Moscow và kế hoạch chiến tranh mạng phá hoại phương Tây

Quà tặng cho phương Tây từ một người thức tỉnh?

Hàng ngàn trang tài liệu bí mật của Vulkan đã cung cấp cái nhìn hiếm hoi về tham vọng chiến tranh mạng (cyberwar) của Nga, khi các cơ quan tình báo Nga đã làm việc với một nhà thầu quốc phòng có trụ sở tại Moscow để tăng cường khả năng thực hiện các cuộc tấn công mạng, gieo rắc thông tin sai lệch và giám sát các mục tiêu trên internet như hệ thống kiểm soát đường biển, đường hàng không và đường sắt.

Kho tài liệu nêu chi tiết một bộ phần mềm máy tính và cơ sở dữ liệu cho phép tình báo và các nhóm tin tặc Nga tìm ra lỗ hổng, điều phối tấn công và kiểm soát hoạt động trực tuyến tốt hơn. Các quan chức từ năm cơ quan tình báo phương Tây và một số công ty an ninh mạng độc lập tin rằng kho tài liệu này là xác thực, sau khi xem xét các đoạn trích theo yêu cầu của tờ The Washington Post (The Post) và một số tổ chức tin tức khác.

Dù họ không thể tìm thấy bằng chứng chắc chắn là các hệ thống đã được Nga triển khai hoặc đã được sử dụng trong các cuộc tấn công mạng cụ thể, nhưng tài liệu thể hiện các dịch vụ an ninh của Nga và một số viện nghiên cứu liên quan là bên ký hợp đồng phát triển, thử nghiệm và thanh toán với Vulkan. Nhà thầu này có cả khách hàng chính phủ và dân sự.

Kho tài liệu mở cơ hội hiếm hoi nhìn vào các giao dịch bí mật của Vulkan trong quân đội và các cơ quan gián điệp Nga, gồm cả hợp đồng với nhóm tin tặc khét tiếng Sandworm bị phía Mỹ cáo buộc hai lần gây mất điện ở Ukraine, làm gián đoạn Lễ khai mạc Thế vận hội mùa đông 2018 và tung ra phần mềm độc hại NotPetya có sức tàn phá kinh tế lớn nhất trong lịch sử.

Một tài liệu dài 11 trang chưa được ký tên bị rò rỉ đã tiết lộ ký hiệu số cho đơn vị tình báo quân đội của Sandworm là 74455 và cho thấy rằng năm 2019 Vulkan được giao phát triển phần mềm để nhóm hack ưu tú của chính phủ Nga sử dụng. Tài liệu này cho thấy một quan chức của Sandworm đã phê duyệt giao thức truyền dữ liệu.

“Vulkan đang làm những điều tồi tệ, còn chính phủ Nga thì hèn nhát và sai lầm” – người cung cấp tài liệu cho phóng viên Đức lên tiếng ngay sau cuộc xâm lược Ukraine trước khi chia sẻ kho tài liệu dưới dạng bộ đệm (cache) với một nhóm các tổ chức tin tức, gồm The Post, Paper Trail Media và Der Spiegel. Kho tài liệu ban đầu được chuyển cho một phóng viên của tờ báo Đức Süddeutsche Zeitung. Nhóm kiểm tra độ chính xác của kho tài liệu có 11 thành viên gồm The Post, the Guardian, Le Monde, Der Spiegel, iStories, Paper Trail Media và Süddeutsche Zeitung đến từ tám quốc gia.

Hồ sơ tài chính của Vulkan, được The Post thu thập riêng, khớp với các tài liệu mật, trong đó nêu chi tiết các giao dịch trị giá hàng triệu đôla giữa các tổ chức tình báo hoặc quân đội Nga và Vulkan.

Thọc sâu vào an ninh mạng

Bộ đệm (cache) chứa hơn 5,000 trang tài liệu từ 2016-2021, gồm sách hướng dẫn, bảng thông số kỹ thuật và các chi tiết khác cho những phần mềm mà Vulkan thiết kế cho tình báo và quân đội Nga. Nó cũng chứa các email nội bộ của công ty, hồ sơ tài chính và hợp đồng cho thấy tham vọng không gian mạng của Nga lớn đến nỗi Moscow phải thuê cả các nhà thầu bên ngoài.

Trong các kế hoạch chiến tranh mạng, có dự án tạo các trang mạng xã hội giả mạo và các phần mềm có thể xác định và lưu trữ danh sách những lỗ hổng bảo mật trong các hệ thống máy tính trên toàn cầu để có thể tấn công trong tương lai. Một số bản mô phỏng giao diện người dùng cho một dự án có tên là Amezit dường như nói về các mục tiêu tấn công có thể xảy ra, như Bộ Ngoại giao ở Thụy Sĩ và một nhà máy điện hạt nhân ở đây.

Một tài liệu khác cho thấy một bản đồ nước Mỹ với các vòng tròn có vẻ là vị trí các cụm máy chủ internet. Một hình minh họa có tên Skan đề cập đến một địa điểm ở Mỹ được gắn nhãn “Fairfield” (tức là có lỗ hổng an ninh tấn công được).

Một tài liệu khác mô tả một “kịch bản người dùng”, trong đó các nhóm tin tặc sẽ xác định các bộ định tuyến không an toàn ở Bắc Hàn để dùng nó như trung gian trong một cuộc tấn công mạng vào các quốc gia phương Tây.

Dù các tài liệu không xác định cụ thể danh sách mục tiêu đã được xác minh, mã phần mềm độc hại hoặc bằng chứng liên kết các dự án với các cuộc tấn công mạng đã biết nhưng chúng cung cấp những hiểu biết sâu sắc về việc Nga đang khao khát phát triển và hệ thống hóa năng lực thực hiện tấn công mạng với tốc độ, quy mô và hiệu quả cao hơn.

John Hultquist, phó chủ tịch phân tích tình báo của công ty an ninh mạng Mandiant, sau khi xem xét một số tài liệu chọn lọc theo yêu cầu của The Post đã nhận xét: “Kho tài liệu rò rỉ này cho thấy Nga xem hoạt động tấn công vào cơ sở hạ tầng dân sự quan trọng và hoạt động thao túng mạng xã hội chỉ là một với cùng một nhiệm vụ cơ bản: đánh gục ý chí chiến đấu của kẻ thù”.

Nhà thầu quân sự đóng vai trò quan trọng

Năm 2012, nhóm phân tích đe dọa an ninh mạng tại Google đã tìm thấy bằng chứng Vulkan đang được sử dụng bởi SVR, cơ quan tình báo nước ngoài của Nga. Họ bắt gặp một email đáng ngờ được gửi từ một tài khoản Gmail đến tài khoản email Vulkan của cùng một người, rõ ràng là nhân viên của công ty.

Các tài liệu tham khảo về Vulkan cũng có thể tìm thấy trong VirusTotal, một dịch vụ do Google sở hữu chứa dữ liệu các phần mềm độc hại dành cho các nhà nghiên cứu bảo mật. Một phần mềm độc hại “Secret Party NTC Vulkan” ngụy trang lời mời nghỉ dưỡng sẽ chiếm quyền kiểm soát máy tính của người dùng. Lời mời có nội dung “APT Magma Bear chúc bạn và gia đình có một kỳ nghỉ lễ tuyệt vời và một Năm mới mạnh khỏe, bình an!” trên nền nhạc quân đội Liên Xô sẽ tự động tải xuống hình minh họa một con gấu lớn bên cạnh chai rượu sâm panh và hai chiếc ly. Hình ảnh đã được Google dán nhãn “APT Magma Bear” với tên mã ursine (để cảnh báo các nhóm tin tặc Nga nguy hiểm nhất).

Vulkan được thành lập năm 2010 có khoảng 135 nhân viên (theo các trang web thông tin kinh doanh của Nga). Trang web của công ty cho biết trụ sở chính của nó ở phía Đông Bắc Moscow. Một video quảng cáo trên trang web của công ty miêu tả Vulkan là “một công ty khởi nghiệp công nghệ”, rằng “mục tiêu của công ty là làm cho thế giới trở thành một nơi tốt đẹp hơn”.

Đoạn video quảng cáo không đề cập đến hợp đồng quân sự hay tình báo. Một số cựu nhân viên của Vulkan chuyển sang làm việc cho các công ty lớn của phương Tây như Amazon và Siemens. Kho tài liệu mật cũng cho thấy Vulkan dự định sử dụng một loạt phần cứng của Mỹ để xây dựng hệ thống an ninh của Nga, trong đó có bộ xử lý Intel và bộ định tuyến Cisco dùng để định cấu hình hệ thống “phần cứng-phần mềm” cho các đơn vị tình báo và quân đội Nga.

Lan truyền thông tin sai lệch tự động

Trong hàng ngàn trang tài liệu bị rò rỉ có các dự án được thiết kế để tự động hóa và cho phép các đơn vị hack của Nga hoạt động hiệu quả. Ví dụ, Amezit nêu chi tiết cách tự động tạo ra lượng lớn tài khoản mạng xã hội giả mạo cho một chiến dịch đưa thông tin sai lệch.

Một tài liệu mô tả cách sử dụng dãy thẻ SIM điện thoại di động để vượt qua kiểm tra xác minh đối với các tài khoản mới trên Facebook, Twitter và các mạng xã hội khác. Các phóng viên của Le Monde, Der Spiegel và Paper Trail Media, khi làm việc với các tài khoản Twitter được liệt kê trong đống tài liệu, đã tìm thấy bằng chứng cho thấy những phương pháp này có thể đã được sử dụng cho nhiều chiến dịch thông tin sai lệch ở một số quốc gia.

Các tài liệu cho thấy Amezit có cả tính năng cho phép tình báo Nga theo dõi, sàng lọc và giám sát internet ở các khu vực họ muốn kiểm soát. Một hướng dẫn dự thảo năm 2017 cho một trong các hệ thống của Amezit đã cung cấp hướng dẫn về “chuẩn bị, sắp xếp và quảng cáo các tài liệu đặc biệt”. Một hướng dẫn năm 2016 để người dùng Amezit di con trỏ chuột qua một “mục tiêu vật lý” trên bản đồ và hiển thị địa chỉ IP, tên miền và hệ điều hành cũng như thông tin khác về mục tiêu.

Một mục tiêu đánh dấu màu xanh huỳnh quang là Bộ Ngoại giao ở Bern, Thụy Sĩ. Đối tượng khác được đánh dấu trên bản đồ là Nhà máy điện hạt nhân Muhleberg, phía tây Bern, Thuỵ Sĩ (đã ngừng sản xuất điện vào năm 2019). Dmitri Alperovitch, người đồng sáng lập công ty tình báo đe dọa mạng CrowdStrike hiện là chủ tịch Silverado Policy Accelerator, một tổ chức tư vấn ở Washington DC, nhận xét:

“Các tài liệu chỉ ra mục đích của Amezit là cho phép người Nga khám phá và lập bản đồ các cơ sở quan trọng như đường sắt và nhà máy điện”.

Theo kho tài liệu, chiến thuật của Amezit ít nhất đã được các cơ quan tình báo Nga thử nghiệm vào năm 2020. Một tài liệu khác cho thấy Vulkan đã ký hợp đồng vào năm 2018 để tạo ra một chương trình đào tạo có tên Crystal-2 với tối đa 30 học viên. Tài liệu đề cập đến việc thử nghiệm “hệ thống Amezit để vô hiệu hóa hệ thống điều khiển cho vận tải đường sắt, đường hàng không và đường biển” nhưng không nói rõ liệu chương trình đào tạo có được tiếp tục hay không.

Skan, tên một dự án khác được mô tả trong các tài liệu sẽ cho phép những kẻ tấn công Nga liên tục phân tích internet để tìm các hệ thống dễ bị tổn thương và đưa chúng vào cơ sở dữ liệu cho các cuộc tấn công tương lai. Joe Slowik, giám đốc tình báo an ninh tại công ty an ninh mạng Huntress, nhận xét: “Skan có thể được thiết kế để hoạt động song song với các phần mềm khác. Đây là hệ thống chủ cho phép tiến hành từ tổ chức đến giao nhiệm vụ và nhắm mục tiêu vào các lỗ hổng an ninh mạng của đối phương theo kiểu quản lý tập trung”.

Theo Slowik, nhóm tin tặc quân sự Nga Sandworm đang giữ kho lưu trữ lớn các lỗ hổng. Một tài liệu từ năm 2019 cho biết Skan được sử dụng để hiển thị danh sách tất cả các kịch bản tấn công và đánh dấu tất cả các vị trí bị tấn công. Hệ thống này dường như cũng cho phép phối hợp giữa các đơn vị hack của Nga từ nhiều địa điểm khá nhau thông qua trao đổi dữ liệu.

Gabby Roncone, một chuyên gia an ninh mạng khác tại Mandiant, nhận xét: “Skan làm tôi nhớ đến những bộ phim quân sự cũ, nơi các chỉ huy đứng xung quanh bản đồ để đặt pháo binh và quân đội của họ trên bản đồ; tìm hiểu vị trí xe tăng địch và nơi cần tấn công trước để chọc thủng phòng tuyến đối phương”. Có bằng chứng cho thấy ít nhất một phần dự án Skan đã được chuyển giao cho quân đội Nga thử nghiệm.