Vụ việc khá ly kỳ này được tờ The Wall Street Journal công bố trong một bài báo hồi tháng 10/2017, cho biết các hacker làm việc cho chính phủ Nga đã thu thập được một khối lượng lớn dữ liệu đã được phân loại của Cơ quan An ninh quốc gia Mỹ (NSA).
Theo đó, vào năm 2015, các hacker Nga bị phát hiện đang theo dõi một nhân viên của NSA lúc bấy giờ đang làm việc tại bộ phận tình báo đặc biệt TAO (Tailored Access Operations – Tác chiến xâm nhập mục tiêu theo yêu cầu). Người này tên Nghia Hoang Pho (Phó Hoàng Nghĩa), gốc Việt đã nhập quốc tịch Mỹ và làm việc tại TAO từ năm 2006-2016. Trong thời gian từ năm 2010 đến tháng 3/2015, ông Nghĩa chuyển các văn bản và tài liệu mật về nhà, bao gồm những tài liệu quốc phòng thuộc hàng top secret (tối mật), lưu trữ trong máy tính riêng dù điều này bị cấm. Trên máy tính ở nhà của ông Nghĩa có cài đặt phần mềm diệt virus của Kaspersky Lab – công ty phần mềm bảo mật của Nga, và phần mềm này đã thực hiện quét dữ liệu trong máy tính chuyển về máy chủ của Kaspersky đặt tại Nga. Bằng cách nào đó, các tin tặc làm việc cho tình báo Nga đã nhận diện được các file dữ liệu đó là của NSA, từ đó theo dõi ông Nghĩa và thông qua lỗ hổng trên phần mềm Kaspersky để tiếp tục khai thác dữ liệu.
Điều đáng nói là, sự việc được phát giác không phải bởi tình báo Mỹ, mà là bởi tình báo Israel. Theo báo Washington Post, vào năm 2015, các hacker thuộc đơn vị tình báo mạng của Israel đã tấn công vào mạng máy tính của Kaspersky và phát hiện hacker Nga đang “lục lọi” thông tin của các chương trình tình báo Mỹ thông qua các lỗ hổng phần mềm Kaspersky. Sau khi phát hiện những tài liệu, công cụ tình báo mạng của NSA trên đó, các điệp viên mạng Israel đã mật báo cho NSA xử lý. Ngay lập tức, NSA đã tổ chức điều tra để tìm hiểu bằng cách nào các hacker Nga đã đột nhập được vào mạng máy tính của mình. Công tác điều tra dần dần thu hẹp diện đối tượng tình nghi và phát hiện ra một nhân viên trong bộ phận tình báo cao cấp Tác chiến xâm nhập mục tiêu theo yêu cầu (TAO)- đơn vị bao gồm các hacker chuyên tấn công các mục tiêu nước ngoài để thu thập thông tin tình báo, đã làm lộ thông tin khi mang dữ liệu về nhà. Nhân viên này chính là ông Phó Hoàng Nghĩa.
Khi kiểm tra phương thức hoạt động trên máy tính, NSA phát hiện ông Nghĩa không cố ý thực hiện việc thu thập dữ liệu của NSA để chuyển ra nước ngoài, mà phần mềm diệt virus của Kaspersky chính là thủ phạm tuồn dữ liệu của NSA về máy chủ của Kaspersky tại Nga. Theo các chuyên gia NSA, từ nhiều năm qua, Kaspersky thỉnh thoảng có sử dụng một tiêu chuẩn kỹ thuật công nghiệp để dò tìm virus máy tính, nhưng tiêu chuẩn kỹ thuật này cũng có thể nhận dạng một số loại thông tin khác ngoài virus máy tính hay phần mềm mã độc khác. Công cụ này thường được gọi là “chữ ký thầm lặng” – bao gồm các chuỗi mã kỹ thuật số hoạt động một cách âm thầm nhằm tìm kiếm và phát hiện các phần mềm mã độc, nhưng nó cũng có thể được viết lại để lục soát máy tính tìm các tài liệu mật dựa theo từ khóa hay ký tự viết tắt.
Trên cơ sở báo cáo của NSA về nguy cơ gián điệp mạng lợi dụng phần mềm diệt virus Kaspersky, tháng 9/2017, Bộ An ninh nội địa Mỹ đã chỉ thị cho các cơ quan dân sự rà soát, kiểm tra việc sử dụng phần mềm diệt virus Kaspersky trên các hệ thống máy tính toàn nước Mỹ và gỡ bỏ phần mềm đó ra khỏi hệ thống máy tính. Hàng loạt hệ thống bán lẻ tại Mỹ như Office Depot và Best Buy cũng tuyên bố rút Kaspersky khỏi các kệ hàng và hỗ trợ người dùng gỡ bỏ phần mềm Kaspersky đã cài.
Lượng dữ liệu bị đánh cắp là cực kỳ nhạy cảm, về lý thuyết nó có thể được dùng để chống lại các hệ thống của Mỹ. Sự việc được đánh giá là một trong những vi phạm an ninh nghiêm trọng nhất của Mỹ.
CEO Kaspersky thừa nhận có thu thập dữ liệu nhưng đã xoá
Theo bài viết trên trang Arstechnica.com, Kaspersky Lab đã phát hiện ra những “dữ liệu lạ” từ năm 2014. Cụ thể, trong gần hai tháng, từ ngày 11/9/2014 đến ngày 9/11/2014, các máy chủ thuộc Kaspersky Lab ở Moscow đã nhiều lần tải xuống các tệp bí mật của Cơ quan An ninh Quốc gia Mỹ từ một máy tính mà họ xác định được là có địa chỉ IP dành riêng cho các khách hàng của Verizon FIOS ở Baltimore, cách khoảng 20 dặm từ trụ sở chính của NSA tại Fort Meade, bang Maryland.
Trong các tệp tải xuống có một file nén 7-Zip nặng 45MB chứa mã nguồn, các tệp thực thi độc hại và bốn tài liệu mang dấu hiệu phân loại của chính phủ Mỹ. Một nhà phân tích của Kaspersky Lab đã trực tiếp xem xét tệp dữ liệu và nhanh chóng xác định nó chứa tài liệu bí mật. Theo tuyên bố của CEO Eugene Kaspersky, ông đã ra lệnh xóa tất cả các tài liệu ngoại trừ các tệp nhị phân độc hại được giữ lại để phân tích virus. Công ty sau đó thực hiện một tinh chỉnh phần mềm đặc biệt để ngăn chặn các tập tin 7-Zip tiếp tục được tải xuống. Họ khẳng định không cung cấp các tài liệu này cho bất kỳ ai ngoài công ty.
Về vụ tấn công của hacker Israel (và sau đó báo tin cho NSA), Kaspersky chỉ phát hiện ra vào khoảng giữa năm 2015, khi các kỹ sư của công ty kiểm tra một công cụ dò tìm mới và phát hiện thấy hoạt động bất thường trong mạng máy tính của công ty. Sau đó, công ty đã tiến hành điều tra và có báo cáo chi tiết được công bố vào tháng 6/2015. Báo cáo của Kaspersky khẳng định các hacker (Israel) đã cố tìm cách xâm nhập sâu vào hệ thống máy tính của công ty và đã cấy vào đó nhiều “cửa sau” sử dụng các công cụ mạng phức tạp để lấy cắp mật khẩu, trộm email và tài liệu điện tử.
Kaspersky khẳng định công ty không có bất kỳ mối liên kết nào với bất cứ chính phủ quốc gia nào. Dù vậy, lời thanh minh khó thuyết phục được Washington khi mà nhà sáng lập công ty, Eugene Kaspersky, tốt nghiệp từ một trường đào tạo mật mã do Cơ quan tình báo KGB, tiền thân của FSB (Cơ quan An ninh Liên bang Nga), bảo trợ và từng làm việc trong tình báo quân sự Nga.
Những nghi ngờ không phải không có cơ sở
Trong khi Kaspersky nhiều lần phủ nhận mối liên hệ với chính phủ Nga, thì hồi tháng 7/2017, hãng tin Bloomberg đã công bố nắm trong tay những email nội bộ của Kaspersky cho thấy Kaspersky đã duy trì một mối quan hệ gần gũi với cơ quan tình báo của Nga (FSB). Theo đó, Kaspersky phát triển công nghệ bảo mật theo chỉ thị của cơ quan tình báo Nga và làm việc trong các dự án bí mật “theo mỗi yêu cầu lớn từ Lubyanka”.
Eugene Kaspersky đã viết trong một email (xuất hiện từ tháng 10/2009) rằng: “Dự án bao gồm cả công nghệ để bảo vệ chống lại các cuộc tấn công (bộ lọc) cũng như sự tương tác với hosters (phát tán hy sinh) và các biện pháp tấn công ngược (chúng ta phải bí mật điều này)”. Phần mềm mà CEO Kaspersky nhắc đến có mục đích là để giúp bảo vệ khách hàng, bao gồm chính phủ Nga, khỏi các cuộc tấn công từ chối dịch vụ (DDos), nhưng phạm vi của nó còn xa hơn nữa. Kaspersky Lab sẽ hợp tác với công ty lưu trữ internet để phát hiện vị trí của kẻ tấn công và ngăn chặn chúng bằng “các biện pháp chủ động tấn công ngược”, nhạy cảm đến nỗi Kaspersky khuyên nhân viên phải hết sức bí mật.
Các email này đã cho thấy sự mâu thuẫn với việc Kaspersky Lab luôn phủ nhận việc họ chịu ảnh hưởng của Moscow.
Liên quan đến vụ lộ lọt dữ liệu NSA, ông Eugene thừa nhận Kaspersky có thu thập dữ liệu, phát hiện dữ liệu nhạy cảm và đã yêu cầu xóa toàn bộ dữ liệu này, không cung cấp cho bất cứ ai. Vậy tại sao hacker của chính phủ Nga lại biết và khai thác dữ liệu trên máy tính của ông Nghĩa trong một thời gian dài mà các chuyên gia của Kaspersky không phát hiện ra?
Do đặc thù của phần mềm bảo mật có rất nhiều quyền được người dùng cho phép để thâm nhập sâu vào hệ thống của máy tính, Kaspersky có đủ khả năng trở thành công cụ gián điệp nếu Kaspersky cho phép hoặc cung cấp cửa hậu cho hacker. Chỉ cần Kaspersky biết có lỗ hổng mà làm ngơ không vá/ khắc phục thì cũng là tiếp tay cho chính phủ Nga.
Ông Patrick Wardle – Giám đốc nghiên cứu của Digita Secutiry và là cựu hacker của NSA, đã chứng minh “phần mềm diệt virus Kaspersky có thể trở thành công cụ gián điệp tối cao trên không gian mạng” bằng cách đánh sập Kaspersky và biến nó thành một công cụ tìm kiếm lợi hại với những tài liệu mật. Chuyên gia bảo mật này đã tạo ra một ký hiệu có thể dò ra những tài liệu phân cấp. Và Wardle đã phát hiện ra những kết cấu mã phức tạp khó tin, không giống như phần mềm diệt virus truyền thống, các ký hiệu mã độc của Kaspersky rất dễ cập nhật. Tính năng này có thể bị tận dụng để tự động scan máy nạn nhân và lấy cắp các tài liệu phân cấp.
Wardle chỉ ra rằng các quan chức thường phân loại tài liệu mật bằng cách đánh dấu “TS/SCI” (Top Secret/Sensitive Compartmented Information), vì thế ông đã bổ sung một quy tắc trong chương trình diệt virus của Kaspersky để đánh dấu mọi tài liệu có chứa ký hiệu “TS/SCI”. Để thử nghiệm quy tắc mới này, nhà nghiên cứu đã chỉnh sửa một tài liệu trên máy tính về series sách trẻ em Winnie the Pooh và thêm dấu “TS/SCI”. Ngay khi tài liệu Winnie the Pooh được lưu vào máy, phần mềm diệt virus Kaspersky đã đánh dấu và cách ly tài liệu.
Khi công bố thông tin về vụ lộ lọt dữ liệu, nhiều tờ báo Mỹ nhận xét rằng, khách hàng của Kaspersky có lý do để nghi ngờ việc Kaspersky thu thập dữ liệu người dùng vì những mục đích khác chứ không chỉ mang về máy chủ để phân tích phục vụ công tác bảo mật. Và cho dù Kaspersky phủ nhận mối liên hệ với chính phủ Nga thì Mỹ và các chính phủ khác có đủ lý do để cẩn trọng hơn.
Ngọc Mai