NGUỒN HÌNH ẢNH,LE TRUNG KHOA Chụp lại hình ảnh, Ông Lê Trung Khoa (trái) và ông Bùi Thanh Hiếu đều từng là nạn nhân của các vụ tấn công bằng phần mềm gián điệp được cho là có liên kết với chính phủ VN
Một ngày làm việc của nhà báo Lê Trung Khoa thường bắt đầu bằng việc theo dõi tin tức, gặp gỡ các đối tác và phụ trách sản xuất tin bài cho trang Thoibao.de có văn phòng tại Berlin, Đức.
Tuy nhiên vài năm qua, ông tiêu tốn đáng kể thời gian và công sức chỉ riêng cho việc đảm bảo an ninh, an toàn cho trang web, cho bản thân và nhân viên. Nguồn lực này, theo ông, lẽ ra có thể được dùng cho công việc làm báo.
Hồi đầu năm, Thoibao.de trở thành mục tiêu của phần mềm gián điệp Predator, do một liên minh, bao gồm công ty Intellexa và Cytrox, phân phối, theo điều tra mới công bố của tổ chức Ân xá Quốc tế (Amnesty International).
Cả hai công ty này đều bị Bộ Thương mại Hoa Kỳ đưa vào “Danh sách đen” hồi tháng Bảy, theo The Washington Post.
Ông Khoa thuật lại với BBC News Tiếng Việt:
“Tôi thường chia sẻ các bản tin của Thoibao.de lên các trang mạng xã hội như Facebook, Twitter để độc giả Việt Nam và thế giới đọc được thông tin hàng ngày.
“Hôm 9/2/2023, dưới bản tin của chúng tôi trên Twitter xuất hiện bình luận và đường link với nội dung về cuộc chiến quyền lực trong nội bộ Đảng Cộng sản Việt Nam, nghe rất hấp dẫn.”
“Sau đó một thời gian, khi tôi gặp chuyên gia bảo mật của Tổ chức Phóng viên không biên giới (RSF) và Ân xá Quốc tế, họ kiểm tra các hệ thống truyền thông của chúng tôi và phát hiện ra đường link kết nối tới phần mềm gián điệp nguy hiểm Predator.”
“Tôi may mắn không bấm vào link này.”
“Tôi không biết có ai bấm vào nó hay không vì hàng ngày có rất nhiều người xem tin tức chúng tôi đăng tải kèm theo các bình luận của họ.”
Đây không phải là lần đầu ông Khoa hay trang web của ông bị tấn công. Ông từng bị bôi nhọ trên mạng xã hội và thường bị gắn mác ‘kẻ phản bội’.
Thoibao.de từng là mục tiêu của các cuộc tấn công Từ chối Dịch vụ (DDoS) khiến trang web bị sập.
Ông còn từng bị dọa giết.
“Từ tháng 8/2017, sau khi tôi đưa ra công bố trên chương trình bàn tròn của BBC Tếng Việt tại London về việc mật vụ Việt Nam bắt cóc ông Trịnh Xuân Thanh tại Berlin, thì tôi bắt đầu nhận được các lời đe dọa trực tiếp và gián tiếp từ những nhân vật cụ thể tại Đức và nhiều nơi khác.”
“Thậm chí tôi còn được cảnh sát Đức mời lên gặp và thông báo đang có âm mưu “ám sát nhà báo Lê Trung Khoa bằng hình thức gây tai nạn”. Rồi thì tấn công mạng vào trang web, Facebook, YouTube của Thoibao.de diễn ra liên tục và không ngừng,” ông Khoa thuật lại với BBC.
Các sự kiện này khiến ông Khoa hiện đang nằm trong chế độ bảo vệ của cảnh sát Đức. Tuy nhiên điều này đồng nghĩa với việc các hoạt động của ông bị hạn chế.
“Nó làm cho tôi không thể sống bình thường như một người Việt Nam định cư tại Đức nữa, mà trước mỗi công việc hàng ngày tôi đều phải cân nhắc làm sao cho an toàn cho bản thân và gia đình ở Berlin,” ông Khoa nói.
Ông Khoa lo ngại rằng những sự việc như vậy gây nguy hiểm cho cả các nhà báo khác làm việc tại Thoibao.de.
“Các cộng tác viên của chúng tôi ở Việt Nam cũng có thể bị nhà cầm quyền theo dõi, gây khó khăn,” ông Khoa chia sẻ.
Việc tấn công mạng nhắm vào các nhà hoạt động Việt Nam không phải là điều gì mới mẻ.
Nhiều năm trước, blogger, nhà hoạt động ủng hộ dân chủ Bùi Thanh Hiếu, thường được biết tới dưới bút danh Người Buôn Gió, từng là nạn nhân của phần mềm gián điệp chạy trên hệ điều hành Windows, theo một nghiên cứu năm 2021 của Ân xá Quốc tế.
Một blogger khác ở Việt Nam, không được nêu tên do lo ngại về an ninh, cũng bị nhắm tới trong khoảng thời gian từ tháng 7 -11/2020.
Hai người này bị tấn công bởi một nhóm hacker khét tiếng trong ngành an ninh mạng là Ocean Lotus.
Mặc dù không thể xác minh độc lập bất kỳ mối liên hệ trực tiếp nào giữa Ocean Lotus với chính quyền Việt Nam, Ân xá Quốc tế nói rằng các cuộc tấn công cho thấy một khuynh hướng nhắm vào các cá nhân và tổ chức Việt Nam.
Ông Bùi Thanh Hiếu cũng chung lo ngại của ông Khoa.
Trong một cuộc trả lời phỏng vấn của BBC News Tiếng Việt hồi 2021, ông nói rằng từ ngày bị tấn công bằng mã độc, ông quyết định ‘ly khai’, ‘chọn đi một mình’ vì không muốn những người liên hệ với ông nhưng còn sống tại Việt Nam phải chịu liên lụy.
Ông Hiếu – người từng bị tù tại Việt Nam và sang Đức tị nạn năm 2013 – nói kết quả điều tra của Amnesty International khiến ông bi quan, thấy rằng nếu “nhà nước Cộng sản có thể xâm nhập mọi hình thức thế này thì không nơi đâu an toàn”.
‘Liên quan tới chính phủ VN’?
Điều tra mới của Ân xá Quốc tế phối hợp với EIC – một đối tác của các tổ chức truyền thông châu Âu – chỉ ra bằng chứng cho thấy phần mềm gián điệp Predator của Intellexa đã được bán cho Bộ Công an Việt Nam thông qua một số công ty môi giới quốc tế và trong nước với hợp đồng trị giá hàng triệu euro.
Điều tra của Ân xá Quốc tế cũng chỉ ra rằng, từ tháng 2-6/2023, một khách hàng của Intellexa có quan hệ với Việt Nam đã dùng các công cụ gián điệp do Intellexa phát triển và bán để nhắm vào ít nhất 50 tài khoản X và Facebook thuộc 27 cá nhân và 23 tổ chức.
Cụ thể, một tài khoản X có tên @Joseph_Gordon16 đăng các đường link tới các bài viết thuộc chủ đề mà đối tượng họ nhắm tới quan tâm, chẳng hạn như Biển Đông. Nhưng thực ra link này chứa mã độc gián điệp có khả năng xâm nhập vào điện thoại của nạn nhân. Qua đó, đánh cắp các tài liệu và đọc tin nhắn trên điện thoại, dù chúng được mã hóa.
Theo điều tra của Ân xá Quốc tế, các tên miền mà
@Joseph_Gordon16 sử dụng để tweet thường được thiết kế bắt chước các trang web hợp pháp của Việt Nam.
Ân xá Quốc tế nhận định rằng việc một số tên miền như vậy được sử dụng trong cuộc tấn công cho thấy có một mối liên hệ với các tác nhân có liên quan đến Việt Nam. Dòng tweet đầu tiên từ tài khoản @Joseph_Gordon16 vào năm 2020 là bằng tiếng Việt.
NGUỒN HÌNH ẢNH,AMNESTY INTERNATIONAL Chụp lại hình ảnh, Tên miền caavn[.]org mà tài khoản @Joseph_Gordon16 tweet bắt chước một bài báo từ South China Morning Post
Ngoài tài khoản X @Joseph_Gordon16, Ân xá Quốc tế còn xác định được một tài khoản Facebook tên Anh Trần cũng chia sẻ một tên miền chứa mã độc.
Tháng 3/2023, Anh Trần đăng hai hai link trong phần bình luận trên Facebook của “Liên Minh Dân Tộc Việt Nam”, có trụ sở tại Hoa Kỳ. Đây là một nhóm chính trị đối lập với chính phủ Việt Nam. Các link này bắt chước các bài viết đăng trên trang Tiếng Dân vốn bị tấn công từ chối dịch vụ (DDoS) và từng bị Ocean Lotus nhắm tới.
Nhóm Phân tích Mối đe dọa của Google đã xác nhận rằng các tên miền và URL mà Ân xá Quốc tế phát hiện là một phần của chiến dịch phần mềm gián điệp có liên quan tới hệ thống Predator của liên minh Intellexa.
Từ các phân tích dựa trên các bằng chứng được tìm thấy, Ân xá Quốc tế cho rằng các đặc vụ của chính quyền Việt Nam hoặc đại diện của chính quyền Việt Nam có thể đứng đằng sau chiến dịch phần mềm gián điệp này.
‘Vi phạm nhân quyền’
NGUỒN HÌNH ẢNH,GETTY IMAGES
Cuộc điều tra của Ân xá Quốc tế cho thấy liên minh Intellexa đã bán và chuyển giao khắp thế giới – mà không bị trừng phạt – một bộ công nghệ giám sát có tính xâm lấn.
Các nước khách hàng của liên minh Intellexa gồm Việt Nam, Ai Cập, Libya, Madagascar, Ả Rập Saudi, và Pháp cùng nhiều quốc gia khác từ năm 2007 đến năm 2022.
Ân xá Quốc tế nhìn nhận rằng những phát hiện trong điều tra của mình cho thấy xã hội dân sự và các nhà báo tiếp tục phải đối mặt với những hậu quả tàn khốc của việc sử dụng công nghệ giám sát một cách bất hợp pháp và không được kiểm soát, tiếp tục đe dọa đến quyền riêng tư, tự do ngôn luận, lập hội và hội họp ôn hòa của những người bị nhắm mục tiêu.
Ân xá Quốc tế cho rằng chính phủ Việt Nam cần tiến hành một cuộc điều tra độc lập, khách quan và minh bạch về vụ việc, bao gồm cả việc điều tra xem liệu có mối liên hệ nào giữa chiến dịch này với bất kỳ cơ quan chính phủ cụ thể nào hay không.
Amnesty nói họ đã biết cho Bộ Công an của Việt Nam để lấy phản hồi, nhưng đã không nhận được hồi âm.
Mỹ Hằng
BBC News Tiếng Việt (12.10.2023)