nối trên port 443 đến yelp.webhop.org.
Khi bản báo cáo này được công bố thì địa chỉ trên dẫn đến IP 62.75.204.91, nơi chứa các tên miền sau:
tripadvisor.dyndns.info,
neuro.dyndns-at-home.com,
foursquare.dyndns.tv,
wowwiki.dynalias.net,
yelp.webhop.org
Nó được sử dụng như một máy chủ chỉ huy và quản lý cho các phần mềm độc hại liên quan đến chính quyền Việt Nam khác:
82f0db740c1a08c9d63c3bb13ddaf72c5183e9a141d3fbd1ffb9446ce5467113 bai viet.hta
9c07d491e4ddcba98c79556c4cf31d9205a5f55445c1c2da563e80940d949356 Unhotien.doc
Quan sát các phần mềm độc hại này cho thấy sự liên hệ đến các chiến dịch trước đây nhằm nhắm vào các nhà hoạt động người Việt.

NHẮM VÀO CÁC BLOGGER VIỆT NAM

Trong tháng Hai 2013, một blogger người Việt và một giáo sư toán học đã nhận được điện thư sau (xem hình).
Cũng như mà độc tấn công EFF và hãng thông tấn AP, file đính kèm là một dữ liệu HTML. Trong trường hợp này, nó đã được nén ở dạng 7zip.
2fa7ad4736e2bb1d50cbaec625c776cdb6fce0b8eb66035df32764d5a2a18013 Thu moi.7z
Sau khi mở ra:
dd100552f256426ce116c0b1155bcf45902d260d12ae080782cdc7b8f824f6e1 Thu moi.hta
Dữ liệu chi tiết meta-data cho thấy như sau:
Thu moi.hta: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Author: pluto, Template: Normal, Last Saved By: pluto, Revision Number: 2, Name of Creating Application: Microsoft Office Word, Total Editing Time: 07:00, Create Time/Date: Thu Mar 1 05:02:00 2012, Last Saved Time/Date: Thu Jan 24 09:28:00 2013, Number of Pages: 3, Number of Words: 277, Number of Characters: 1584, Security: 0
Tương tự như cuộc tấn công đối với EFF và AP, dữ liệu HTML có chứa một file đã mã hóa ở dạng .exe (zzpauvooos.exe”) và một file (“Doc loi.doc”).
Cho chạy “Thu moi.hta” hiện ra “Doc loi.doc” và cài hai file sau:
C:\Users\admin\AppData\Local\Temp\Doc loi.doc
C:\Users\admin\AppData\Local\Temp\zzpauvooos.exe
Khi chạy “zzpauvooos.exe”, nó cài thêm file:
C:\Users\admin\AppData\Local\Temp\C947.tmp
Và rồi mệnh lệnh sau được kích hoạt:
“C:\Users\admin\AppData\Local\Temp\C947.tmp” –helpC:\Users\admin\AppData\Local\Temp\zzpauvooos.exe D1DF15E4D714BFDB764ECF92AE709D14BCA3E0E6C759CF7C675BE26D0296A63C3B147110AC79543CC31527651D66787152102A66C33710233BD64912707D4E60”
Rồi sau đó các file sau được cài vào hệ thống và bản .exe gốc được xóa mất:
C:\Users\admin\AppData\Roaming\Common Files\defrag.exe
C:\Users\admin\AppData\Roaming\Identities\{116380ff-9f6a-4a90-9319-89ee4f513542}\disk1.img
C:\Windows\Tasks\ScheduledDefrag.job
C:\Windows\Tasks\ScheduledDefrag_admin.job
Một số dữ liệu sẽ được ghép vào trong Windows registry cho mục đích kiên trì tồn tại và cài đặt disk1.mdg, liên lạc máy chủ chỉ huy và điều khiển ở địa chỉ static.jp7.org trên port 443/tcp.
Một blogger đấu tranh dân chủ nổi bật ở California đã bị tấn công thành công bằng cách này, dẫn đến việc trang blog của cô ta cùng đời sống riêng tư của cô ta bị xâm phạm.
Nhóm đứng sau các cuộc tấn công này có vẻ như đã hoạt động từ năm 2009 và hiện đang rất năng động trong việc tấn công các nhà bất đồng chính kiến người Việt, những người đang viết về Việt Nam, cũng như cộng đồng người Việt. Đây có vẻ như là việc làm của nhóm có tên gọi là “Sinh Tử Lệnh” và trong lúc nó được xem như là tác phẩm của người Trung Quốc, càng ngày nó càng có vẻ như là việc làm của người Việt tấn công người Việt.
EFF rất bức xúc khi thấy các chiến dịch tấn công bằng mã độc đánh gần đến nhà mình. Trong khi rõ ràng là nhóm tấn công này đang nhắm vào cộng đồng người Việt từ bấy lâu nay, các chiến dịch tấn công này cho thấy rằng các phóng viên quốc tế và nhà tranh đấu Hoa Kỳ cũng đang bị tấn công. Và khi việc những người đấu tranh và phóng viên kỳ cựu nằm trong tầm nhắm của một chính phủ quốc gia họ thường chỉ trích là việc có thể dự đoán được, sự thật cho thấy rằng một bài viết duy nhất trên blog có thể đủ để khiến bạn trở thành một mục tiêu bị theo dõi.
Nguồn: Electronic Frontier Foundation, ngày 19/1/14,https://www.eff.org/deeplinks/2014/01/vietnamese-malware-gets-personal
-Anh bị kiện vì thiết bị theo dõi ở VN-
Giới thiệu về Finfisher trên trang web của Gamma International
Anh bị tố cáo để Gamma xuất khẩu phần mềm theo dõi lén

Chính phủ Anh bị kiện trong vụ để cho một công ty của nước này xuất khẩu công nghệ theo dõi sang các nước trong đó có Việt Nam.

Tổ chức Privacy International nói hôm 16/3 rằng họ đã kiện chính phủ ra Tòa Tối cao ở London vì các quan chức Anh không chịu nói họ có đang điều tra công ty Gamma International, vốn bị tố cáo bán công nghệ theo dõi cho các chính phủ độc đoán như Bahrain, Ethiopia, Turkmenistan và Việt Nam.
Privacy International cho rằng việc xuất khẩu phần mềm thám thính FinFisher có thể vi phạm luật của Anh và đã kêu gọi chính phủ điều tra vụ việc từ nhiều tháng nay.
Mặc dù vậy các quan chức Anh từ chối bình luận về chuyện họ có đang điều tra hay không.
Privacy International nói trên Bấmtrang web của họ rằng đối tượng bị kiện ra tòa là cơ quan thuế quan của Anh, đơn vị quản lý việc xuất nhập khẩu và nói thêm:
"Privacy International tin rằng Cục Thuế Quan đã hành động trái pháp luật, hoặc là vì họ đã diễn giải luật sai để bao biện cho hành động lảng tránh [việc công bố có điều tra công ty Gamma hay không], hoặc vì họ thẳng thừng từ chối [cung cấp thông tin] mà không xem xét các dữ kiện của vụ việc.
"Hơn nữa, khi từ chối cung cấp thông tin cho Privacy International, Cục Thuế Quan không những làm trái luật mà còn không biết tới những nguyên tắc đã có từ lâu về quyền của nạn nhân các vụ tội phạm."

Chiếm đoạt máy tính


Giám đốc Nghiên cứu của Privacy International được dẫn lời nói thêm trong thông cáo:
"Rơi vào tay những kẻ xấu, công nghệ theo dõi ngày này có thể để lại hậu quả nghiêm trọng và công chúng, nhất là các nạn nhân của việc theo dõi có quyền biết chính phủ Anh đang làm gì trong lĩnh vực này.
"Việc Cục Thuế Quan từ chối cung cấp thông tin cho các nhà hoạt động vì dân chủ đã bị nhắm tới là đáng hổ thẹn.
Privacy International cũng dẫn một báo cáo nói ngoài Việt Nam, Gamma đã bán công nghệ FinFisher cho 24 nước có chế độ hà khắc khác.
FinFisher được cho là có khả năng cài lén phần mềm vào máy tính hay điện thoại di động của người bị theo dõi mà họ không hề biết, thường là qua cách lừa cho người sử dụng mở tệp đính kèm hay cập nhật từ những nguồn có vẻ như chính đáng như Apple hay Adobe.
"Một khi phần mềm đã được cài lén, máy tính và điện thoại sẽ bị chiếm dụng để người theo dõi có thể điều khiển chúng từ xa bao gồm bật camera và microphone, thư điện tử, các phần mềm chat và nói chuyện trong đó có skype."
Theo thông tin của Privacy International

Một khi phần mềm đã được cài lén, máy tính và điện thoại sẽ bị chiếm dụng để người theo dõi có thể điều khiển chúng từ xa bao gồm bật camera và microphone, thư điện tử, các phần mềm chat và nói chuyện trong đó có skype.
Người ta cũng có thể theo dõi vị trí của máy tính và điện thoại.
Privacy International cũng nói đã xảy ra những trường hợp tra tấn người do tác hại của công nghệ theo dõi.
Tổ chức này nói hồi tháng 11/2012 họ đã trao hồ sơ 186 trang với các bằng chứng về việc công nghệ của Gamma International đã được sử dụng như thế nào cho Cục Thuế Quan và kêu gọi điều tra.
Sau khi không nhận được hồi âm, họ tiếp tục có thử gửi cho Cục Thuế Quan trong tháng 12/2012 và cuối cùng nhận được trả lời trong tháng 1/2013 rằng họ không có quyền "tiết lộ thông tin mà Cục Quan Thuế có về hoạt động của mình" và bởi vậy "không thể cho quý vị hay bên thứ ba biết về tiến độ của bất kỳ cuộc điều tra nào."
Gamma International mới đây cũng lọt vào danh sách năm "công ty kẻ thù của Internet" của tổ chức Phóng viên Không Biên giới.
Hãng tin AP nói Cục Thuế Quan từ chối bình luận vì lý do pháp lý.-Anh bị kiện vì thiết bị theo dõi ở VN-


-Ông Phạm Chí Dũng khiếu nại Tuổi Trẻ (BBC 17-4-13)Trầm Bê và Đảng ai là đại gia? (RFA 17-4-13)
- Nghị viện châu Âu thảo luận khẩn cấp về tình hình nhân quyền Việt Nam (RFI). - Kêu gọi EU ép Việt Nam về nhân quyền (BBC).- CPJ kêu gọi Châu Âu thúc đẩy tự do báo chí cho Việt Nam (VOA).
- Thỉnh nguyện thư yêu cầu Mỹ hạn chế du lịch, gửi tiền về Việt Nam (VOA).- Viết bài cho blog Châu Xuân Nguyễn bị 3 năm tù (RFA).

--Sự lây nhiễm toàn cầu của phần mềm theo dõi FinFisher Lời dẫn:
Mới đây ngày 13/3/2013, CitizenLab, phòng nghiên cứu tại trường quan hệ toàn cầu Munk, thuộc Đại học Toronto Canada, đã công bố báo cáo đặc biệt về sự lây lan phần mềm theo dõi FinSpy của hãng Gamma International, trong đó đặc biệt ở Ethiopia và Việt Nam nhằm mục đích chính trị. Gamma International là một trong các công ty bị tổ chức Phóng viên không biên giới (RSF) mới đây xếp vào 1 trong năm công ty là “Kẻ thù của Internet” năm 2013.
13/3/2013
Bài viết này mô tả kết quả một đợt quét Internet toàn cầu để tìm các server điều khiển và ra lệnh của phần mềm do thám FinFisher. Nó cũng mô tả chi tiết việc phát hiện ra một chiến dịch sử dụng FinFisher ở Ethiopia nhằm vào các cá nhân liên quan tới một nhóm đối lập. Ngoài ra nó cũng cung cấp kết quả kiểm tra một mẫu FinSpy Mobile tìm thấy trên mạng cho thấy đã được sử dụng tại Việt Nam.

Tổng kết các phát hiện then chốt

  • Chúng tôi đã tìm ra các server ra lệnh và kiểm soát của các FinSpy backdoor, một phần của “giải pháp kiểm soát từ xa” FinFisher của hãng Gamma International trong tất cả 25 quốc gia gồm: Úc, Ba-rên, Băng-la-đét, Bru-nây, Canada, Séc, Estonia, Ethiopia, Đức, Ấn-độ, Indonesia, Nhật, Latvia, Malaysia, Mexico, Mông-cổ, Hà Lan, Quatar, Séc-bi-a, Singapore, Turkemnistan, Ả-rập, Anh, Mỹ và Việt Nam.
  • Một chiến dịch FinSpy tại Ethiopia sử dụng hình ảnh của Ginbot 7, một nhóm đối lập tại Ethiopia, làm mồi để lây nhiễm vào máy người dùng. Hành động này tiếp diễn chủ đề về các đợt triển khai FinSpy với mục đích chính trị.
  • Có bằng chứng rõ ràng về một chiến dịch dùng FinSpy Mobile ở Việt Nam. Chúng tôi đã tìm thấy mẫu FinSpy Mobile cho Android trên mạng với server ra lệnh và điều khiển ở Việt Nam và gửi tin nhắn về cho một số mobile tại Việt Nam.
  • Những phát hiện này phản bác việc Gamma International trước đó đã cho rằng các server được phát hiện trước đó không phải nằm trong dòng sản phẩm của họ, và các bản phầm mềm của họ được phát hiện trước đó hoặc bị ăn cắp hoặc là bản demo.

1. Nhập đề

FinFisher là một dòng phần mềm do thám và xâm nhập từ xa phát triển bởi công ty Gamma International GmbH đặt tại Munich, Đức. Các sản phẩm FinFisher được tiếp thị và bán rộng rãi cho các cơ quan an ninh bởi tập đoàn Gamma đặt tại Anh quốc. Mặc dù kêu là một bộ công cụ “can thiệp hợp pháp” để theo dõi tội phạm, nhưng FinFisher đã có tiếng xấu vì được sử dụng trong các cuộc tấn công có chủ đích nhằm vào các nhà hoạt động nhân quyền, các nhà bất đồng chính kiến ở các quốc gia có hồ sơ nhân quyền có vấn đề.
Cuối tháng 7 năm 2012, chúng tôi đã công bố các kết quả của một cuộc điều tra vào một chiến dịch email đáng nghi ngờ nhằm vào các nhà hoạt động tại Bahrain. Chúng tôi đã phân tích các file đính kèm và phát hiện rằng chúng có chứa phần mềm gián điệp (spyware) FinSpy, một sản phẩm để kiểm soát từ xa của FinFisher. FinSpy thu thập các thông tin từ một máy tính bị lây nhiễm, như các mật khẩu và cuộc gọi qua Skype, rồi gửi về một server điều khiển và ra lệnh FinSpy (command & control server). Các file đính kèm chúng tôi đã phân tích gửi dữ liệu về một server trong lãnh thổ Bahrain.
Phát hiện này đã thúc đẩy các nhà nghiên cứu tìm kiếm các server điều khiển & ra lệnh khác để hiểu xem làm FinFisher được sử dụng đại trà như thế nào. Ông Caludio Guanrieri tại Rapid7 (một trong những tác giả của báo cáo này) là người đầu tiên tìm kiếm các server đó. Ông đã lấy “dấu vân tay” của server tại Bahrain và tìm kiếm trong dữ liệu quét Internet để tìm kiếm các server khác trên thế giới mà có cùng dấu vân tay. Rapid7 đã công bố danh sách các server này và mô tả kỹ thuật lấy dấu của họ. Các nhóm khác như CrowdStrike và SpiderLabs cũng đã phân tích và công bố báo cáo về phần mềm FinSpy.
Ngay sau khi ra báo cáo, các server này đã được cập nhật để xoá cách bị phát hiện bằng dấu vân của Rapid7. Chúng tôi đã nghĩ ra một kỹ thuật lấy dấu khác và quét một phần của Internet. Chúng tôi đã khẳng định các kết quả của Rapid7, và cũng tìm được vài server mới bao gồm một cái ở trong Bộ Truyền thông của Turkmenistan. Chúng tôi đã công bố danh sách server của mình vào cuối tháng 8 năm 2012, cùng với bản phân tích các phiên bản di động của FinSpy. Các server FinSpy lại được cập nhật vào tháng 10 năm 2012 để vô hiệu hoá kỹ thuật lấy vân mới, mặc dù chưa từng được công bố.
Tuy nhiên, bằng cách phân tích các mẫu đã có và quan sát các server điều khiển & ra lệnh, chúng tôi đã phát hiện ra các phương pháp lấy dấu mới và tiếp tục quét Internet để tìm phần mềm do thám này. Các kết quả được công bố trong bài viết này.
Các nhóm hoạt động xã hội đã tìm ra nguyên nhân đáng quan tâm qua những phát hiện này; như họ chỉ ra việc dùng các sản phẩm FinFisher tại các quốc gia như Turkmenistan và Bahrain, nơi có hồ sơ xấu về nhân quyền, tính minh bạch và tuân thủ luật pháp. Tháng 8 năm 2012, trả lời một bức thư của tổ chức Quyền riêng tư Thế giới đặt tại Anh, chính phủ Anh đã tiết lộ rằng trong quá khứ họ đã kiểm tra một phiên bản của FinSpy và trao đổi với Gamma về việc cần có giấy phép để xuất khẩu phiên bản đó ra ngoài EU. Gamma đã liên tục từ chối liên hệ với các phần mềm gián điệp và các server điều khiển bị phát hiện bởi nghiên cứu của chúng tôi, cho rằng các server đó “không phải dòng sản phẩm FinFisher”. Gamm cũng tuyên bố phần mềm gián điệp gửi tới cho các nhà hoạt động tại Bahrain là một bản demo đã cũ của FinSpy, bị đánh cắp trong một buổi thuyết trình sản phẩm.
Tháng 2 năm 2013, Privacy International, ECCHR – European Centre for Constitutional & Human Rights (Trung tâm vì Hiến pháp và Nhân quyền Châu Âu), trung tâm vì nhân quyền của Bahrain, tổ chức Bahrain Watch, và RSF (Phóng viên không biên giới) đã soạn một bản khiếu lại với OECD (tổ chức hợp tác phát triển kinh tế), đòi tổ chức này tiến hành điều tra xem Gamma có vi phạm các quy tắc OECD cho các doanh nghiệp đa quốc gia với hành vi xuất khẩu FinSpy sang Bahrain. Bản khiếu nại này đã chất vấn các phát ngôn trước đó của Gamma, với việc phát hiện ra ít nhất 2 phiên bản của FinSpy (4.00 và 4.01) tại Bahrain, và việc serve tại Bahrain là một sản phẩm FinFisher và nhận được các bản cập nhật từ Gamma. Bản khiếu nại, như công bố của Privacy International, cáo buộc Gamma về việc:
  • Không tôn trọng các quyền con người được quốc tế công nhận của các cá nhân bị ảnh hưởng bởi các hoạt động của Gamma
  • Gây ra và góp tác động ngược về nhân quyền trong quá trình hoạt động kinh doanh của mình
  • Không ngăn chặn và giảm tác động ngược về nhân quyền liên quan tới các hoạt động và sản phẩm của mình; không công bố các tác động đó tại nơi xảy ra
  • Không thực thi đủ trách nhiệm phải thực thi (due diligence) (trong đó có trách nhiệm về nhân quyền); và
  • Không thực thi chính sách cam kết coi trọng nhân quyền
Theo báo cáo gần đây, Cảnh sác Liên bang Đức có thể có kế hoạch mua và sử dụng bộ FinFisher trong phạm vi lãnh thổ Đức. Trong khi đó, những phát hiện của nhóm chúng tôi và các nhóm khác tiếp tục cho thấy sự lan rộng toàn cầu của các sản phẩm FinFisher. Nghiên cứu tiếp tục lật tẩy sự xuất hiện của FinSpy tại các quốc gia có hồ sơ dân chủ tồi tệ và thể chế bóp nghẹt về chính trị. Gần đây nhất, điều tra của tổ chức Bahrain Watch đã xác nhận sự hiện diện của một chiến dịch dùng FinFisher tại Bahrain, và lần nữa mâu thuẫn với bản cáo bạch của Gamma trước công luận. Bài viết này bổ sung phát hiện với bản cập nhật danh sách các server ra lệnh và điều khiển FinSpy, và mô tả các mẫu FinSpy tìm được trên mạng cho thấy chúng đã được dùng để nhắm vào các cá nhân ở Ethiopia và Việt Nam.
Chúng tôi trình bày các kết quả điều tra này với hy vọng sẽ thúc đẩy hơn nữa các nhóm hoạt động xã hội và các cơ quan điều tra có thẩm quyền tiếp tục làm rõ các hoạt động của Gamma, thực hiện các biện pháp kiểm soát xuất khẩu hợp lý, và làm rõ vấn đề lây lan toàn cầu, không kiểm soát của các phần mềm theo dõi.

2. FinFisher: cập nhật kết quả quét toàn cầu

youonlyclicktwice-map.jpgHình 1. Bản đồ lây nhiễm toàn cầu của FinFisher
Trong tháng 10 năm 2012, chúng tôi đã quan sát thấy các server FinSpy bắt đầu thay đổi hành vi. Chúng dừng phản ứng với dấu vân của chúng tôi, phương pháp này khai thác một khe trong giao thức kết nối đặc thù của FinSpy. Chúng tôi tin rằng điều này chứng tỏ Gamma hoặc đã độc lập thay đổi giao thức FinSpy, hoặc đã phát hiện ra các điểm mấu chốt trong dấu vân của chúng tôi, mặc dù nó chưa từng được công bố.
Trước chuyển biến đó, chúng tôi đã nghĩ ra một kỹ thuật lấy vân mới và tiến hành quét Internet để tìm các server điều khiển & ra lệnh của FinSpy. Đợt quét này mất gần 02 tháng và gửi đi hơn 12 tỷ gói tin. Chúng tôi đã phát hiện ra tổng số 36 máy chủ FinSpy, trong đó 30 máy mới và 6 máy đã tìm được trong lần quét trước. Các server này hoạt động ở 19 quốc gia khác nhau, trong đó 7 máy ở các nước mà chúng tôi chưa từng thấy trước đó.
Các quốc gia mới
Canada, Bangladesh, India, Malaysia, Mexico, Serbia, Vietnam
Trong lần quét mới, 16 server đã thấy lần trước không xuất hiện. Chúng tôi ngờ rằng sau các lần quét trước được công bố thì nhà vận hành đã chuyển chúng đi. Nhiều server bị tắt hay di chuyển sau khi công bố các kết quả lần trước, nhưng trước bản cập nhật tháng 10/2012. Chúng tôi đã không tìm ra FinSpy server tại 4 quốc gia có mặt lần trước (Brunây, Liên hợp Ả-rập, Latvia và Mông-cổ). Tổng hợp lại, FinSpy server hiện tại có mặt tại 25 nước:
Úc, Bahrain, Băng-la-đét, Bru-nây, Canada, CH Séc, Estonia, Ethiopia, Đức, Ấn độ, Indonesia, Nhật Bản, Latvia, Malaysia, Mexico, Mông-cổ, Hà-lan, Qatar, Séc-bi-a, Singapore, Turkmenistan, Liên hợp Ả-rập, vương quốc Anh, Mỹ và Việt Nam.
Quan trọng là chúng tôi tin rằng danh sách này chưa phải là tất cả do số cổng FinSpy server sử dụng rất nhiều. Ngoài ra, việc phát hiện ra một FinSpy server tại một quốc gia không phải là chỉ số đầy đủ để kết luận việc các cơ quan luật pháp và mật vụ ở đó đang sử dụng. Trong một số trường hợp, các server này được vận hành bởi các nhà cung cấp dịch vụ host thương mại và có thể được thuê bởi bất kỳ phần tử nào ở bất kỳ quốc gia nào.
Bảng dưới đây liệt kê các FinSpy server bị phát hiện trong đợt quét mới nhất. Chúng tôi liệt kê đầy đủ địa chỉ IP của các server đã được công bố lần trước. Với các server chưa công bố, chúng tôi ẩn đi 2 số cuối. Việc công bố đầy đủ địa chỉ IP như lần trước không có có ích vì sau đó các server này nhanh chóng được tắt và di chuyển.
IP Nhà vận hành Dẫn hướng tới
117.121.xxx.xxx GPLHost Australia
77.69.181.162 Batelco ADSL Service Bahrain
180.211.xxx.xxx Telegraph & Telephone Board Bangladesh
168.144.xxx.xxx Softcom, Inc. Canada
168.144.xxx.xxx Softcom, Inc. Canada
217.16.xxx.xxx PIPNI VPS Czech Republic
217.146.xxx.xxx Zone Media UVS/Nodes Estonia
213.55.99.74 Ethio Telecom Estonia
80.156.xxx.xxx Gamma International GmbH Germany
37.200.xxx.xxx JiffyBox Servers Germany
178.77.xxx.xxx HostEurope GmbH Germany
119.18.xxx.xxx HostGator India
119.18.xxx.xxx HostGator India
118.97.xxx.xxx PT Telkom Indonesia
118.97.xxx.xxx PT Telkom Indonesia
103.28.xxx.xxx PT Matrixnet Global Indonesia
112.78.143.34 Biznet ISP Indonesia
112.78.143.26 Biznet ISP Indonesia
117.121.xxx.xxx Iusacell PCS Malaysia
201.122.xxx.xxx UniNet Mexico
164.138.xxx.xxx Tilaa Netherlands
164.138.28.2 Tilaa Netherlands
78.100.57.165 Qtel – Government Relations Qatar
195.178.xxx.xxx Tri.d.o.o / Telekom Srbija Serbia
117.121.xxx.xxx GPLHost Singapore
217.174.229.82 Ministry of Communications Turkmenistan
72.22.xxx.xxx iPower, Inc. United States
166.143.xxx.xxx Verizon Wireless United States
117.121.xxx.xxx GPLHost United States
117.121.xxx.xxx GPLHost United States
117.121.xxx.xxx GPLHost United States
117.121.xxx.xxx GPLHost United States
183.91.xxx.xxx CMC Telecom Infrastructure Company Vietnam
Một số điểm đặc biệt đáng chú ý:
  • 8 server vận hành bởi GPLHost tại nhiều quốc gia khác nhau (Singapore, Malaysia, Australia, US). Tuy nhiên, chúng tôi quan sát thấy chỉ 6 máy hoạt động liên tục, chứng tỏ vài địa chỉ IP đã đổi trong khi quét.
  • Một server tại Mỹ có thông tin đăng ký là “Gamma International GmbH,” và người liên lạc là “Martin Muench.”
  • Có một FinSpy server có IP trong dải đăng ký cho “Verizon Wireless.” Verizon Wireless bán các dải IP cho các khách hàng doanh nghiệp, vì vậy không nhất thiết kết luận rằng Verizon Wireless tự vận hành các server này hay các khách hàng của họ đang bị theo dõi.
  • Một server ở Qatar trước đó bị phát hiện bởi nhóm Rapid7 có vẻ hoạt động trở lại. Server này nằm trong dải 16 IP đăng ký cho “Qtel – Corporate accounts – Government Relations.” Dải này cũng chứa website http://qhotels.gov.qa/.

3. Ethiopia và Vietnam: Báo cáo chi tiết về các mẫu mới

3.1 FinSpy ở Ethiopia

Chúng tôi đã phân tích một mẫu phần mềm độc (malware) bắt được gần đây và xác định chính là FinSpy. Malware này dùng hình ảnh các thành viên nhóm đối lập Ethiopia, Ginbot 7, làm mồi nhử. Malware này liên lạc với một Finspy server tại Ethiopia, mà đã bị Rapid7 phát hiện lần đầu vào tháng 8 năm 2012. Server này luôn hiện diện trong mọi lần quét và tiếp tục hoạt động tại thời điểm ra báo cáo này. Nó có địa chỉ trong dải quản lý bởi Ethio Telecom, nhà cung cấp dịch vụ viễn thông quốc doanh tại Ethiopia.
IP: 213.55.99.74
route: 213.55.99.0/24
descr: Ethio Telecom
origin: AS24757
mnt-by: ETC-MNT
member-of: rs-ethiotelecom
source: RIPE # Filtered
Server này có vẻ được cập nhật theo cùng một cách với các server khác, bao gồm các server ở Bahrain và Turkmenisstan
MD5 8ae2febe04102450fdbc26a38037c82b
SHA-1 1fd0a268086f8d13c6a3262d41cce13470886b09
SHA-256 ff6f0bcdb02a9a1c10da14a0844ed6ec6a68c13c04b4c122afc559d606762fa
Mẫu này tương tự mẫu FinSpy đã được phân tích trước đó gửi tới cho các nhà hoạt động tại Bahrain năm 2012. Giống như mẫu ở Bahrain, malware này tự di chuyển và thả một hình ảnh JPG với cùng tên file như của nó khi bị kích hoạt bởi người dùng sơ hở. Đây là thủ đoạn để lừa nạn nhân tin rằng file mở ra không phải là độc hại. Sau đây là các điểm tương đồng cơ bản giữa các mẫu:
  • Nhãn thời gian PE “2011-07-05 08:25:31” hệt như mẫu tại Bahrain.
  • Chuỗi sau (tìm thấy trong tiến trình bị lây nhiễm bởi malware), tự chỉ ra malware và tương tự mẫu tìm thấy ở Bahrain:
    image003_0.png
  • Các mẫu tìm thấy có cùng file driverw.sys file, SHA-256: 62bde3bac3782d36f9f2e56db097a4672e70463e11971fad5de060b191efb196.
image005.png
Hình 2: Hình ảnh dùng để gài bẫy là hình các thành viên nhóm đối lập Ginbot7 tại Ethiopia
Trong trường hợp này ảnh được sử dụng là ảnh các thành viên nhóm đối lập Ginbot7 tại Ethiopia. Năm 2011 chính phủ Ethiopia gán cho Ginbot7 là nhóm khủng bố. Uỷ ban bảo vệ nhà báo (CPJ) và tổ chức Theo dõi Nhân quyền đều chỉ trích hành vi vu khống này. CPJ đã chỉ ra rằng điều này gây ra tác dụng xấu tới các báo cáo chính trị hợp pháp về nhóm này và lãnh tụ của nó.
Sự tồn tại của mẫu FinSpy sử dụng hình ảnh riêng ở Ethiopia và liên lạc với một server FinSpy tại Ethiopia chứng tỏ rõ ràng rằng chính phủ Ethiopia đang sử dụng FinSpy.

3.2 FinSpy Mobile tại Việt Nam

Gần đây chúng tôi đã thu thập và phân tích một mẫu malware và xác định nó là phầnmềm gián điệp FinSpy Mobile cho Android. Mẫu này liên lạc với một máy chủ điều khiển và ra lệnh ở Việt Nam, và gửi tin nhắn báo cáo tới một số mobile ở Việt Nam.
Bộ phần mềm FinFisher gồm các bản FinSpy cho các hệ điều hành điện thoại khác nhau như iOS, Android, Windows Mobile, Symbian và Blackberry. Các tính năng của nó gần với phiên bản trên PC của FinSpy bị xác nhận tại Bahrain, ngoài ra có các tính năng đặc thù của di động như tìm về toạ độ GPS, tạo cuộc gọi gián điệp thầm lặng để nghe nén tiếng động xung quanh điện thoại. Một bản phân tích chuyên sâu về bộ backdoor FinSpy Mobile đã được đăng ở bài trước: The Smartphone Who Loved Me: FinFisher Goes Mobile?
MD5 573ef0b7ff1dab2c3f785ee46c51a54f
SHA-1 d58d4f6ad3235610bafba677b762f3872b0f67cb
SHA-256 363172a2f2b228c7b00b614178e4ffa00a3a124200ceef4e6d7edb25a4696345
Mẫu phần mềm gián điệp có 1 file cấu hình cho biết các tính năng hiện có và lựa chọn đã được bật bởi người triển khai nó.
image007.png
Hình 3: Hình ảnh một phần file cấu hình của phần mềm FinSpy Mobile
Thú vị là file cấu hình còn chỉ ra một số điện thoại ở Việt Nam để điều khiển và ra lệnh qua SMS:
Section Type: TlvTypeConfigSMSPhoneNumber
Section Data: “+841257725403″
Máy chủ điều khiển và ra lệnh có IP nằm trong dải do công ty CMC Telecom Infrastructure tại Hà Nội quản lý:
IP Address: 183.91.2.199
inetnum: 183.91.0.0 – 183.91.9.255
netname: FTTX-NET
country: Vietnam
address: CMC Telecom Infrastructure Company
address: Tang 3, 16 Lieu Giai str, Ba Dinh, Ha Noi
Máy chủ này vẫn hoạt động và khớp với “dấu vân tay” cho một máy chủ của FinSpy. Địa chỉ máy chủ và số điện thoại điều khiển đều ở Việt Nam chứng tỏ một chiến dịch theo dõi đang diễn ra ở nước này.
Trong bối cảnh những đe doạ gần đây tới tự do biểu đạt và hoạt động trên Internet thì việc sử dụng rõ ràng phần mềm gián điệp FinSpy tại Việt Nam là một điều gây bức xúc. Năm 2012, Việt Nam đã ra các đạo luật kiểm duyệt mới trong một chiến dịch bắt giam, đe doạ và xúc nhiễu các blogger dám phát ngôn đối kháng với chế độ. Tổng cộng xử 17 blogger, trong đó 14 người bị kết án 3 đến 13 năm tù.

4. Kết luận sơ bộ

Các công ty bán phần mềm theo dõi và xâm nhập thường kêu rằng các công cụ của họ chỉ được dùng để theo dõi tội phạm và khủng bố. FinFisher, VUPEN và Hacking Team đều dùng một ngôn ngữ. Mặc dù vậy, các bằng chứng liên tục cho thấy rằng các công cụ này thường được mua bởi các quốc gia mà nơi đó hoạt động chính trị đối lập và tự do ngôn luận bị đàn áp. Các khám phá của chúng tôi nhấn mạnh sự mâu thuẫn giữa cáo bạch của Gamma cho rằng FinSpy chủ yếu được dùng để theo dõi “kẻ xấu” với các chứng cứ ngày càng nhiều về việc công cụ đó đã và tiếp tục được sử dụng để chống tại các nhóm đối lập và các nhà hoạt động nhân quyền.
Trong khi nghiên cứu của chúng tôi làm rõ việc sử dụng công nghệ này vì mục đích xâm hại nhân quyền, thì rõ ràng có nhiều quan ngại rộng hơn. Một thị trường toàn cầu, không kiểm soát cho các công cụ tấn công trên mạng hình thành một nguy cơ mới về mặt an ninh cho cả doanh nghiệp và quốc gia. Trong tháng 3 năm 2012, Giám đốc CIA Mỹ James Clapper phát biểu trong báo cáo hàng năm trước quốc hội:
“…các công ty phát triển và bán các công nghệ chuyên nghiệp để tiến hành tấn công trên mạng – thường dán nhãn các công cụ này thành công cụ can thiệp hợp pháp hoặc các sản phẩm nghiên cứu an ninh mạng. Các chính phủ nước khác đã dùng một số công cụ này để tấn công các hệ thống của Mỹ.”
Việc lây lan toàn cầu không kiểm soát của các sản phẩm như FinFisher là cơ sở mạnh để tranh cãi về chính sách đối với các phần mềm theo dõi và việc thương mại hoá tính năng tấn công qua mạng.
Các phát hiện mới nhất của chúng tôi cho thấy bức tranh cập nhật về tình trạng lây lan toàn cầu của FinSpy. Chúng tôi đã xác định 36 FinSpy server đang hoạt động, 30 trong số đó đã phát hiện lần trước. Danh sách các server này là chưa hoàn thiện, bởi vì một số server triển khai kỹ thuật tránh bị phát hiện. Tính cả các server bị phát hiện năm ngoái, tới giờ chúng tôi đã tìm ra FinSpy server tại 25 quốc gai, bao gồm nhiều quốc gia có hồ sơ nhân quyền gẩy tranh cãi. Điều này chứng tỏ một xu hướng toàn cầu về việc các chính phủ phi dân chủ gia tăng dùng các công cụ tấn công qua mạng mua từ các công ty phương Tây.
Các mẫy FinSpy tại Ethiopia và Việt Nam cần tiếp tục điều tra, nhất là với tình trạng nhân quyền tồi tệ tại các quốc gia này. Sự việc bản FinSpy tại Ethiopia sử dụng hình ảnh nhóm đối lập làm mồi nhử cho thấy nó được sử dụng cho các hoạt động theo dõi mang tính chính trị, hơn là vì các mục đích an ninh dân sự.
Mẫu tại Ethiopia là mẫu FinSpy thứ hai mà chúng tôi phát hiện ra liên lạc với một server mà chúng tôi xác định là FinSpy server. Điều này càng củng cố các kết quả quét của chúng tôi, và phản bác lại cáo bạch của Gamma cho rằng những server đó “không nằm trong dòng sản phẩm FinFisher”. Sự tương đồng giữa mẫu ở Ethiopia và mẫu ở Bahrain cũng chất vấn cáo bạch trước đó của Gamma International rằng các mẫu ở Bahrain chỉ là các bản demo bị đánh cắp.
Trong khi việc bán các phần mềm theo dõi và xâm nhập hầu như không có kiểm soát, thì vấn đề này đòi hỏi sự can thiệp cao hơn. Trong tháng 9 năm 2012, Ngoại trưởng Đức, Guido Westerwelle, đã kêu gọi lệnh cấm toàn EU về việc xuất khẩu các phần mềm theo dõi cho các quốc gia độc tài. Trong cuộc phỏng vấn hồi tháng 12 năm 2012, Marietje Schaake (MEP), là báo cáo viên về chiến lược cấp EU lần đầu về tự do số trong chính sách ngoại giao, đã nói rằng “thật sốc” khi các công ty châu Âu tiếp tục bán các công nghệ đàn áp cho các quốc gia không thượng tôn pháp luật.
Chúng tôi kêu gọi các nhóm hoạt động xã hội và các nhà báo tiếp tục các phát hiện của chúng tôi tại các nước liên quan. Chúng tôi cũng hy vọng rằng các kết quả nghiên cứu của chúng tôi sẽ cung cấp các thông tin quý báu cho cuộc thảo luận về chính sách và công nghệ đang diễn ra về phần mềm theo dõi và thương mại hoá các tính năng tấn công qua mạng.

Lời cảm ơn

Chúng tôi xin cảm ơn Eva Galperin và Tổ chức Mặt trận Điện tử (EFF), tổ chức Privacy International, tổ chức Bahrain Watch và Drew Hintz.
Chuyển ngữ bởi N.A.M
************************************

Tổng số lượt xem trang