Chiến dịch Người theo chủ nghĩa xã hội

Operation Socialist

The Inside Story of How British Spies Hacked Belgium’s Largest Telco

By Ryan Gallagher, 12/13/2014

Theo: https://firstlook.org/theintercept/2014/12/13/belgacom-hack-gchq-inside-story/

Bài được đưa lên Internet ngày: 13/12/2014

Lời người dịch: Đây là câu chuyện được kể rất tỉ mỉ, có liên quan tới cuộc tấn công vào hãng viễn thông lớn nhất nước Bỉ, Belgacom, nơi mà những người sử dụng các dịch vụ của hãng gồm “hàng triệu người khắp châu Âu cũng như các quan chức từ các cơ quan đầu não bao gồm cả Ủy ban châu Âu, Nghị viện châu Âu, và Hội đồng châu Âu” và hãng có các “quan hệ đối tác với hàng trăm công ty viễn thông khắp thế giới - ở châu Phi, châu Á, châu Âu, Trung Đông và Mỹ. Chi nhánh Belgacom này duy trì một trong những đầu mối (hub) “chuyển vùng” (roaming) lớn nhất thế giới, có nghĩa là khi những người viếng thăm ngoại quốc du lịch qua châu Âu trong các kỳ nghỉ hoặc các chuyến công tác sử dụng các điện thoại di động của họ, thì nhiều trong số họ kết nối tới các mạng chuyển tải quốc tế của Belgacom”. Các phân tích trong bài qua các tài liệu chỉ ra thủ phạm là GCHQ của Anh, sử dụng phần mềm độc hại thuộc dạng tinh vi phức tạp nhất từ trước tới nay từng bị phát hiện, có tên là Regin (Xem [01], [02]). Xem thêm: Chương trình gián điệp của NSA trên không gian mạng.

Khi các thư điện tử đến dừng đến, dường như lúc đầu là vô thưởng vô phạt. Nhưng điều đó cuối cùng lại có thể trở nên rõ ràng rằng đây là vấn đề kỹ thuật không bình thường. Bên trong một hàng các tòa nhà văn phòng màu xám ở Brussels, một cuộc tấn công đột nhập chính đã diễn ra. Và thủ phạm từng là các gián điệp của chính phủ Anh.

Đó là vào mùa hè năm 2012 khi những điều bất thường ban đầu đã được các nhân viên tại nhà cung cấp viễn thông lớn nhất nước Bỉ, Belgacom, đã dò tìm ra. Nhưng nó đã không như vậy cho tới 1 năm sau, vào tháng 06/2013, khi các chuyên gia an toàn của hãng đã có khả năng chỉ ra những gì đã diễn ra. Các hệ thống máy tính của Belgacom đã bị lây nhiễm một phần mềm độc hại tinh vi phức tạp cao, và nó tự ngụy trang như là phần mềm hợp pháp của Microsoft trong khi âm thầm ăn cắp các dữ liệu.

Năm ngoái, các tài liệu từ người thổi còi Edward Snowden của Cơ quan An ninh Quốc gia (NSA) đã khẳng định rằng cơ quan giám sát Anh GCHQ (Government Communications Headquarters) đã đứng đằng sau cuộc tấn công đó, có tên là Operation Socialist (Chiến dịch của những người theo chủ nghĩa xã hội). Và vào tháng 11, tờ Intercept đã tiết lộ rằng phần mềm độc hại được tìm thấy trong các hệ thống của Belgacom từng là một trong những công cụ gián điệp tiên tiến chưa từng có được các nhà nghiên cứu nhận diện, nó có tên là “Regin”.

Tuy nhiên, toàn bộ câu chuyện về sự thâm nhập trái phép của GCHQ vào Belgacom đã chưa từng bao giờ được nói tới. Các chi tiết mấu chốt về cuộc tấn công đó đã giữ được trong vòng bí ẩn - và phạm vi của cuộc tấn công đó là chưa rõ.

Bây giờ, trong quan hệ đối tác với các tờ báo Hà Lan và Bỉ NRC Handelsblad và De Standaard, tờ Intercept đã chi tiết hóa và cùng với việc tái dựng lại các sự kiện đã diễn ra trước đó, trong khoảng thời gian, và sau chiến dịch đột nhập bí mật đó của GCHQ.

Dựa vào các tài liệu mới từ kho lưu trữ của Snowden và các cuộc phỏng vấn với các nguồn tin thân cận với cuộc điều tra phần mềm độc hại ở Belgacom, Intercept và các đối tác của mình đã khẳng định rằng cuộc tấn công vào Belgacom từng hung hãn hơn và uy lực hơn nhiều so với được nghĩ trước đó. Nó đã xảy ra trong các giai đoạn giữa 2010 và 2011, mỗi lần thâm nhập trái phép sâu hơn vào các hệ thống của Belgacom, cuối cùng làm tổn thương phần lõi nhất các mạng của hãng này.

“một ví dụ ngoạn mục về vấn đề đột nhập được nhà nước bảo trợ”

Snowden đã nói cho tờ Intercept rằng những tiết lộ mới nhất đã lên tới mức “ghi nhận mùi thuốc súng chưa từng thấy đối với một cuộc tấn công không gian mạng (KGM) của chính phủ chống lại hạ tầng sống còn”.

Cuộc đột nhập Belgacom, anh ta nói, là “ví dụ đầu tiên được ghi thành tài liệu để chỉ ra một quốc gia thành viên Liên minh châu Âu - EU kích hoạt một cuộc tấn công KGM chống lại một quốc gia thành viên khác... một ví dụ ngoạn mục về mức độ của vấn đề đột nhập do nhà nước bảo trợ”.

Về công khai, Belgacom đã đấu dịu mức độ của sự tổn thương, khăng khăng rằng chỉ các hệ thống nội bộ của nó đã bị đánh thủng và rằng các dữ liệu của các khách hàng từng chưa bao giờ thấy bị đặt trong rủi ro. Nhưng các tài liệu bí mật của GCHQ chỉ ra cơ quan này đã giành được sự truy cập xa hơn nhiều tới các máy tính của các nhân viên trong nội bộ Belgacom và đã có khả năng vồ được các dòng giao tiếp truyền thông riêng tư được mã hóa và không được mã hóa mà công ty nắm giữ.

Belgacom đã đầu tư vài triệu USD trong các nỗ lực làm sạch các hệ thống của nó và báo động về an toàn của nó sau cuộc tấn công. Tuy nhiên, Intercept đã biết rằng các nguồn tin thân cận với cuộc điều tra phần mềm độc hại đó tại công ty không tiện với cách mà chiến dịch làm sạch từng được điều hành - và họ tin tưởng rằng các phần của phần mềm độc hại của GCHQ chưa từng bao giờ được loại bỏ hoàn toàn.

Những tiết lộ về mức độ phạm vi của chiến dịch đột nhập đó có khả năng sẽ cảnh báo cho các khách hàng của Belgacom trên khắp thế giới. Hãng này vận hành một số lượng lớn các liên kết dữ liệu quốc tế (xem bản đồ tương tác bên dưới), và nó phục vụ hàng triệu người khắp châu Âu cũng như các quan chức từ các cơ quan đầu não bao gồm cả Ủy ban châu Âu, Nghị viện châu Âu, và Hội đồng châu Âu. Các chi tiết mới cũng sẽ bị trưởng công tố ở Bỉ soi xét sát sao, người hiện đang triển khai một cuộc điều tra tội phạm trong cuộc tấn công vào hãng này.

Sophia in ’t Veld, một chính trị gia Hà Lan, từng là chủ tọa một cuộc tra xét gần đây của Nghị viện châu Âu trong cuộc giám sát ồ ạt được Snowden phơi lộ, đã nói cho tờ Intercept rằng bà tin tưởng chính phủ Anh sẽ đối mặt với các trừng phạt nếu những tiết lộ mới nhất được chứng minh.

“Việc bồi thường cho Belgacom là điều tối thiểu nó nên làm”, in ’t Veld nói. “Nhưng tôi còn lo lắng hơn về trách nhiệm giải trình vì vi phạm luật, vi phạm các quyền cơ bản, và làm xói mòn các hệ thống dân chủ của chúng ta”.

Các cuộc tấn công phần mềm độc hại tin vi phức tạp khác do nhà nước bảo trợ được tin tưởng đã được các quốc gia phương Tây đã thâm nhập trái phép có liên quan tới Stuxnet, một con bọ được sử dụng để phá hoại các hệ thống hạt nhân của Iran, và Flame, một phần mềm độc hại gián điệp mà đã được thấy thu thập các dữ liệu từ các hệ thống phần lớn ở Trung Đông.

Những gì tạo nên ngoài sự thâm nhập bí mật của Anh đối với Belgacom là việc nó đã thực hiện chống lại một đồng minh thân cận - và được một loạt các tài liệu tuyệt mật sao lưu lại, mà tờ Intercept bây giờ đang xuất bản.

GCHQ đã từ chối bình luận vì câu chuyện này, và đã khăng khăng rằng các hành động của nó là “cần thiết và phù hợp về pháp lý”.

Sự khởi đầu

Gốc gác của cuộc tấn công vào Belgacom có thể được lần vết ngược về năm 2009, khi GCHQ đã bắt đầu phát triển các kỹ thuật mới để đột nhập vào các mạng viễn thông. Các phương pháp đó đã được thảo luận và phát triển trong một loạt các hội nghị “phát triển các dấu hiệu” tuyệt mật, được tổ chức hàng năm ở các nước được gọi là liên minh giám sát “5 cặp mắt”: Mỹ, Anh, Úc, New Zealand và Canada.

Giữa các năm 2009 - 2011, GCHQ đã làm việc với các đồng minh của mình để phát triển các công cụ và các công nghệ mới, tinh vi phức tạp mà nó có thể sử dụng để quét các mạng toàn cầu đối với các điểm yếu và sau đó thâm nhập vào chúng. Theo các tài liệu tuyệt mật của GCHQ, cơ quan này đã muốn áp dụng các phương pháp mới hung hăng một phần tính tới sử dụng mã hóa bảo vệ tính riêng tư - những gì nó đã mô tả như là “vấn đề mã hóa”.

Khi các giao tiếp truyền thông được gửi khắp các mạng ở định dạng được mã hóa, nó làm khó hơn nhiều đối với các gián điệp để can thiệp và hiểu ý nghĩa của các thư điện tử, các cuộc gọi điện thoại, các thông tin văn bản, các cuộc chat qua Internet, và các phiên duyệt web. Đối với GCHQ, đã có một giải pháp đơn giản. Cơ quan này đã quyết định rằng, ở những nơi có thể, nó có thể tìm được các cách để đột nhập vào các mạng truyền thông để chộp lấy giao thông trước khi nó được mã hóa.

Các gián điệp Anh đã nhận diện Belgacom như một mục tiêu hàng đầu để thâm nhập. Hãng này, cùng với chi nhánh của nó là Belgacom International Carrier Services (Các dịch vụ Vận chuyển Quốc tế Belgacom), đóng một vai trò quan trọng ở châu Âu, và có các mối quan hệ đối tác với hàng trăm công ty viễn thông khắp thế giới - ở châu Phi, châu Á, châu Âu, Trung Đông và Mỹ. Chi nhánh Belgacom này duy trì một trong những đầu mối (hub) “chuyển vùng” (roaming) lớn nhất thế giới, có nghĩa là khi những người viếng thăm ngoại quốc du lịch qua châu Âu trong các kỳ nghỉ hoặc các chuyến công tác sử dụng các điện thoại di động của họ, thì nhiều trong số họ kết nối tới các mạng chuyển tải quốc tế của Belgacom.

Các tài liệu của Snowden chỉ ra rằng GCHQ đã muốn giành được sự truy cập tới Belgacom sao cho nó có thể gián điệp các điện thoại được sử dụng của các mục tiêu giám sát du lịch ở châu Âu. Nhưng cơ quan này cũng đã có một động thái tiếp sau. Một khi nó đã đột nhập được vào các hệ thống của Belgacom, thì GCHQ đã có kế hoạch đột nhập vào các liên kết dữ liệu kết nối Belgacom và các đối tác quốc tế, giám sát các giao tiếp truyền thông được truyền giữa châu Âu và phần còn lại của thế giới. Một bản đồ trong các tài liệu của GCHQ, có tên là “Các kết nối của Belgacom” (Belgacom_connections) nhấn mạnh sự vươn tới của hãng này khắp châu Âu, Trung Đông, và Bắc Phi, minh họa vì sao các gián điệp Anh đã coi nó có giá trị cao như vậy.

Lên kế hoạch tấn công

Trước khi GCHQ tung ra cuộc tấn công của nó vào các hệ thống của Belgacom, cơ quan gián điệp này đã tiến hành sự trinh sát sâu, sử dụng các hệ thống giám sát mạnh của nó để giấu giếm vẽ bản đồ mạng của hãng và nhận diện các nhân viên chủ chốt “trong các lĩnh vực có liên quan về duy trì và an toàn”.

Các tài liệu của GCHQ chỉ ra rằng nó duy trì các cơ sở dữ liệu đặc biệt cho mục đích này, lưu trữ các chi tiết về các máy tính được các nhân viên và các quản trị hệ thống sử dụng, những người làm việc trong trung tâm đầu não, hoặc “trung tâm vận hành mạng”, của các mạng máy tính toàn cầu. Các kỹ sư và các quản trị hệ thống đặc biệt được các gián điệp quan tâm tới vì họ quản lý các mạng - và nắm giữ các khóa có thể được sử dụng để mở khóa các kho dữ liệu riêng tư lớn.

GCHQ đã phát triển một hệ thống gọi là NOCTURNAL SURGE để tìm kiếm các kỹ sư và các quản trị hệ thống đặc biệt bằng việc tìm các địa chỉ IP của họ, các mã định danh độc nhất của họ được phân bổ cho các máy tính khi họ kết nối vào Internet. Đầu năm 2011, các tài liệu chỉ ra, GCHQ đã chỉnh lại hệ thống NOCTURNAL SURGE với sự trợ giúp của các đối tác Canada, những người đã phát triển một công cụ tương tự, có tên là PENTAHO.

GCHQ đã thu hẹp lại các địa chỉ IP mà nó tin đã được kết nối tới các kỹ sư của Belgacom bằng việc sử dụng các hệ thống giám sát của nó đã thu thập về các hoạt động Internet, trước khi chuyển vào những gì có thể là các giai đoạn cuối trước khi tung ra cuộc tấn công của mình. Các tài liệu chỉ ra rằng cơ quan này đã sử dụng một công cụ có tên là HACIENDA để quét các điểm truy cập tiềm tàng bị tổn thương trong các mạng của Belgacom; nó sau đó đã đi săn các kỹ sư hoặc quản trị viên đặc biệt mà nó có thể gây lây nhiễm với các phần mềm độc hại.

Sự lây nhiễm

Các gián điệp Anh, một phần của đơn vị đặc biệt có tên là Trung tâm Phân tích Mạng (Network Analysis Center), đã bắt đầu giăng lưới qua các kho khổng lồ của họ các dữ liệu Internet bị can thiệp để có thêm các chi tiết về các cá nhân mà họ đã nhận diện được như là các kỹ sư đáng ngờ của Belgacom.

Các gián điệp đã sử dụng các địa chỉ IP mà họ đã giao tiếp với các kỹ sư như là các khoản tìm kiếm để sàng lọc qua các kết quả tìm kiếm giám sát của họ, và đã nhanh chóng có khả năng để tìm ra những gì họ cần để khẳng định mã định danh của các nhân viên và nhằm vào họ từng cá nhân với các phần mềm độc hại.

Khẳng định này tới ở dạng các “cookies” của Google, Yahoo, và LinkedIn, các tệp bé tẹo độc nhất tự động đặc vào các máy tính để nhận diện và đôi khi lần vết mọi người duyệt Internet, thường vì các mục đích quảng cáo. GCHQ duy trì một kho khổng lồ có tên là MUTANT BROTH lưu trữ hàng tỷ cookies bị can thiệp đó, nó sử dụng để so sánh với các địa chỉ IP để xác định nhận diện một người. GCHQ tham chiếu tới các cookies trong nội bộ như là “các mã định danh dò tìm đích ngắm”.

Các tài liệu tuyệt mật của GCHQ gọi tên 3 kỹ sư nam của Belgacom đã được nhận diện như là các mục tiêu để tấn công. Intercept đã khẳng định được nhận diện của 3 người này, và đã liên hệ với từng người trong số họ trước khi xuất bản câu chuyện này; tất cả 3 người đã từ chối bình luận và đã yêu cầu rằng các nhận diện của họ không được tiết lộ.

GCHQ đã theo dõi các thói quen duyệt web của các kỹ sư đó, và hướng vào pha quan trọng và nhạy cảm nhất của chiến dịch bí mật này. Cơ quan này đã lên kế hoạch thực hiện cái gọi là cuộc tấn công “Quantum Insert”, có liên quan tới việc tái định tuyến những người bị ngắm đích để giám sát tới một website mà gây lây nhiễm các máy tính của họ bằng các phần mềm độc hại nhanh như chớp. Trong trường hợp này, các tài liệu chỉ ra rằng GCHQ thiết lập một trang độc hại trông giống như LinkedIn để lừa các kỹ sư Belgacom. (NSA cũng sử dụng Quantum Insert để nhằm vào mọi người, như Intercept trước đó đã nêu).

Một tài liệu của GCHQ rà soát lại các hoạt động được tiến hành giữa tháng 1 và 3/2011 đã lưu ý rằng vụ đột nhập vào Belgacom đã thành công, và nói rằng cơ quan này đã giành được sự truy cập tới các hệ thống của hãng như theo kế hoạch. Bằng việc cài đặt phần mềm độc hại vào các máy tính của các kỹ sư, các gián điệp đã có được sự kiểm soát các máy tính của họ, và đã có khả năng khai thác sự truy cập rộng mà các kỹ sư đó có trong các mạng cho các mục đích giám sát.

Tài liệu đã nêu rằng cuộc tấn công đột nhập chống lại Belgacom đã thâm nhập “vừa sâu trong mạng và vừa rộng khắp mạng”, bổ sung thêm rằng công việc liên tục có thể giúp “tiếp tục truy cập mới này.”

Tới tháng 12/2011, như một phần của một cơn "bùng phát" thứ 2 chống lại Belgacom, GCHQ đã nhận diện được các nhà vận hành di động khác có kết nối tới mạng của hãng như một phần của các đối tác chuyển vùng quốc tế, và đã đột nhập thành công vào các liên kết dữ liệu mang thông tin qua một giao thức được biết tới như là GPRS, nó điều khiển các phiên làm việc và các thông điệp đa phương tiện các phiên duyệt Internet của các điện thoại di động.

Cơ quan gián điệp này đã có khả năng giành được các dữ liệu từng được gửi giữa Belgacom và các nhà vận hành khác qua các đường hầm (tunnel) được mã hóa như “các mạng riêng ảo”. GCHQ đã khoác lác rằng công việc của nó tiến hành “khai thác” chống lại các mạng riêng đó đã có năng suất cao, nêu rằng “mức độ khổng lồ cơ hội mà công việc này đã nhận diện”. Một tài liệu khác, đề ngày cuối năm 2011, đã bổ sung: “Phân tích Mạng về BELGACOM là khai thác xúc tác thành công khổng lồ”.

GCHQ đã hoàn thành mục tiêu của nó. Cơ quan này đã làm tổn thương nghiêm trọng các hệ thống của Belgacom và có thể can thiệp vào các dữ liệu riêng tư có mã hóa và không có mã hóa truyền qua các mạng của hãng này. Cuộc đột nhập có thể đã không bị dò tìm ra trong 2 năm, cho tới mùa xuân năm 2013.

Sự phát hiện

Vào mùa hè năm 2012, các quản trị hệ thống đã dò tìm ra các lỗi trong các hệ thống của Belgacom. Trong các văn phòng của hãng ở Lebeau Street ở Brussels, một đoạn đi bộ ngắn từ các văn phòng của Nghị viện châu Âu ở Bỉ, các nhân viên của nhánh trực thuộc BICS của Belgacom đã kêu ca về các vấn đề nhận thư điện tử. Máy chủ thư điện tử đã vận hành sai, nhưng đội kỹ thuật của Belgacom có thể vì sao đó không khắc phục được.

Sự cố đã bị để lại không được giải quyết cho tới tháng 6/2013, khi đã có một sự bùng phát ngẫu nhiên. Sau một bản cập nhật phần mềm Windows đã được gửi tới máy chủ thư điện tử Exchange của Belgacom, các vấn đề được quay trở lại, tệ hơn so với trước đó. Các quản trị viên đã liên hệ với Microsoft nhờ trợ giúp, hỏi liệu bản cập nhật Windows mới có thể là lý do của lỗi hay không. Nhưng Microsoft, cũng vậy, đã đấu tranh để nhận diện chính xác những gì đã diễn ra không đúng. Đã không có giải pháp nào được tìm ra. (Microsoft đã từ chối bình luận về câu chuyện này).

Các nguồn tin thân cận với cuộc điều tra đã mô tả các phần mềm độc hại như là tiên tiến nhất mà họ chưa từng được thấy.

Đội an toàn nội bộ Belgacom đã bắt đầu nghi ngờ rằng các hệ thống đã bị lây nhiễm vài dạng virus, và hãng đã quyết định tới lúc phải gọi các chuyên gia bên ngoài. Hãng đã thuê hãng an toàn máy tính Hà Lan Fox-IT tới và quét các hệ thống xem có bất kỳ điều gì khả nghi hay không.

Trước đó, Fox-IT đã phát hiện ra các tệp lạ trong máy chủ thư điện tử của Belgacom mà dường như là được ngụy trang như là các phần mềm hợp pháp của Microsoft. Các tệp nghi vấn đã xúc tác cho một tin tặc tinh vi phức tạp cao để phá hoại các bản cập nhật phần mềm tự động của Microsoft đối với các hệ thống của Belgacom để tiếp tục thâm nhập vào các hệ thống của hãng này.

Khoảng 1 tháng sau khi Belgacom đã nhận diện được phần mềm độc hại, nó đã thông báo cho cảnh sát Bỉ và đơn vị chống tội phạm máy tính liên bang gồm các chuyên gia của nước này, theo các nguồn tin thân cận với sự cố. Tình báo quân đội Bỉ cũng được gọi tới để điều tra vụ đột nhập, cùng với Fox-IT.

Các chuyên gia từ Fox IT và tình báo quân đội đã làm việc để phân loại phần mềm độc hại trong các hệ thống của Belgacom, và đã sốc về những gì họ đã thấy. Trong các cuộc phỏng vấn với tờ Intercept và các đối tác báo chí của nó, các nguồn tin thân cận với cuộc điều tra đã mô tả các phần mềm độc hại như là tiên tiên nhất mà họ từng thấy, và nói rằng nếu máy chủ thư điện tử đã không vận hành sai ngay từ đầu, thì con bọ gián điệp đó có khả năng vẫn nằm bên trong Belgacom vài năm nữa.

Lỗ hổng sâu

Khi làm việc để đánh giá mức độ lây nhiễm ở Belgacom, đội các nhà điều tra đã nhận thức được rằng thiệt hại là lớn hơn nhiều so với họ nghĩ ban đầu. Phần mềm độc hại đã không chỉ làm tổn thương các máy chủ thư điện tử của Belgacom, nó đã gây lây nhiễm hơn 120 hệ thống máy tính được hãng này vận hành, bao gồm cả gần 70 máy tính cá nhân.

Phát hiện nghiêm trọng nhất từng là các bộ định tuyến router lớn hình thành nên cốt lõi các mạng truyền mang quốc tế của Belgacom, được hãng Cisco của Mỹ sản xuất, cũng đã được thấy bị tổn thương và bị lây nhiễm. Các bộ định tuyến router đó là một tỏn những phần cảnh giới sát sao nhất trong hạ tầng của hãng, vì chúng điều khiển các dòng truyền thống riêng tư nhạy cảm khổng lồ truyền qua các mạng của hãng.

Các rò rỉ trước đó của Snowden đã chỉ ra làm thế nào NSA có thể gây tổn thương cho các bộ định tuyến router, như các bộ được Cisco vận hành; cơ quan đó có thể đột nhập chúng từ ở xa, hoặc can thiệp vật lý và cấy rệp vào chúng trước khi chúng được cài đặt ở một công ty. Trong trường hợp của Belgacom, còn chưa rõ chính xác phương pháp nào đã được GCHQ sử dụng - hoặc liệu đã có bất kỳ sự hỗ trợ trực tiếp nào của NSA hay không. (NSA đã từ chối bình luận về câu chuyện này).

Dù cách nào, thì các nhà điều tra phần mềm độc hại ở Belgacom cũng không bao giờ có cơ hội để nghiên cứu các bộ định tuyến router. Sau sự lây nhiễm các bộ định tuyến router của Cisco được tìm thấy, hãng này đã đưa ra một chỉ thị rằng không ai có thể can thiệp chúng. Các ông chủ Belgacomđã khẳng định rằng chỉ các nhân viên từ Cisco có thể điều khiển các bộ định tuyến router đó, điều đã gây ra sự không thoải mái giữa các nhà điều tra.

“Bạn có thể hỏi nhiều công ty an toàn để điều tra các bộ định tuyến router đó”, một trong những nhà điều tra đã nói với Intercept. Bằng việc mang các nhân viên Cisco tới để tiến hành điều tra, “bạn không thể thực hiện sự thanh tra độc lập được”, nguồn tin nói, người đã yêu cầu nặc danh vì không có thẩm quyền nói cho giới truyền thông.

Một người phát ngôn cho Cisco đã từ chối bình luận về cuộc điều tra của Belgacom, trích chính sách của hãng. “Cisco không bình luận công khai về các mối quan hệ khách hàng hoặc các sự cố đặc biệt của khách hàng”, người phát ngôn này nói.

Ngay sau khi phần mềm độc hại được tìm thấy trong các bộ định tuyến router, Fox-IT đã được Belgacom nói dừng cuộc điều tra của nó. Các nhà nghiên cứu từ công ty an toàn của Hà Lan đã được yêu cầu viết báo cáo về những phát hiện của họ càng sớm càng tốt. Dưới các điều kiện của một thỏa thuận không công bố, họ có thể không nói về những gì họ đã thấy, học cũng có thẻ không cảnh báo công khai chống lại phần mềm độc hại đó. Hơn nữa, họ đã không được phép loại bỏ phần mềm độc hại đó.

Giữa cuối tháng 8 và giữa tháng 9/2013, đã có một giai đoạn tăng cường hoạt động xung quanh Belgacom.

Vào ngày 30/08, vài phần của phần mềm độc hại đó đã được xóa từ xa khỏi các hệ thống bị lây nhiễm của hãng - hình như sau khi các gián điệp Anh đã nhận thức được rằng nó đã bị dò tìm ra. Nhưng phần mềm độc hại đó vẫn chưa được loại bỏ hoàn toàn, theo các nguồn tin thân cận với cuộc điều tra.

2 tuần sau, vào ngày 14/09, các nhân viên từ Belgacom, các nhà điều tra, cảnh sát và các dịch vụ tình báo quân đội đã bắt đầu một nỗ lực tăng cường để làm sạch hoàn toàn con bọ gián điệp khỏi các hệ thống.

Trong chiến dịch này, các nhà báo đã lần đầu tiên mách về cuộc điều tra phần mềm độc hại đó. Các đối tác Hà Lan và Bỉ của Intercept là NRC Handelsblad và De Standaard đã đưa tin, tiết lộ rằng các nguồn thân cận với cuộc điều tra đã nghi ngờ NSA hoặc GCHQ có lẽ có trách nhiệm về cuộc tấn công đó.

Cùng ngày câu chuyện này vỡ ra, hôm 16/09, Belgacom đã đưa ra thông cáo báo chí. “Trong giai đoạn này không có chỉ số nào về bất kỳ ảnh hưởng nào đối với các khách hàng và các dữ liệu của họ”, thông cáo nêu. “Không ở thời điểm nào sự phân phối các dịch vụ viễn thông của chúng tôi đã bị tổn thương cả”.

Sau đó, ngày 20/09, tạp chí tin tức của Đức Der Spiegel đã xuất bản các tài liệu từ Snowden hé lộ rằng các gián điệp Anh đã đứng đằng sau cuộc đột nhập đó, đưa ra khẳng định đầu tiên về sự nhận diện kẻ tấn công.

Các nguồn tin đáng kể

Trong hậu quả của các tiết lộ, Belgacom đã từ chối bình luận về vai trò của GCHQ như là kiến trúc sư của sự thâm nhập trái phép. Các quan chức hàng đầu từ hãng đã được gọi để xuất hiện trước một ủy ban của Nghị viện châu Âu điều tra mức độ giám sát ồ ạt được Snowden tiết lộ.

Các ông chủ Belgacom đã nói cho ủy ban rằng đã không có vấn đề gì với các hệ thống của Belgacom sau một chiến dịch làm sạch “kỹ càng”, và một lần nữa nêu rằng các giao tiếp truyền thông riêng tư đã không bị tổn thương. Họ bỏ qua các báo cáo truyền thông về cuộc tấn công, và từ chối thảo luận bất kỳ điều gì về thủ phạm, chỉ nói rằng “các tin tặc [có trách nhiệm] có các tài nguyên đáng kể đằng sau họ”.

Mọi người có hiểu biết về cuộc điều tra phần mềm độc hại đó đã xem các tuyên bố công khai của Belgacom với sự quan tâm. Và vài người trong số họ đã nghi ngờ phiên bản các sự kiện của hãng.

“Đã chỉ có mọt phần được làm sạch”, một nguồn tin thân cận với cuộc điều tra phần mềm độc hại nói. “Tôi tin nó vẫn còn ở đó. Là rất khó để loại bỏ nó và, từ những gì tôi đã thấy, Belgacom đã không bao giờ có nỗ lực nghiêm túc để loại bỏ nó cả”.

Belgacom đã từ chối bình luận về câu chuyện này, trích cuộc điều tra tội phạm đang diễn ra ở Bỉ.

Tháng trước, tờ Intercept đã khẳng định Regin như là phần mềm độc hại được tìm thấy trong các hệ thống của Belgacom trong quá trình chiến dịch làm sạch.

Con bọ gián điệp đã được các nhà nghiên cứu an toàn mô tả như là một trong những mẩu phần mềm độc hại tinh vi phức tạp nhất được phát hiện từ trước tới nay, và đã được thấy đã và đang nhằm vào một đống các mạng viễn thông, các chính phủ, và các tổ chức nghiên cứu, ở các nước như Đức, Iran, Brazil, Nga và Syria, cũng như ở Bỉ.

GCHQ đã từ chối bình luận về Regin, hệt như NSA, và Belgacom. Nhưng các tài liệu của Snowden có bằng chứng mạnh, nó còn chưa được nêu trước đó, kết nối trực tiếp tới các gián điệp Anh về phần mềm độc hại đó.

Ngoài việc chỉ ra các chi tiết tăng cường về cách mà các gián điệp Anh đã thâm nhập trái phép công ty đó và đã cài cắm phần mềm độc hại để thành công ăn cắp các dữ liệu, các tài liệu của GCHQ trong kho lưu trữ của Snowden có các tên mã mà cũng xuất hiện trong các mẫu của phần mềm độc hại Regin được tìm thấy trong các hệ thống của Belgacom, như “Legspin” và “Hopscotch”.

Một tài liệu của GCHQ về sử dụng các phương pháp đột nhập tham chiếu tới sử dụng “Legspin” để khai thác các máy tính. Tài liệu khác mô tả “Hopscotch” như một phần của một hệ thống mà GCHQ sử dụng để phân tích dữ liệu thu thập được qua sự giám sát.

Ronald Prins, giám đốc công ty an toàn máy tính Fox-IT, đã nghiên cứu phần mềm độc hại này, và đã đóng một vai trò trong phân tích các mạng bị lây nhiễm của Belgacom, nói:

“Các tài liệu từ Snowden và những gì tôi đã thấy từ phần mềm độc hại đó chỉ có thể dẫn tới một kết luận”, Prins đã nói cho tờ Intercept. “Điều này đã được GCHQ sử dụng”.

———

Các tài liệu được xuất bản với bài báo này:

• Automated NOC detection
• Mobile Networks in My NOC World
• Making network sense of the encryption problem
• Stargate CNE requirements
• NAC review – October to December 2011
• GCHQ NAC review – January to March 2011
• GCHQ NAC review – April to June 2011
• GCHQ NAC review – July to September 2011
• GCHQ NAC review – January to March 2012
• GCHQ Hopscotch
• Belgacom connections

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com