Bằng chứng an ninh Việt Nam cộng tác với Hacking Team tấn công các blogger lề trái

  • Bởi Admin
    17/08/2015
    7 phản hồi

    Tiến

    Dân Luận: Bài viết dưới đây cho chúng ta thấy lực lượng an ninh Việt Nam là người đứng sau những vụ tấn công hòm thư của các nhà bất đồng chính kiến, điển hình là email với danh sách "73 nhà hoạt động bị cấm xuất cảnh" mà nhiều người trong số họ đã nhận được. Đây chính là sản phẩm của sự hợp tác giữa an ninh Việt Nam và công ty Hacking Team, nơi chuyên cung cấp các công cụ tấn công đột nhập, ăn trộm dữ liệu và theo dõi cá nhân cho các chính phủ trên thế giới. Qua những trao đổi giữa lực lượng an ninh Việt Nam ta thấy một số điểm thú vị:

    - Thiếu tính chuyên nghiệp: Buổi đào tạo không được chuẩn bị trước, an ninh Việt Nam thậm chí còn dùng... Windows bị bẻ khóa trên mạng trong công việc. Một số email trao đổi cho thấy đối tác Việt Nam gợi ý Hacking Team mua... quà cho phía Việt Nam khi gặp mặt để demo hệ thống!!!

    - Nhiều tiền được chi cho tấn công mạng này: An ninh đã mua hệ thống giám sát từ xa RCS trị giá hơn nửa triệu Euro (tức là khoảng 15 tỉ đồng Việt Nam) bằng tiền thuế của người dân để tấn công vào những người hoạt động xã hội. Đây mới chỉ là khoản tiền bỏ ra mua bản quyền cho một hệ thống theo dõi, chưa tính đến các phụ phí khác.

    Dân Luận nhận định rằng lực lượng đứng sau vụ mua bán này rất có thể liên quan đến nhóm hacker Sinh Tử Lệnh, nhóm chuyên tấn công các nhà bất đồng chính kiến và mạng lề trái xuất hiện từ năm 2010. Dân Luận sẽ tiếp tục theo dõi vụ việc để cập nhật tới độc giả.

    #hackingteam Vietnam Customers - Khách hàng ở Việt Nam

    Sau một thời gian coi qua các dữ liệu bị rò rỉ từ công ty HackingTeam, công ty chuyên cung cấp các giải pháp tấn công có chủ đích cho các tổ chức*, tôi có một số thông tin muốn chia sẻ cùng các bạn về các thông tin từ dữ liệu này.

    Danh sách các khách hàng của HackingTeam trải dài từ Đông sang Tây, riêng với khu vực châu Á, có các khách hàng như: Acerbaijan, Kazakhstan, Malaysia, Mongolia, Singapore, South Korea... trong đó có Việt Nam. Tôi hiện chỉ điều tra một số thông tin liên quan đến các khách hàng ở Việt Nam này, tham gia buôn bán này hẳn họ phải có nhiều tiền dư dả.

    Theo thông tin bị rò rỉ, có 3 tổ chức ở VN là khách hàng (customer/partner) của HackingTeam, như thông tin dưới đây:

    VIRNA - GD1
    HI-TECH SECURITY INVESTMENT AND DEVELOPMENT COMPANY
    No 10, Ho Giam Street, Dong Da District, Hanoi, Vietnam
    http://ancnc.vn/index.php?option=com_content&view=article&id=21%3Alinh-vuc-kinh-doanh&catid=30%3Ahoat-dong-kinh-doanh&Itemid=101&lang=vi

    VIKIS - GD5
    dhag.com.vn
    Room 212, Block B, B15 Tower, Dai Kim - Dinh Cong New Town, Hanoi, Vietnam

    Với VIRNA là An Ninh Việt Nam [Dân Luận: Khách hàng của công ty DHAG là Tổng cục I (Tổng Cục An Ninh) và Tổng Cục IV (Tổng Cục Hậu Cần - Kỹ Thuật) thuộc Bộ Công An. Không rõ thương vụ có thành công hay không, nhưng các email trao đổi diễn ra vào tháng 8 năm 2013]. Có một số bằng chứng về việc HackingTeam tham gia giảng dạy trực tiếp cho Cảnh Sát Việt Nam, một báo cáo từ HackingTeam có thể chứng thực điều này.

    csvn.png

    Bản dịch báo cáo của Dân Luận

    Người báo cáo: Walter Furlan / Eugene Ho
    Đối tác: CNC
    Khách hàng: Cảnh sát Việt Nam
    Ngày: 8-13 tháng 6 năm 2015

    Ngày 0: Gặp đối tác tại sảnh khách sạn để thảo luận về kế hoạch đã được lên từ trước và mong đợi của khách hàng. Khi hỏi về cơ sở hạ tầng, đối tác khẳng định mọi thứ đều hoàn tất và sẵn sàng để chúng tôi cài đặt.

    Ngày 1: Khi tới văn phòng của đối tác, chúng tôi gặp bất ngờ nhỏ. Phiên bản hệ điều hành không đúng (Windows 2008 SP1 là hệ điều hành ko được hỗ trợ), tường lửa không được thiết lập đúng, mạng Internet không hoạt động, chỉ có 1 màn hình, 1 bàn phím và 1 chuột mà không có KVM, chuyển mạch cũng chưa được lên cấu hình, không có bảng đen. Và đó chưa phải điều tồi tệ nhất, mà là khách hàng đã sắp xếp để đào tạo ngay hôm đó. Để giữ khách hàng bận rộn, chúng tôi đã chỉ cho khách hàng về TNI và hướng dẫn về những điều kiện cần thiết về hệ thống cho RCS. Hơi khó khăn khi tất cả ánh mắt khách hàng dồn về phía bạn trong khi bạn đang cố gắng thiết lập mạng internet và tường lửa, cũng như cài đúng hệ điều hành. Chúng tôi phần nào hoàn tất công việc cài đặt (tốn quá nhiều thời gian cho việc cài một bản Windows không "xịn" do khách hàng lấy xuống từ internet) vào lúc 6h tối, và đối tác tiếp tục cài đặt sau đó. Sau buổi ăn tối chúng tôi quay lại văn phòng để kiểm tra lần nữa để đảm bảo việc cài đặt đã xong và mọi thứ đều ok trước khi quay lại khách sạn.

    Ngày 2: Việc đào tạo chính thức bắt đầu hôm nay! Walter giảng về tài khoản, hoạt động và hệ thống. Anh ta làm việc rất chuyên nghiệp và chi tiết, và đã chiếm được cảm tình của khách hàng Việt Nam – họ nhìn anh ta với sự ngưỡng mộ dù họ hiểu chưa tới 95% những gì anh ta nói. Đối tác cố gắng để phiên dịch, mặc dù tôi có cảm giác anh ta cũng không hiểu hết những gì chúng tôi muốn truyền đạt.

    Ngày 3-5: Các hoạt động thực tế như xây dựng các agents, lên cấu hình cho các factories, phương pháp lây nhiễm, nâng cấp các agent, các khuyến nghị về biện pháp thu thập thông tin đã được giảng trong khóa học. Người sử dụng cuối cùng (chúng tôi có thể xác định được 5 người quan trọng nhất, một lãnh đạo và 2 kỹ thuật viên, 2 chuyên gia phân tích – đám còn lại chỉ mong sao cho ngày học chóng qua) có khả năng tiếp thu thông tin khá nhanh do đó chúng tôi có nhiều thời gian để dành cho giả lập và các bài tập luyện để bắt chước các tình huống hoạt động thường ngày.

    Ngày 6: Chúng tôi lùi lại và trao quyền điều khiển toàn bộ hệ thống cho khách hàng, để họ tập xây dựng chương trình lây nhiễm, lây nhiễm các đối tượng bằng nhiều hình thức khác nhau, và thu thập những bằng chứng cần thiết từ đầu. Nhiệm vụ của chúng tôi ngày hôm nay là "trông trẻ", chỉ giúp họ khi họ gặp vấn đề không tự giải quyết được. Toàn bộ tiến trình, bao gồm cả lây nhiễm TNI, kết thúc vào 7h45 tối.

    Điều cần cân nhắc

    Những người quan trọng nhất trong số khách hàng không lạ gì với những phương pháp tấn công và có đủ khả năng hiểu công nghệ của chúng ta làm việc như thế nào. Điều khó khăn nhất của buổi đào tạo là sự không chuẩn bị của đối tác nhưng may mắn là họ đã có thể chuyển giao nguồn lực (một kỹ thuật viên mạng và một chuyên gia hệ thống) để nhanh chóng xử lý các vấn đề vào buổi đêm trước. Vấn đề kế tiếp là rào cản ngôn ngữ khi mà tiếng Anh của đối tác cũng không giỏi lắm.

    Bước kế tiếp

    Khi mà khách hàng muốn xây dựng toàn bộ giải pháp từ đầu, chúng ta sẽ cần sẵn sàng để giúp đỡ họ khi họ cần. Nếu họ thành công trong việc thiết lập hệ thống giám sát từ xa RCS và có thể tối ưu hóa giải pháp để phục vụ hoạt động của họ, chúng ta có thể trông đợi Giai đoạn 2 sớm hơn.

    Một số thông tin hợp đồng:


    Tổng giá trị 560 ngàn Euro cho hệ thống điều khiển từ xa RCS.

    Và hóa đơn thanh toán đợt 1:


    Tổng giá trị thanh toán lần 1 là 295 ngàn Euro tới ngân hàng Deutsch Bank chi nhánh ở Ý

    Hiện thông tin thu thập chưa được nhiều, tôi rất muốn biết mục tiêu tấn công của họ là những ai. Qua một số dữ liệu tôi phân tích được, có vài thông tin thú vị như sau:

    - Một yêu cầu đính mã tấn công vào tệp văn bản được gửi cho HackingTeam từ khách hàng Việt Nam:


    Đây là 2 tập tin .docx mà chúng tôi cần ngày hôm nay. Phương án lây nhiễm là gửi qua email tới đối tượng dưới dạng tập tin đính kèm.

    Và sau đó là trả lời từ HackingTeam:


    Đây là tập tin đã gắn mã lây nhiễm để bạn sử dụng. Nhớ không được mở chúng tại phòng thí nghiệm của bạn, vì chương trình trong đó chỉ chạy một lần. Không đưa tập tin này lên mạng xã hội (Facebook, Twitter), vì nó không an toàn cho bạn và có thể bị kích hoạt bởi bot. Chương trình chỉ có giá trị trong vòng 7 ngày, sau đó nó sẽ tự động tắt.

    Các mẫu khai thác này theo phân tích sơ bộ của tôi, họ đính kèm một activex vào tệp docx, activex này sẽ load một swf từ trang mynewsfeeds.info là một 0day đã được thông báo từ hôm qua.

    swf_link.png

    Nội dung hiển thị của các tệp docx có nội dung tương tự như:

    Nội dung này một phần là có mục đích để tấn công social engineer đối với đối tượng. Nhìn nội dung trên thì tôi cũng đoán ra mục tiêu tấn công là những người thuộc nhóm đối tượng nào rồi. Tôi nhớ là, trong một số báo cáo về mã độc trước đây cũng có các kịch bản tấn công bằng cách đính kèm mã khai thác vào tệp văn bản với nội dung có tính chất tương tự như trên.

    Tôi có tải các mẫu lên ở đây, các bạn có thể tải về và thử làm rõ hơn.

    * * *

    wikileaks.png
    Khi phía Việt Nam yêu cầu ghi hình buổi đào tạo, chuyên gia Hacking Team đã từ chối và nói trong email rằng: "Hãy tưởng tượng một ngày nào đó thông tin như thế xuất hiện trên WikiLeaks, cho tất cả mọi người rằng chúng ta đang dạy cho nhau về những công nghệ "độc ác" nhất quả đất. Bạn sẽ bị người thân và các nhà hoạt động, công chúng đánh giá như quỷ dữ". Và tiên đoán của chuyên viên này đã thành sự thật, bức email được đưa lên WikiLeaks!!!

    Hãy chia sẻ suy nghĩ của bạn

    7 phản hồi

    Hoá ra an ninh lấy doanh thu đánh bạc để nuôi bộ phận "chống phản động"?

    Bị cáo Nguyễn Thanh Hóa: Hợp tác với CNC là để xây dựng hệ thống phòng thủ quốc gia

    Sáng nay (23/11), phiên tòa xét xử các bị cáo trong đường dây đánh bạc nghìn tỷ bước sang ngày làm việc thứ 11 tiếp tục diễn ra ở phần tranh tung, tuy nhiên Viện kiểm sát đã bất ngờ đề nghị HĐXX được quay lại phần xét hỏi.

    Theo đó, trước việc bị cáo Nguyễn Thanh Hóa bất ngờ nhận tội, Viện kiểm sát (VKS) đề nghị quay lại xét hỏi đối với bị cáo và được HĐXX chấp thuận.

    Trả lời câu hỏi của VKS về việc biết CNC là tổ chức đánh bạc vận hành game bài Rikvip, bị cáo có động cơ gì khi để CNC vận hành game bài?

    Nguyễn Thanh Hóa cho biết, việc hợp tác với CNC là để xây dựng hệ thống phòng thủ quốc gia về phòng chống tội phạm mạng. Công văn 1155 do Hóa ký đề nghị Phan Văn Vĩnh cho phép CNC vận hành cổng game có trò chơi đổi thưởng.

    Ngoài mục đích nắm thông tin về các đối tượng phạm tội, còn có mục đích xây dựng cổng thu phí, lấy tiền thu phí để lấy kinh phí xây dựng hệ thống phòng thủ quốc gia. Trong tất cả các văn bản soạn thảo gửi Phan Văn Vĩnh đều thể hiện như thế. “Ngoài ra, chúng tôi không có mục đích kinh tế gì cho C50,” Nguyễn Thanh Hóa nói.

    Tuy nhiên, VKS cho rằng việc CNC tặng tiền 700 triệu đồng cho C50 đã chứng tỏ có sự vụ lợi ở đây.

    Trước quan điểm trên của đại diện VKS, bị cáo Nguyễn Thanh Hóa nói: “Trong thời gian 2015-2016, hàng năm chúng tôi giao anh em có trách nhiệm, gồm các Cục phó và Trưởng phòng, khi CNC cho (tiền) thì tôi bảo các đồng chí phải cảm ơn người ta, chúc người ta mạnh khỏe sống lâu, phải chia đều cho anh em, không ai được giữ riêng”.

    “Ai tự nguyện cho giúp đỡ cán bộ chiến sỹ những lúc khó khăn thì phải chia cho cán bộ chiến sỹ, sau đó báo cáo lại cho tôi. Vì đây là chia hỗ trợ cán bộ chiến sỹ chứ không phải hỗ trợ Cục C50, về phần Cục C50 thì có bộ phần mềm diệt virus trị giá 300 triệu rồi”.

    Theo nhận thức của bị cáo Nguyễn Thanh Hóa, việc CNC cho 700 triệu đồng tiền Tết là cho cán bộ chiến sỹ nên không nhập vào ngân sách.

    “Tết nhất thì các đơn vị hợp tác hỗ trợ cán bộ chiến sỹ, tôi không nghĩ tiền này nhập vào ngân sách, nếu nhập vào ngân sách cán bộ chiến sỹ không có. Người ta biếu mỗi người 1-2 triệu thôi, người ta cũng nói là hỗ trợ cán bộ chiến sỹ tiêu Tết thôi”, bị cáo Nguyễn Thanh Hóa trả lời VKS.

    Giải thích về ý tưởng xây dựng hệ thống phòng thủ quốc gia, cựu Cục trưởng Nguyễn Thanh Hóa cho rằng, việc xã hội hóa như vậy là góp phần giảm chi ngân sách: “Trong chiến tranh gọi đây là lấy chiến tranh để nuôi chiến tranh. Còn nếu kết luận đó là sai thì tôi nhận đó là sai, trong khi lãnh đạo Bộ chưa cho phép mà đã báo cáo như thế để CNC lợi dụng việc này tổ chức đánh bạc là sai”.

    Tuy nhiên, khi được hỏi số tiền đưa vào hệ thống phòng thủ quốc gia là bao nhiêu? Ai giám sát việc này? Nguyễn Thanh Hóa trả lời: “Đây là ý kiến của anh Vĩnh. Chúng tôi đang làm thủ tục xin chương trình này, trong đó có đầy đủ thủ tục pháp lý và có người giám sát. Chúng tôi chưa kịp làm thì xảy ra chuyện này, nên rất đáng tiếc vì chưa thu được đồng nào cho hệ thống phòng thủ quốc gia”.

    Trong quá trình đối đáp với VKS, luật sư Đỗ Ngọc Quang, luật sư của bị cáo Hóa cho rằng C50 không có động cơ mục đích gì khác khi muốn tạo nguồn thu cho hệ thống phòng thủ quốc gia về chống tội phạm công nghệ cao trong việc hợp tác với công ty CNC của Nguyễn Văn Dương.

    Mạnh Hùng
    https://baomoi.com/bi-cao-nguyen-thanh-hoa-hop-tac-voi-cnc-la-de-xay-dung-he-thong-phong-thu-quoc-gia/c/28699960.epi

    Các công ty như bọn DHA này nhan nhãn ở VN, kể từ thời 1986 tới nay. Các quan chức lập ra công ty cho người nhà, bạn bè đứng tên chuyên 'giao dịch' mua bán với cơ quan nhà nước, tạo một kênh 'chính thức' để moi móc ngân quỹ quốc gia rất 'thuận tiện', rất mau giàu. Theo thông lệ (luât giang hồ) thì bọn doanh nghiệp thân hữu này thường cúng nạp lại khoảng 20-30% giá trị hợp đồng cho các quan. Các công ty sân sau loại như DHA đang phá nước hại dân, rất nguy hiểm, chúng đang móc ngoặc với quan chức an ninh csvn để lấy tiền dân bỏ túi, đồng thời với các phi vụ mua sắm các phương tiện kìm kẹp, đàn áp dân, nhằm giữ chặc độc quyền cai trị của phe đảng, để có thể tiếp tục ăn trên ngồi trốc trên mồ hôi nước mắt của người dân !

    Lời đề nghị không khiếm nhã với phong cách Ý phải ít nhất vài triệu Oi (Euro).

    Địa chỉ email của bạn Linh và bạn Hoan để có thêm phản hồi

    [email protected], [email protected]

    Daniel viết:
    Hi Linh,

    That’s fine we all are busy at the end of the year, let’s just make sure that in the future we liaise more.

    For the offers, the first configuration implies a couple of millions of Euros, just want to make sure that you know that before I prepare the offer.

    The second one you will have it by Monday.

    https://wikileaks.org/hackingteam/emails/emailid/16875

    Do gửi SW bằng Fedex nên phải đề "Documents" (Tài liệu) cho nó an toàn.

    Pham Thi Nu viết:
    Dear Mr. Marco,

    For both SW product and Documents, kindly put all in one FeDex envelop (name of goods outside envelop is “Documents”) and send to me directly with below address:

    Ms. Pham Thi Nu

    DHA Investment and Technologies Co., Ltd

    Room 1316 – Don Nguyen B – B15, Dai Kim New Town, Hoang Mai Dist., Hanoi, Vietnam

    Post code: 10000

    Mob: +84 985 11 4848

    Tel: + 84 46 284 2575

    Thanks & Best Regards,

    ---

    Pham Thi Nu (Ms.)

    Sale Executive

    19 kết quả từ tìm kiếm từ khoá "Vietnam" trong filename từ HackingTeam wikileak

    https://gist.github.com/anonymous/a92a6262ee912f6f82de

    https://wikileaks.org/hackingteam/emails/?file=vietnam#searchresult

    Một số điểm thú vị:
    * Bên HackingTeam đề nghị thay đổi điều khoản về luật từ Italy sang Singapore
    * Website để cài đặt mã độc (exploits) có tên: vnexpress.net, dhag.com.vn, en.vnuhcm.edu.vn
    ...