Sự lây nhiễm toàn cầu của phần mềm theo dõi FinFisher

<blockquote><b >Lời dẫn:</b>

Mới đây ngày 13/3/2013, CitizenLab, phòng nghiên cứu tại
trường quan hệ toàn cầu Munk, thuộc Đại học Toronto Canada,
đã công bố báo cáo đặc biệt về sự lây lan phần mềm theo
dõi FinSpy của hãng Gamma International, <b ><i >trong đó đặc biệt
ở Ethiopia và Việt Nam nhằm mục đích chính trị</i></b>. Gamma
International là một trong các công ty bị tổ chức Phóng viên
không biên giới (RSF) mới đây xếp vào 1 trong năm công ty là
"Kẻ thù của Internet" năm 2013. </blockquote>

<div class="rightalign"> <i>13/3/2013</i></div>

<i >Bài viết này mô tả kết quả một đợt quét Internet
toàn cầu để tìm các server điều khiển và ra lệnh của phần
mềm do thám FinFisher. Nó cũng mô tả chi tiết việc phát hiện
ra một chiến dịch sử dụng FinFisher ở Ethiopia nhằm vào các
cá nhân liên quan tới một nhóm đối lập. Ngoài ra nó cũng cung
cấp kết quả kiểm tra một mẫu FinSpy Mobile tìm thấy trên
mạng cho thấy đã được sử dụng tại Việt Nam.</i>

<h3>Tổng kết các phát hiện then chốt</h3>

<ul type="disc"> <li >Chúng tôi đã tìm ra các server ra lệnh
và kiểm soát của các FinSpy backdoor, một phần của
"giải pháp kiểm soát từ xa" FinFisher của hãng Gamma
International trong tất cả 25 quốc gia gồm: Úc, Ba-rên,
Băng-la-đét, Bru-nây, Canada, Séc, Estonia, Ethiopia, Đức,
Ấn-độ, Indonesia, Nhật, Latvia, Malaysia, Mexico, Mông-cổ, Hà
Lan, Quatar, Séc-bi-a, Singapore, Turkemnistan, Ả-rập, Anh,
Mỹ và Việt Nam.</li>
<li >Một chiến dịch FinSpy tại Ethiopia sử dụng hình
ảnh của Ginbot 7, một nhóm đối lập tại Ethiopia, làm
mồi để lây nhiễm vào máy người dùng. Hành động
này tiếp diễn chủ đề về các đợt triển khai FinSpy
với mục đích chính trị.</li>
<li >Có bằng chứng rõ ràng về một chiến dịch dùng
FinSpy Mobile ở Việt Nam. Chúng tôi đã tìm thấy mẫu FinSpy
Mobile cho Android trên mạng với server ra lệnh và điều
khiển ở Việt Nam và gửi tin nhắn về cho một số
mobile tại Việt Nam.</li>
<li >Những phát hiện này phản bác việc Gamma International
trước đó đã cho rằng các server được phát hiện
trước đó không phải nằm trong dòng sản phẩm của họ,
và các bản phầm mềm của họ được phát hiện trước
đó hoặc bị ăn cắp hoặc là bản demo.</li> </ul>

<h2>1. Nhập đề</h2>

FinFisher là một dòng phần mềm do thám và xâm nhập từ xa
phát triển bởi công ty Gamma International GmbH đặt tại Munich,
Đức. Các sản phẩm FinFisher được tiếp thị và bán rộng
rãi cho các cơ quan an ninh bởi tập đoàn Gamma đặt tại Anh
quốc. Mặc dù kêu là một bộ công cụ "can thiệp hợp
pháp" để theo dõi tội phạm, nhưng FinFisher đã có tiếng
xấu vì được sử dụng trong các cuộc tấn công có chủ đích
nhằm vào các nhà hoạt động nhân quyền, các nhà bất đồng
chính kiến ở các quốc gia có hồ sơ nhân quyền có vấn đề.

Cuối tháng 7 năm 2012, chúng tôi đã công bố các kết quả
của một cuộc điều tra vào một chiến dịch email đáng nghi
ngờ nhằm vào các nhà hoạt động tại Bahrain. Chúng tôi đã
phân tích các file đính kèm và phát hiện rằng chúng có chứa
phần mềm gián điệp (spyware) FinSpy, một sản phẩm để kiểm
soát từ xa của FinFisher. FinSpy thu thập các thông tin từ một
máy tính bị lây nhiễm, như các mật khẩu và cuộc gọi qua
Skype, rồi gửi về một server điều khiển và ra lệnh FinSpy
(command & control server). Các file đính kèm chúng tôi đã phân
tích gửi dữ liệu về một server trong lãnh thổ Bahrain.

Phát hiện này đã thúc đẩy các nhà nghiên cứu tìm kiếm
các server điều khiển & ra lệnh khác để hiểu xem làm FinFisher
được sử dụng đại trà như thế nào. Ông Caludio Guanrieri
tại Rapid7 (một trong những tác giả của báo cáo này) là
người đầu tiên tìm kiếm các server đó. Ông đã lấy "dấu
vân tay" của server tại Bahrain và tìm kiếm trong dữ liệu
quét Internet để tìm kiếm các server khác trên thế giới mà có
cùng dấu vân tay. Rapid7 đã công bố danh sách các server này và
mô tả kỹ thuật lấy dấu của họ. Các nhóm khác như
CrowdStrike và SpiderLabs cũng đã phân tích và công bố báo cáo
về phần mềm FinSpy.

Ngay sau khi ra báo cáo, các server này đã được cập nhật
để xoá cách bị phát hiện bằng dấu vân của Rapid7. Chúng
tôi đã nghĩ ra một kỹ thuật lấy dấu khác và quét một
phần của Internet. Chúng tôi đã khẳng định các kết quả
của Rapid7, và cũng tìm được vài server mới bao gồm một cái
ở trong Bộ Truyền thông của Turkmenistan. Chúng tôi đã công
bố danh sách server của mình vào cuối tháng 8 năm 2012, cùng
với bản phân tích các phiên bản di động của FinSpy. Các
server FinSpy lại được cập nhật vào tháng 10 năm 2012 để vô
hiệu hoá kỹ thuật lấy vân mới, mặc dù chưa từng được
công bố.

Tuy nhiên, bằng cách phân tích các mẫu đã có và quan sát các
server điều khiển & ra lệnh, chúng tôi đã phát hiện ra các
phương pháp lấy dấu mới và tiếp tục quét Internet để tìm
phần mềm do thám này. Các kết quả được công bố trong bài
viết này.

Các nhóm hoạt động xã hội đã tìm ra nguyên nhân đáng quan
tâm qua những phát hiện này; như họ chỉ ra việc dùng các
sản phẩm FinFisher tại các quốc gia như Turkmenistan và Bahrain,
nơi có hồ sơ xấu về nhân quyền, tính minh bạch và tuân thủ
luật pháp. Tháng 8 năm 2012, trả lời một bức thư của tổ
chức Quyền riêng tư Thế giới đặt tại Anh, chính phủ Anh
đã tiết lộ rằng trong quá khứ họ đã kiểm tra một phiên
bản của FinSpy và trao đổi với Gamma về việc cần có giấy
phép để xuất khẩu phiên bản đó ra ngoài EU. Gamma đã liên
tục từ chối liên hệ với các phần mềm gián điệp và các
server điều khiển bị phát hiện bởi nghiên cứu của chúng
tôi, cho rằng các server đó "không phải dòng sản phẩm
FinFisher". Gamm cũng tuyên bố phần mềm gián điệp gửi tới
cho các nhà hoạt động tại Bahrain là một bản demo đã cũ
của FinSpy, bị đánh cắp trong một buổi thuyết trình sản
phẩm.

Tháng 2 năm 2013, Privacy International, ECCHR – European Centre for
Constitutional & Human Rights (Trung tâm vì Hiến pháp và Nhân quyền
Châu Âu), trung tâm vì nhân quyền của Bahrain, tổ chức Bahrain
Watch, và RSF (Phóng viên không biên giới) đã soạn một bản
khiếu lại với OECD (tổ chức hợp tác phát triển kinh tế),
đòi tổ chức này tiến hành điều tra xem Gamma có vi phạm các
quy tắc OECD cho các doanh nghiệp đa quốc gia với hành vi xuất
khẩu FinSpy sang Bahrain. Bản khiếu nại này đã chất vấn các
phát ngôn trước đó của Gamma, với việc phát hiện ra ít
nhất 2 phiên bản của FinSpy (4.00 và 4.01) tại Bahrain, và việc
serve tại Bahrain là một sản phẩm FinFisher và nhận được các
bản cập nhật từ Gamma. Bản khiếu nại, như công bố của
Privacy International, cáo buộc Gamma về việc:

<ul type="disc"> <li >Không tôn trọng các quyền con người
được quốc tế công nhận của các cá nhân bị ảnh
hưởng bởi các hoạt động của Gamma</li> <li >Gây ra và
góp tác động ngược về nhân quyền trong quá trình
hoạt động kinh doanh của mình</li>
<li >Không ngăn chặn và giảm tác động ngược về nhân
quyền liên quan tới các hoạt động và sản phẩm của
mình; không công bố các tác động đó tại nơi xảy ra</li>
<li >Không thực thi đủ trách nhiệm phải thực thi (due
diligence) (trong đó có trách nhiệm về nhân quyền); và </li>
<li >Không thực thi chính sách cam kết coi trọng nhân
quyền</li> </ul>

Theo báo cáo gần đây, Cảnh sác Liên bang Đức có thể có kế
hoạch mua và sử dụng bộ FinFisher trong phạm vi lãnh thổ
Đức. Trong khi đó, những phát hiện của nhóm chúng tôi và các
nhóm khác tiếp tục cho thấy sự lan rộng toàn cầu của các
sản phẩm FinFisher. Nghiên cứu tiếp tục lật tẩy sự xuất
hiện của FinSpy tại các quốc gia có hồ sơ dân chủ tồi tệ
và thể chế bóp nghẹt về chính trị. Gần đây nhất, điều
tra của tổ chức Bahrain Watch đã xác nhận sự hiện diện của
một chiến dịch dùng FinFisher tại Bahrain, và lần nữa mâu
thuẫn với bản cáo bạch của Gamma trước công luận. Bài
viết này bổ sung phát hiện với bản cập nhật danh sách các
server ra lệnh và điều khiển FinSpy, và mô tả các mẫu FinSpy
tìm được trên mạng cho thấy chúng đã được dùng để nhắm
vào các cá nhân ở Ethiopia và Việt Nam.

Chúng tôi trình bày các kết quả điều tra này với hy vọng
sẽ thúc đẩy hơn nữa các nhóm hoạt động xã hội và các cơ
quan điều tra có thẩm quyền tiếp tục làm rõ các hoạt động
của Gamma, thực hiện các biện pháp kiểm soát xuất khẩu hợp
lý, và làm rõ vấn đề lây lan toàn cầu, không kiểm soát của
các phần mềm theo dõi.

<h2>2. FinFisher: cập nhật kết quả quét toàn cầu</h2>

<center><img
src="https://citizenlab.org/wp-content/uploads/2013/03/youonlyclicktwice-map.jpg"
width="550" /></center>
<center><em>Hình 1. Bản đồ lây nhiễm toàn cầu của
FinFisher</em></center>

Trong tháng 10 năm 2012, chúng tôi đã quan sát thấy các server
FinSpy bắt đầu thay đổi hành vi. Chúng dừng phản ứng với
dấu vân của chúng tôi, phương pháp này khai thác một khe trong
giao thức kết nối đặc thù của FinSpy. Chúng tôi tin rằng
điều này chứng tỏ Gamma hoặc đã độc lập thay đổi giao
thức FinSpy, hoặc đã phát hiện ra các điểm mấu chốt trong
dấu vân của chúng tôi, mặc dù nó chưa từng được công bố.

Trước chuyển biến đó, chúng tôi đã nghĩ ra một kỹ thuật
lấy vân mới và tiến hành quét Internet để tìm các server
điều khiển & ra lệnh của FinSpy. Đợt quét này mất gần 02
tháng và gửi đi hơn 12 tỷ gói tin. Chúng tôi đã phát hiện ra
tổng số 36 máy chủ FinSpy, trong đó 30 máy mới và 6 máy đã
tìm được trong lần quét trước. Các server này hoạt động ở
19 quốc gia khác nhau, trong đó 7 máy ở các nước mà chúng tôi
chưa từng thấy trước đó.

<strong>Các quốc gia mới</strong>

Canada, Bangladesh, India, Malaysia, Mexico, Serbia, <b >Vietnam</b>

Trong lần quét mới, 16 server đã thấy lần trước không xuất
hiện. Chúng tôi ngờ rằng sau các lần quét trước được công
bố thì nhà vận hành đã chuyển chúng đi. Nhiều server bị
tắt hay di chuyển sau khi công bố các kết quả lần trước,
nhưng trước bản cập nhật tháng 10/2012. Chúng tôi đã không
tìm ra FinSpy server tại 4 quốc gia có mặt lần trước (Brunây,
Liên hợp Ả-rập, Latvia và Mông-cổ). Tổng hợp lại, FinSpy
server hiện tại có mặt tại 25 nước:

Úc, Bahrain, Băng-la-đét, Bru-nây, Canada, CH Séc, Estonia, Ethiopia,
Đức, Ấn độ, Indonesia, Nhật Bản, Latvia, Malaysia, Mexico,
Mông-cổ, Hà-lan, Qatar, Séc-bi-a, Singapore, Turkmenistan, Liên hợp
Ả-rập, vương quốc Anh, Mỹ và Việt Nam.

Quan trọng là chúng tôi tin rằng danh sách này chưa phải là
tất cả do số cổng FinSpy server sử dụng rất nhiều. Ngoài ra,
việc phát hiện ra một FinSpy server tại một quốc gia không
phải là chỉ số đầy đủ để kết luận việc các cơ quan
luật pháp và mật vụ ở đó đang sử dụng. Trong một số
trường hợp, các server này được vận hành bởi các nhà cung
cấp dịch vụ host thương mại và có thể được thuê bởi
bất kỳ phần tử nào ở bất kỳ quốc gia nào.

Bảng dưới đây liệt kê các FinSpy server bị phát hiện trong
đợt quét mới nhất. Chúng tôi liệt kê đầy đủ địa chỉ
IP của các server đã được công bố lần trước. Với các
server chưa công bố, chúng tôi ẩn đi 2 số cuối. Việc công
bố đầy đủ địa chỉ IP như lần trước không có có ích vì
sau đó các server này nhanh chóng được tắt và di chuyển.

<table > <tbody>
<tr > <td > <b>IP</b>
</td> <td > <b>Nhà vận hành</b>
</td> <td > <b>Dẫn hướng tới</b>
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > GPLHost
</td> <td > Australia
</td> </tr> <tr > <td > 77.69.181.162
</td> <td > Batelco ADSL Service
</td> <td > Bahrain
</td> </tr> <tr > <td > 180.211.xxx.xxx
</td> <td > Telegraph & Telephone Board
</td> <td > Bangladesh
</td> </tr> <tr > <td > 168.144.xxx.xxx
</td> <td > Softcom, Inc.
</td> <td > Canada
</td> </tr> <tr > <td > 168.144.xxx.xxx
</td> <td > Softcom, Inc.
</td> <td > Canada
</td> </tr> <tr > <td > 217.16.xxx.xxx
</td> <td > PIPNI VPS
</td> <td > Czech Republic
</td> </tr> <tr > <td > 217.146.xxx.xxx
</td> <td > Zone Media UVS/Nodes
</td> <td > Estonia
</td> </tr> <tr > <td > 213.55.99.74
</td> <td > Ethio Telecom
</td> <td > Estonia
</td> </tr> <tr > <td > 80.156.xxx.xxx
</td> <td > Gamma International GmbH
</td> <td > Germany
</td> </tr> <tr > <td > 37.200.xxx.xxx
</td> <td > JiffyBox Servers
</td> <td > Germany
</td> </tr> <tr > <td > 178.77.xxx.xxx
</td> <td > HostEurope GmbH
</td> <td > Germany
</td> </tr> <tr > <td > 119.18.xxx.xxx
</td> <td > HostGator
</td> <td > India

</td> </tr> <tr > <td > 119.18.xxx.xxx
</td> <td > HostGator
</td> <td > India
</td> </tr> <tr > <td > 118.97.xxx.xxx
</td> <td > PT Telkom
</td> <td > Indonesia
</td> </tr> <tr > <td > 118.97.xxx.xxx
</td> <td > PT Telkom
</td> <td > Indonesia
</td> </tr> <tr > <td > 103.28.xxx.xxx
</td> <td > PT Matrixnet Global
</td> <td > Indonesia
</td> </tr> <tr > <td > 112.78.143.34
</td> <td > Biznet ISP
</td> <td > Indonesia
</td> </tr> <tr > <td > 112.78.143.26
</td> <td > Biznet ISP
</td> <td > Indonesia
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > Iusacell PCS
</td> <td > Malaysia
</td> </tr> <tr > <td > 201.122.xxx.xxx
</td> <td > UniNet
</td> <td > Mexico
</td> </tr> <tr > <td > 164.138.xxx.xxx
</td> <td > Tilaa
</td> <td > Netherlands
</td> </tr> <tr > <td > 164.138.28.2
</td> <td > Tilaa
</td> <td > Netherlands
</td> </tr> <tr > <td > 78.100.57.165
</td> <td > Qtel – Government Relations
</td> <td > Qatar
</td> </tr> <tr > <td > 195.178.xxx.xxx
</td> <td > Tri.d.o.o / Telekom Srbija
</td> <td > Serbia
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > GPLHost
</td> <td > Singapore
</td> </tr> <tr > <td > 217.174.229.82
</td> <td > Ministry of Communications
</td> <td > Turkmenistan
</td> </tr> <tr > <td > 72.22.xxx.xxx
</td> <td > iPower, Inc.
</td> <td > United States
</td> </tr> <tr > <td > 166.143.xxx.xxx
</td> <td > Verizon Wireless
</td> <td > United States
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > GPLHost
</td> <td > United States
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > GPLHost
</td> <td > United States
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > GPLHost
</td> <td > United States
</td> </tr> <tr > <td > 117.121.xxx.xxx
</td> <td > GPLHost
</td> <td > United States
</td> </tr> <tr > <td > <b >183.91.xxx.xxx</b>
</td> <td > <b >CMC Telecom Infrastructure Company</b>
</td> <td > <b >Vietnam</b><b ></b>
</td> </tr> </tbody></table>

Một số điểm đặc biệt đáng chú ý:

<ul type="disc"> <li >8 server vận hành bởi GPLHost tại
nhiều quốc gia khác nhau (Singapore, Malaysia, Australia, US).
Tuy nhiên, chúng tôi quan sát thấy chỉ 6 máy hoạt động
liên tục, chứng tỏ vài địa chỉ IP đã đổi trong khi
quét.</li>
<li >Một server tại Mỹ có thông tin đăng ký là "Gamma
International GmbH," và người liên lạc là "Martin
Muench."</li>
<li >Có một FinSpy server có IP trong dải đăng ký cho
"Verizon Wireless." Verizon Wireless bán các dải IP cho các
khách hàng doanh nghiệp, vì vậy không nhất thiết kết
luận rằng Verizon Wireless tự vận hành các server này hay
các khách hàng của họ đang bị theo dõi.</li>
<li >Một server ở Qatar trước đó bị phát hiện bởi nhóm
Rapid7 có vẻ hoạt động trở lại. Server này nằm trong
dải 16 IP đăng ký cho "Qtel – Corporate accounts – Government
Relations." Dải này cũng chứa website <a
href="http://qhotels.gov.qa/">http://qhotels.gov.qa/</a>.</li> </ul>

<h2>3. Ethiopia và Vietnam: Báo cáo chi tiết về các mẫu mới</h2>

<h3>3.1 FinSpy ở Ethiopia</h3>

Chúng tôi đã phân tích một mẫu phần mềm độc (malware)
bắt được gần đây và xác định chính là FinSpy. Malware này
dùng hình ảnh các thành viên nhóm đối lập Ethiopia, Ginbot 7,
làm mồi nhử. Malware này liên lạc với một Finspy server tại
Ethiopia, mà đã bị Rapid7 phát hiện lần đầu vào tháng 8 năm
2012. Server này luôn hiện diện trong mọi lần quét và tiếp
tục hoạt động tại thời điểm ra báo cáo này. Nó có địa
chỉ trong dải quản lý bởi Ethio Telecom, nhà cung cấp dịch vụ
viễn thông quốc doanh tại Ethiopia.

<blockquote>IP: 213.55.99.74
route: 213.55.99.0/24
descr: Ethio Telecom
origin: AS24757
mnt-by: ETC-MNT
member-of: rs-ethiotelecom
source: RIPE # Filtered
</blockquote>

Server này có vẻ được cập nhật theo cùng một cách với các
server khác, bao gồm các server ở Bahrain và Turkmenisstan

<table > <tbody><tr > <td > MD5
</td> <td > 8ae2febe04102450fdbc26a38037c82b
</td> </tr> <tr > <td > SHA-1
</td> <td > 1fd0a268086f8d13c6a3262d41cce13470886b09
</td> </tr> <tr > <td > SHA-256
</td> <td >
ff6f0bcdb02a9a1c10da14a0844ed6ec6a68c13c04b4c122afc559d606762fa
</td> </tr> </tbody></table>

Mẫu này tương tự mẫu FinSpy đã được phân tích trước đó
gửi tới cho các nhà hoạt động tại Bahrain năm 2012. Giống
như mẫu ở Bahrain, malware này tự di chuyển và thả một hình
ảnh JPG với cùng tên file như của nó khi bị kích hoạt bởi
người dùng sơ hở. Đây là thủ đoạn để lừa nạn nhân tin
rằng file mở ra không phải là độc hại. Sau đây là các
điểm tương đồng cơ bản giữa các mẫu:

<ul type="disc"> <li >Nhãn thời gian PE "2011-07-05 08:25:31"
hệt như mẫu tại Bahrain.</li>
<li >Chuỗi sau (tìm thấy trong tiến trình bị lây nhiễm
bởi malware), tự chỉ ra malware và tương tự mẫu tìm
thấy ở Bahrain:
<center><img src="http://danluan.org/files/u1/sub03/image003_0.png"
width="500" height="207" alt="image003_0.png" /></center>
</li>
<li >Các mẫu tìm thấy có cùng file driverw.sys file, <i
>SHA-256:
62bde3bac3782d36f9f2e56db097a4672e70463e11971fad5de060b191efb196</i>.</li>
</ul>

<center><img src="http://danluan.org/files/u1/sub03/image005.png" width="270"
height="535" alt="image005.png" /></center>
<center> <em>Hình 2: Hình ảnh dùng để gài bẫy là hình các
thành viên nhóm đối lập Ginbot7 tại Ethiopia</em></center>

Trong trường hợp này ảnh được sử dụng là ảnh các thành
viên nhóm đối lập Ginbot7 tại Ethiopia. Năm 2011 chính phủ
Ethiopia gán cho Ginbot7 là nhóm khủng bố. Uỷ ban bảo vệ nhà
báo (CPJ) và tổ chức Theo dõi Nhân quyền đều chỉ trích hành
vi vu khống này. CPJ đã chỉ ra rằng điều này gây ra tác dụng
xấu tới các báo cáo chính trị hợp pháp về nhóm này và lãnh
tụ của nó.

Sự tồn tại của mẫu FinSpy sử dụng hình ảnh riêng ở
Ethiopia và liên lạc với một server FinSpy tại Ethiopia chứng
tỏ rõ ràng rằng chính phủ Ethiopia đang sử dụng FinSpy.

<h3>3.2 FinSpy Mobile tại Việt Nam</h3>

Gần đây chúng tôi đã thu thập và phân tích một mẫu malware
và xác định nó là phầnmềm gián điệp FinSpy Mobile cho Android.
Mẫu này liên lạc với một máy chủ điều khiển và ra lệnh
ở Việt Nam, và gửi tin nhắn báo cáo tới một số mobile ở
Việt Nam.

Bộ phần mềm FinFisher gồm các bản FinSpy cho các hệ điều
hành điện thoại khác nhau như iOS, Android, Windows Mobile, Symbian
và Blackberry. Các tính năng của nó gần với phiên bản trên PC
của FinSpy bị xác nhận tại Bahrain, ngoài ra có các tính năng
đặc thù của di động như tìm về toạ độ GPS, tạo cuộc
gọi gián điệp thầm lặng để nghe nén tiếng động xung quanh
điện thoại. Một bản phân tích chuyên sâu về bộ backdoor
FinSpy Mobile đã được đăng ở bài trước: <a
href="https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/">The
Smartphone Who Loved Me: FinFisher Goes Mobile?</a>

<table > <tbody><tr > <td > MD5
</td> <td > 573ef0b7ff1dab2c3f785ee46c51a54f
</td> </tr> <tr > <td > SHA-1
</td> <td > d58d4f6ad3235610bafba677b762f3872b0f67cb
</td> </tr> <tr > <td > SHA-256
</td> <td >
363172a2f2b228c7b00b614178e4ffa00a3a124200ceef4e6d7edb25a4696345
</td> </tr> </tbody></table>

Mẫu phần mềm gián điệp có 1 file cấu hình cho biết các
tính năng hiện có và lựa chọn đã được bật bởi người
triển khai nó.

<center><img src="http://danluan.org/files/u1/sub03/image007.png" width="500"
height="178" alt="image007.png" /></center>
<center><em> Hình 3: Hình ảnh một phần file cấu hình của phần
mềm FinSpy Mobile</em></center>

Thú vị là file cấu hình còn chỉ ra một số điện thoại ở
Việt Nam để điều khiển và ra lệnh qua SMS:

<blockquote>Section Type: TlvTypeConfigSMSPhoneNumber
Section Data: "+841257725403″</blockquote>

Máy chủ điều khiển và ra lệnh có IP nằm trong dải do công
ty CMC Telecom Infrastructure tại Hà Nội quản lý:

<blockquote>IP Address: 183.91.2.199
inetnum: 183.91.0.0 – 183.91.9.255
netname: FTTX-NET
country: Vietnam
address: CMC Telecom Infrastructure Company
address: Tang 3, 16 Lieu Giai str, Ba Dinh, Ha Noi</blockquote>

Máy chủ này vẫn hoạt động và khớp với "dấu vân tay"
cho một máy chủ của FinSpy. Địa chỉ máy chủ và số điện
thoại điều khiển đều ở Việt Nam chứng tỏ một chiến
dịch theo dõi đang diễn ra ở nước này.

Trong bối cảnh những đe doạ gần đây tới tự do biểu
đạt và hoạt động trên Internet thì việc sử dụng rõ ràng
phần mềm gián điệp FinSpy tại Việt Nam là một điều gây
bức xúc. Năm 2012, Việt Nam đã ra các đạo luật kiểm duyệt
mới trong một chiến dịch bắt giam, đe doạ và xúc nhiễu các
blogger dám phát ngôn đối kháng với chế độ. Tổng cộng xử
17 blogger, trong đó 14 người bị kết án 3 đến 13 năm tù.

<h2>4. Kết luận sơ bộ</h2> Các công ty bán phần mềm theo
dõi và xâm nhập thường kêu rằng các công cụ của họ chỉ
được dùng để theo dõi tội phạm và khủng bố. FinFisher,
VUPEN và Hacking Team đều dùng một ngôn ngữ. Mặc dù vậy, các
bằng chứng liên tục cho thấy rằng các công cụ này thường
được mua bởi các quốc gia mà nơi đó hoạt động chính trị
đối lập và tự do ngôn luận bị đàn áp. Các khám phá của
chúng tôi nhấn mạnh sự mâu thuẫn giữa cáo bạch của Gamma
cho rằng FinSpy chủ yếu được dùng để theo dõi "kẻ xấu"
với các chứng cứ ngày càng nhiều về việc công cụ đó đã
và tiếp tục được sử dụng để chống tại các nhóm đối
lập và các nhà hoạt động nhân quyền.

Trong khi nghiên cứu của chúng tôi làm rõ việc sử dụng công
nghệ này vì mục đích xâm hại nhân quyền, thì rõ ràng có
nhiều quan ngại rộng hơn. Một thị trường toàn cầu, không
kiểm soát cho các công cụ tấn công trên mạng hình thành một
nguy cơ mới về mặt an ninh cho cả doanh nghiệp và quốc gia.
Trong tháng 3 năm 2012, Giám đốc CIA Mỹ James Clapper phát biểu
trong báo cáo hàng năm trước quốc hội:

<em>"…các công ty phát triển và bán các công nghệ chuyên
nghiệp để tiến hành tấn công trên mạng – thường dán nhãn
các công cụ này thành công cụ can thiệp hợp pháp hoặc các
sản phẩm nghiên cứu an ninh mạng. Các chính phủ nước khác
đã dùng một số công cụ này để tấn công các hệ thống
của Mỹ."</em>

<em>Việc lây lan toàn cầu không kiểm soát của các sản phẩm
như FinFisher là cơ sở mạnh để tranh cãi về chính sách đối
với các phần mềm theo dõi và việc thương mại hoá tính năng
tấn công qua mạng.</em>

<em>Các phát hiện mới nhất của chúng tôi cho thấy bức tranh
cập nhật về tình trạng lây lan toàn cầu của FinSpy. Chúng
tôi đã xác định 36 FinSpy server đang hoạt động, 30 trong số
đó đã phát hiện lần trước. Danh sách các server này là chưa
hoàn thiện, bởi vì một số server triển khai kỹ thuật tránh
bị phát hiện. Tính cả các server bị phát hiện năm ngoái,
tới giờ chúng tôi đã tìm ra FinSpy server tại 25 quốc gai, bao
gồm nhiều quốc gia có hồ sơ nhân quyền gẩy tranh cãi. Điều
này chứng tỏ một xu hướng toàn cầu về việc các chính phủ
phi dân chủ gia tăng dùng các công cụ tấn công qua mạng mua
từ các công ty phương Tây.</em>

<em>Các mẫy FinSpy tại Ethiopia và Việt Nam cần tiếp tục
điều tra, nhất là với tình trạng nhân quyền tồi tệ tại
các quốc gia này. Sự việc bản FinSpy tại Ethiopia sử dụng
hình ảnh nhóm đối lập làm mồi nhử cho thấy nó được sử
dụng cho các hoạt động theo dõi mang tính chính trị, hơn là
vì các mục đích an ninh dân sự.</em>

<em>Mẫu tại Ethiopia là mẫu FinSpy thứ hai mà chúng tôi phát
hiện ra liên lạc với một server mà chúng tôi xác định là
FinSpy server. Điều này càng củng cố các kết quả quét của
chúng tôi, và phản bác lại cáo bạch của Gamma cho rằng những
server đó "không nằm trong dòng sản phẩm FinFisher". Sự
tương đồng giữa mẫu ở Ethiopia và mẫu ở Bahrain cũng chất
vấn cáo bạch trước đó của Gamma International rằng các mẫu
ở Bahrain chỉ là các bản demo bị đánh cắp.</em>

<em>Trong khi việc bán các phần mềm theo dõi và xâm nhập hầu
như không có kiểm soát, thì vấn đề này đòi hỏi sự can
thiệp cao hơn. Trong tháng 9 năm 2012, Ngoại trưởng Đức, Guido
Westerwelle, đã kêu gọi lệnh cấm toàn EU về việc xuất khẩu
các phần mềm theo dõi cho các quốc gia độc tài. Trong cuộc
phỏng vấn hồi tháng 12 năm 2012, Marietje Schaake (MEP), là báo
cáo viên về chiến lược cấp EU lần đầu về tự do số trong
chính sách ngoại giao, đã nói rằng "thật sốc" khi các công
ty châu Âu tiếp tục bán các công nghệ đàn áp cho các quốc
gia không thượng tôn pháp luật.</em>

<em>Chúng tôi kêu gọi các nhóm hoạt động xã hội và các
nhà báo tiếp tục các phát hiện của chúng tôi</em> tại các
nước liên quan. Chúng tôi cũng hy vọng rằng các kết quả
nghiên cứu của chúng tôi sẽ cung cấp các thông tin quý báu cho
cuộc thảo luận về chính sách và công nghệ đang diễn ra về
phần mềm theo dõi và thương mại hoá các tính năng tấn công
qua mạng.

<h2>Lời cảm ơn</h2> Chúng tôi xin cảm ơn Eva Galperin và Tổ
chức Mặt trận Điện tử (EFF), tổ chức Privacy International,
tổ chức Bahrain Watch và Drew Hintz.

<i >Chuyển ngữ bởi N.A.M</i>

***********************************

Entry này được tự động gửi lên từ trang Dân Luận
(https://danluan.org/tin-tuc/20130316/su-lay-nhiem-toan-cau-cua-phan-mem-theo-doi-finfisher),
một số đường liên kết và hình ảnh có thể sai lệch. Mời
độc giả ghé thăm Dân Luận để xem bài viết hoàn chỉnh. Dân
Luận có thể bị chặn tường lửa ở Việt Nam, xin đọc
hướng dẫn cách vượt tường lửa tại đây
(http://kom.aau.dk/~hcn/vuot_tuong_lua.htm) hoặc ở đây
(http://docs.google.com/fileview?id=0B_SKdt9lFNAxZGJhYThiZDEtNGI4NC00Njk3LTllN2EtNGI4MGZhYmRkYjIx&hl=en)
hoặc ở đây (http://danluan.org/node/244).

Dân Luận có các blog dự phòng trên WordPress
(http://danluan.wordpress.com) và Blogspot (http://danluanvn.blogspot.com),
mời độc giả truy cập trong trường hợp trang Danluan.org gặp
trục trặc... Xin liên lạc với banbientap(a-còng)danluan.org để
gửi bài viết cho Dân Luận!