Nhiều nhà báo và chính trị gia tại châu Âu đã bị do thám thông qua một tài khoản Twitter (@Joseph_Gordon16) có liên hệ chặt chẽ với Việt Nam và được cho là hoạt động cho chính quyền Việt Nam, hoặc một số nhóm lợi ích Việt Nam. Phát hiện này được tổ chức Ân Xá Quốc Tế ( Amnesty International ) cùng với nhiều cơ quan truyền thông châu Âu thuộc tổ hợp Hợp tác Điều tra châu Âu (European Investigative Collaborations, EIC) đồng loạt công bố ngày 09/10/2023 trong khuôn khổ vụ « Predator Files ».
Trong thông cáo ngày 09/10, Ân Xá Quốc Tế nhấn mạnh đến sai sót về quản lý bán phầm mềm do thám (1). Liên minh các doanh nghiệp phát triển và bán phần mềm do thám Predator khẳng định là có trụ sở ở Liên Hiệp Châu Âu. Các nhà báo, chính trị gia bị nhắm đến cũng ở trong khối 27 nước, trong khi mỗi nước thành viên Liên Âu phải chịu trách nhiệm kiểm tra việc bán và chuyển giao công nghệ theo dõi.
Trường hợp của Việt Nam được nhiều báo đồng loạt đưa tin ngày 09/10 (2). Nhà báo điều tra Yann Philippin của báo mạng độc lập Pháp Mediapart tham gia cuộc điều tra của EIC, song song với tổ chức Amnesty International, là tác giả bài báo « Predator Files » : des élus français, européens et américains visés par le logiciel espion (Vụ « Predator Files » : Nhiều dân biểu Pháp, châu Âu và Mỹ bị phần mềm gián điệp nhắm đến). Theo đó, « Việt Nam đã sử dụng phần mềm gián điệp Predator, do tập đoàn Nexa bán, để thực hiện âm mưu do thám thông qua mạng Twitter (hiện là mạng X). Dân biểu châu Âu Pierre Karleskind của Pháp bị nhắm đến, cũng như đài truyền hình France 24, nữ chủ tịch Nghị Viện Châu Âu, nhiều dân biểu Mỹ, nhà báo và nhà ngoại giao ».
RFI : Ông tham gia điều tra về vụ « Predator Files » do tổ hợp Hợp tác Điều tra châu Âu – EIC điều phối cùng với tổ chức Ân Xá Quốc Tế. Xin ông giải thích mục đích của cuộc điều tra này !
Nhà báo Yann Philippin : Cuộc điều tra tiết lộ lần đầu tiên từ bên trong những phương pháp của một liên minh doanh nghiệp thiết kế và bán các hệ thống giám sát thâm nhập, trong đó có Predator, một phần mềm gián điệp giúp đánh cắp được hết dữ liệu của điện thoại bị xâm nhập (hack) và sử dụng điện thoại đó làm công cụ gián điệp, vì Predator có khả năng kích hoạt từ xa micro, máy ảnh, máy quay phim và như vậy có thể ghi hình mọi người hoặc thu âm những gì họ nói mà không hay biết.
Cuộc điều tra « Predator Files » đã tiết lộ cách làm của hai công ty Intellexa và Nexa. Intellexa là công ty thiết kế phần mềm gián điệp Predator, còn Nexa là một công ty Pháp, từng liên kết với Intellexa và giúp Intellexa bán phần mềm này ra nước ngoài, trong đó có Việt Nam.
RFI : Dựa vào những dấu hiệu nào mà nhóm điều tra kết luận rằng có khả năng Việt Nam có liên quan đến các chiến dịch thâm nhập, do thám ?
Yann Philippin : Cuộc điều tra của chúng tôi mang lại nhiều bằng chứng vững chắc. Chúng tôi phối hợp với Security Lab của tổ chức Ân Xá Quốc Tế. Cuộc điều tra được tiến hành trên hai phương diện : kỹ thuật và kinh tế.
Tổ chức Ân Xá Quốc Tế tiến hành điều tra về mặt kỹ thuật. Họ đã phân tích các máy chủ, có nghĩa là các máy tính chứa các trang web nhằm truy cập, hack điện thoại. Những máy chủ này được đặt ở nhiều nơi do công ty Intellaxa quản lý cho nhiều khách hàng, trong đó có Việt Nam. Predator hoạt động như sau : Người ta gửi một đường link, thường là bắt chước một bài báo nào đó, người xem thấy quan tâm, nhấn vào đó và sẽ bị đưa đến máy chủ chứa trang web giả và máy chủ sẽ gửi phần mềm gián điệp vào điện thoại của người đó để thâm nhập.
Tổ chức Ân Xá Quốc Tế điều tra rất tỉ mỉ về cơ sở kỹ thuật thâm nhập điện thoại với phần mềm Predator này. Họ xác định được rằng một phần cơ sở hạ tầng kỹ thuật này có liên quan đến Việt Nam, một mặt nhờ vào hoạt động tin học của những máy chủ đó, mặt khác là do các đối tượng bị nhắm đến có liên quan đến Việt Nam, ví dụ các nhà đối lập Việt Nam.
Song song đó là cuộc điều tra kỹ thuật, với độ chắc chắn cao, cho thấy những máy chủ gửi virus độc đó là dành cho Việt Nam. Báo mạng Mediapart và tổ hợp Hợp tác Điều tra châu Âu – EIC của chúng tôi đã nhận được nhiều tài liệu mật chứng minh rằng công ty Pháp Nexa bán phần mềm Predator cho chính phủ Việt Nam, cụ thể là cho bộ Công An.
RFI : Theo các tài liệu đó, thỏa thuận mua bán được đúc kết vào thời điểm nào ?
Yann Philippin : Thỏa thuận mua bán này được ký chính xác ngày 31/12/2020. Sau đó còn phải cần thời gian vận chuyển, lắp đặt thiết bị, rất có thể Predator bắt đầu hoạt động cho chính quyền Việt Nam vào khoảng cuối năm 2021.
RFI : Theo báo cáo của tổ chức Ân Xá Quốc Tế và bài báo của nhiều cơ quan truyền thông châu Âu tham gia điều tra, nhiều chính trị gia châu Âu, Mỹ, Đài Loan và một số nhà đối lập Việt Nam dường như bị nhắm tới !
Yann Philippin : Cuộc tấn công được tổ chức Ân Xá Quốc Tế, cũng như nhiều tổ chức khác như Citizen Lab hay Google, quy cho Việt Nam. Cách tấn công cũng rất thú vị vì sử dụng mạng Twitter, nay là mạng X. Thông thường, những vụ tin tặc kiểu này thường nhắm đến một cá nhân cụ thể, như gửi tin nhắn chứa mã độc, hoặc gửi tin qua WhatsApp. Thế nhưng họ lại để công khai trên Twitter khi sử dụng tài khoản giả mang tên @Joseph_Gordon16 trả lời tin nhắn Twitter của đối tượng bị nhắm đến. Nếu truy cập bằng điện thoại và nhấn vào đường link đó thì điện thoại bị nhiễm mã độc và bị truy cập. Chính nhờ vậy mà chiến dịch đã bị phát hiện bởi vì cách làm không được kín đáo cho lắm, do họ sử dụng Twitter, mà các tin nhắn trên Twitter đều công khai.
RFI :Thành phần bị nhắm đến là những ai và nhằm mục đích gì ?
Yann Philippin : Chúng tôi đã xác định được ba kiểu đối tượng bị nhắm đến. Thứ nhất là một số nhà đối lập với chế độ Việt Nam như Lê Trung Khoa, sống ở Đức, rất nổi tiếng và phụ trách trang thông tin Thời báo được người Việt sống ở trong và ngoài nước biết nhiều. Việt Nam định hack điện thoại của ông qua chiến dịch này. Ngoài ra, còn có nhiều tổ chức, nhà báo Việt Nam hoặc một số tổ chức chính trị ở nước ngoài cũng bị chiến dịch này nhắm đến.
Đối tượng thứ hai là Liên Hiệp Châu Âu với 12 cơ quan và cá nhân bị nhắm đến, trong số đó có nhiều chính trị gia cấp cao, Ủy Ban Châu Âu, nữ chủ tịch Nghị Viện Châu Âu và ông Pierre Karleskind, chủ tịch Ủy ban đánh bắt (PECH) của Nghị Viện Châu Âu.
Sau cuộc điều tra, chúng tôi suy luận rằng có lẽ Việt Nam lo lắng vì Liên Hiệp Châu Âu đã phạt « thẻ vàng » về tình trạng đánh bắt bất hợp pháp của Việt Nam, vì Bruxelles cho rằng Việt Nam chưa cố gắng đủ để chống tình trạng đó. Hiện giờ chưa có hậu quả, nhưng nếu vấn đề không được giải quyết thì « thẻ vàng » có thể sẽ thành « thẻ đỏ », đồng nghĩa với việc cấm xuất khẩu hải sản sang thị trường Liên Âu. Đó sẽ là một rủi ro lớn cho Việt Nam. Mọi người đều biết rằng đánh bắt là một nguồn thu nhập lớn cho nền kinh tế Việt Nam. Vì thế có thể là Việt Nam muốn do thám một số chính trị gia và các cơ quan Liên Hiệp Châu Âu phụ trách đánh bắt để nắm bắt tình hình và xem liệu các biện pháp trừng phạt hoặc cảnh cáo có tiếp tục hay không và liệu có cách nào để hủy « thẻ vàng » đó.
Đối tượng cuối cùng trong đợt do thám mà chúng tôi xác định được có liên quan đến Biển Đông. Chúng ta biết đó là một khu vực phức tạp, đầy căng thẳng, nhất là liên quan đến chủ quyền đối với nhiều hòn đảo trong vùng, giữa Việt Nam, Trung Quốc, Đài Loan và Philippines. Đợt tấn công nhắm đồng thời vào nhiều chính trị gia, cũng như chuyên gia, nhà báo liên quan đến địa-chính trị hoặc Biển Đông. Mục tiêu quan trọng nhất là tổng thống Đài Loan Thái Anh Văn. Nhiều dân biểu, thượng nghị sĩ Mỹ cũng bị nhắm đến trong cuộc tấn công nhắm vào chính quyền Đài Loan.
RFI : Các « nạn nhân » phản ứng như thế nào về kết quả điều tra của tổ hợp Hợp tác Điều tra châu Âu – EIC và Ân Xá Quốc Tế ?
Yann Philippin : Chúng tôi nhận được phản ứng của một vài nạn nhân. Chuyện khá phức tạp vì phần lớn các chính trị gia không muốn bình luận, phần nào vì lý do an ninh. Phản ứng mạnh nhất là của nhà phụ trách trang Thời báo ở Đức. Ông ấy kinh sợ vì bị nhắm đến. May là ông ấy không nhấn vào đường dẫn. Ông ấy giải thích với chúng tôi là nhiều người hợp tác với trang Thời báo đã phải lấy bút danh để không bị nhắm đến, vì nếu danh tính thật bị lộ và chính phủ Việt Nam biết thì có thể họ sẽ gặp nhiều hậu quả kinh khủng. Ông ấy lo ngại và thấy bất thường khi Liên Hiệp Châu Âu đã không ngăn được việc bán phần mềm gián điệp Predator cho Việt Nam, một Nhà nước chuyên quyền, một quốc gia không có dân chủ.
Ngoài ra, chúng tôi cũng nhận được phản hồi mạnh của dân biểu châu Âu Pierre Karleskind, thuộc đảng của tổng thống Pháp, rằng vụ tấn công tin tặc mà ông ấy là nạn nhân là điều hoàn toàn bất thường. Ông đã cho kiểm tra điện thoại thì thấy là điện thoại không bị nhiễm độc. Theo ông, dù vụ tấn công bất thành nhưng vẫn là chuyện đáng xấu hổ. Ông cho biết là có ý định triệu mời đại sứ Việt Nam bên cạnh Liên Hiệp Châu Âu lên để đề nghị giải thích.
RFI : Chiến dịch tấn công và phần mềm Predator còn hoạt động không ?
Yann Philippin : Không thể biết được là phần mềm đó còn hoạt động hay không. Thường thì trong mọi cuộc điều tra báo chí, người ta vẫn gửi câu hỏi cho những người có liên quan trong các bài báo trước khi công bố. Chúng tôi đã gửi câu hỏi đến chính phủ Việt Nam, nhưng họ không hồi âm. Chúng tôi cũng gửi câu hỏi tới Intellexa, tức là công ty khai thác phần mềm Predator, nhưng cũng không nhận được câu trả lời.
Tuy nhiên, chúng tôi có câu trả lời, có thể nói là « gián tiếp », đó là chúng tôi phát hiện ra rằng phần lớn các máy chủ được dùng để phát tán virus thông qua phần mềm Predator bỗng dưng bị đóng hết, ngay sau khi chúng tôi gửi câu hỏi đến. Có thể là do bị phát hiện nên họ lo ngại và đóng các máy chủ đó. Có thể là họ tạm ngừng hoạt động, nhưng cũng có thể là họ lắp đặt các máy mới, cơ sở mới và sẽ tiếp tục trong tương lai. Còn chiến địch mà chúng tôi phát hiện thì đã chấm dứt, bởi vì tài khoản Twitter @Joseph_Gordon16 không còn tồn tại, tất cả đã bị xóa. Nhưng trong tương lai, hoàn toàn có thể có những vụ tấn công khác, bằng các phương tiện khác và có thể kín đáo hơn.
RFI Tiếng Việt xin chân thành cảm ơn nhà báo điều tra Yann Philippin, báo mạng Pháp Mediapart.
(1) Theo báo cáo của Amnesty International, « […] Từ tháng 02 đến tháng 06/2023, ít nhất 50 tài khoản thuộc 27 cá nhân và 23 định chế bị công khai nhắm đến trên các nền tảng mạng xã hội X (trước là Twitter) và Facebook. Vũ khí giám sát mạng được sử dụng để nhắm đến các tài khoản này có tên là Predator, một phần mềm gián điệp thâm nhập do liên minh Intellexa phát triển và kinh doanh. Khẳng định là « có trụ sở tại Liên Hiệp Châu Âu và tuân theo quy định của châu Âu », liên minh này được hình thành từ một nhóm các công ty phức tạp và liên tục thay đổi, chuyên thiết kế và bán các sản phẩm giám sát, bao gồm cả phần mềm gián điệp Predator […] ».
(2) Trang Mediapart : « Predator Files » : des élus français, européens et américains visés par le logiciel espion (Vụ « Predator Files » : Nhiều dân biểu Pháp, châu Âu và Mỹ bị phần mềm gián điệp nhắm đến)
Trang Le Soir của Bỉ : Predator Files : les manœuvres du Vietnam pour espionner l’Europe, dont la présidente du Parlement européen (Predator Files : các cách Việt Nam do thám châu Âu, trong đó có nữ chủ tịch Nghị Viện Châu Âu).
Trang mạng Đức Spiegel : Wie Vietnam eine deutsch Botschafterin zu hacken versuchte (Việt Nam đã cố hack đại sứ Đức như thế nào).
Nhật báo Pháp Le Monde : Logiciel espion Predator : le Vietnam a tenté de pirater des journalistes et des responsables politiques en Europe (Phần mềm gián điệp Predator : Việt Nam cố tìm cách tấn công các nhà báo và quan chức chính trị ở châu Âu).
Trang Capital : «Predator Files» : des élus européens victimes de tentatives d’espionnage par le Vietnam (Vụ «Predator Files» : nhiều dân biểu châu Âu là nạn nhân âm mưu do thám do Việt Nam thực hiện).
Trang RFI : Le Vietnam au cœur d’une campagne d’espionnage visant des personnalités américaines(Việt Nam trong tâm điểm một chiến dịch do thám nhắm vào nhiều nhân vật Mỹ).
Trang Washington Post : Vietnam tried to hack U.S. officials, CNN with posts on X, probe finds (Việt Nam tìm cách hack quan chức Mỹ, CNN bằng các bài đăng trên X, theo phát hiện của một cuộc điều tra).