Tình báo Anh dùng chiêu “hũ mật” kích động “Mùa xuân Arập”

Thứ Tư, 17/08/2016, 21:00
Một đơn vị bí mật của Cơ quan tình báo tín hiệu GCHQ của Anh đã sử dụng giải pháp mà giới công nghệ thường gọi là "hũ mật" (honeypot) để tạo ra cái gọi là Website dịch vụ rút gọn có địa chỉ là lurl.me để dụ dỗ, theo dõi và kích động những người chống chính quyền ở Iran và nhiều quốc gia Arập trong phong trào phản kháng "Mùa xuân Arập".

Website này giờ đã ngừng hoạt động nhưng các tài liệu mật do cựu điệp viên Cơ quan An ninh Quốc gia Mỹ (NSA) Edward Snowden tiết lộ đã phác hoạ cách thức nó hoạt động.

"Hũ mật dụ ruồi"

Cơ quan bí mật của GCHQ có tên gọi là Nhóm Tình báo liên hợp nghiên cứu mối đe dọa (JTRIG) lần đầu được tiết lộ vào năm 2014 trong loạt tài liệu tối mật của NSA được Edward Snowden tuồn cho báo chí. Hoạt động của JTRIG được mô tả là cố gắng xâm nhập, thao túng nhằm gây ảnh hưởng lên các đối tượng mục tiêu, mà mục tiêu cuối cùng là gây ra bất ổn cho các quốc gia được nhắm đến.

Người dân Iran biểu tình chống chính phủ năm 2009 có sự theo dõi và xúi giục của JTRIG.

JTRIG được cho là đã sử dụng các kỹ xảo mà giới công nghệ gọi là "trò bẩn" như honeypot (tạm dịch là "hũ mật dụ ruồi") - tức là những cộng đồng mạng giả tạo nhằm lôi kéo các đối tượng mục tiêu. Theo hồ sơ của Snowden, nhiệm vụ chuyên môn của JTRIG là sử dụng các trò bẩn đó để hủy hoại danh dự, bôi bác, hạ cấp và tấn công đối phương nhằm làm cho họ bị mất uy tín, mất giá trị và nhiều thứ khác.

Trang dịch vụ rút gọn lurl.me được GCHQ thiết lập nhằm mục đích củng cố năng lực tình báo tín hiệu thông qua các mạng xã hội. Ở đây, lurl.me lợi dụng mạng xã hội Twitter và các diễn đàn mạng khác nhằm phát tán những thông điệp có ý đồ xấu đến các nước khu vực Trung Đông. Các thông điệp này có dụng ý thu hút những người phản đối chính phủ nhằm thao túng, kích động họ và thu thập thông tin tình báo có thể giúp GCHQ phân tích, rút ra những giải pháp tốt hơn áp dụng cho các nơi khác trên thế giới. Công nghệ rút gọn đường dẫn Internet giúp GCHQ dễ dàng theo dõi họ.

Dịch vụ rút gọn đường dẫn Internet được đặt mật danh là DEADPOOL và là một trong những công cụ 'hũ mật dụ ruồi" của JTRIG. Khoảng đầu năm 2014, hãng tin NBC News đã công bố các tài liệu rò rỉ cho thấy JTRIG đã tấn công các nhóm hacker tên tuổi trên thế giới như Anonymous và LuzSec bằng cách phát động chiến dịch tấn công từ chối dịch vụ (DDOS) vào các phòng chat công cộng trên mạng Internet.

JTRIG nhận dạng các cá nhân người dùng bằng cách sử dụng các kỹ thuật xã hội mà bọn tội phạm mạng thường sử dụng để dụ họ nhấp chuột vào các đường dẫn (link). Một tài liệu trình bày cho thấy một điệp viên bí mật gửi đường dẫn tới cá nhân có bí danh là P0ke. Theo tài liệu trên, hành động này giúp ích cho hoạt động thu thập tình báo tín hiệu cần thiết để "ảo hóa" P0ke và phát hiện ra tên thật của anh ta, kèm theo đó là các tài khoản facebook và email của anh ta.

Jake Davis, cựu thành viên sáng lập tổ chức hacker LulzSec kể: "Vào mùa thu năm 2010, tôi là một thành viên kỳ cựu của mạng chat công cộng AnonOps bị JTRIG tấn công và bị GCHQ sử dụng làm một máy chủ ảo để liên lạc với P0ke". Năm 2011, Davis cùng 3 người khác sáng lập LulzSec. Các tài liệu mật cũng cho thấy JTRIG khi đó đã theo dõi, giám sát các cuộc trò chuyện giữa P0ke và Davis, còn có bí danh là Topiary. Davis sau đó phát hiện rằng đường dẫn "ảo hóa" được điệp viên GCHQ gửi cho P0ke chính là đường dẫn đưa người dùng đến với website lurl.me.

Các điều tra về website dịch vụ rút gọt đường dẫn đã làm sáng tỏ mô thức chung của nhiều hoạt động khác của JTRIG có sử dụng công cụ DEADPOOL, trong đó đáng chú ý nhất là các hoạt động ở khu vực Trung Đông. Tài liệu lưu trữ Internet cho biết, website lurl.me đã hoạt động tích cực vào khoảng đầu tháng 6-2009 và được nhìn thấy lần cuối cùng vào tháng 11-2013. Website này chuyên cung cấp dịch vụ rút gọn đường dẫn miễn phí cho người dùng, giúp họ kết nối tự do với bạn bè và người thân trong gia đình một cách nhanh chóng.

Giao diện website lurl.me.

Nhiều nguồn dữ liệu Internet như Twitter, Blogspot và YouTube đều cho thấy website này được sử dụng nhằm thực thi các mục tiêu địa chính trị của GCHQ được mô tả trong các tài liệu bị tiết lộ bởi Snowden. Toàn bộ 69 trang Twitter có liên hệ với lurl.me đều được xác định là do những người hoạt động chống Chính phủ Iran hoặc Trung Đông gửi đến. Đại đa số các tài khoản Twitter dạng này là những tài khoản ảo hoạt động nhất thời trong vài ngày và chỉ thực hiện có vài lần nhắn tin, nhưng cũng có vài tài khoản hợp pháp được sử dụng và gửi tin nhắn trong nhiều năm.

Theo các tài liệu đăng trên trang The Intercept, một trong những chiến thuật đo lường tính hiệu quả của một hoạt động là kiểm tra trên mạng xem một tin nhắn có được "hiểu, chấp nhận, ghi nhớ và làm thay đổi hành vi" người tiếp nhận nó hay không. Việc kiểm tra này cũng có thể bao gồm cả việc theo dõi số người chia sẻ hoặc nhấp chuột vào đường dẫn lurl.me do GCHQ tạo nên.

JTRIG có một nhóm chiến binh chuyên săn tìm các mục tiêu trên toàn thế giới. Nhóm này bao gồm những đội phụ trách từng quốc gia riêng biệt, trong đó có đội Iran. Theo các tài liệu đăng trên Intercept, đội Iran thực hiện mục tiêu chống chương trình hạt nhân của Iran bằng các giải pháp như: làm mất uy tín ban lãnh đạo Iran và hạ thấp giá trị chương trình hạt nhân của họ; tìm cách trì hoãn và làm gián đoạn việc tiếp cận nguồn nguyên liệu dùng trong chương trình hạt nhân; tiến hành thu thập tình báo trên mạng; và phá bức tường kiểm duyệt.

Tiếp đến, tài liệu trình bày chi tiết các phương pháp mà JTRIG sử dụng để đạt các mục tiêu này, như tạo các nhân vật ảo, tung video lên trang YouTube và khởi tạo các nhóm trên facebook để lan truyền thông tin hoặc các chương trình hành động. Kỹ thuật chủ yếu được sử dụng vẫn là rút gọn đường dẫn.

Các điệp viên "nhân vật ảo"

Có một nhóm nhỏ các tài khoản Twitter chỉ hoạt động vào đúng dịp tháng 6-2009 (lúc diễn ra cuộc bầu cử Tổng thống Iran). Nhóm này có rất ít người dùng hưởng ứng, và liên tục đăng lên đúng một nội dung và đường dẫn đến trang lurl.me. Một trong những tài khoản đầu tiên và nhiệt tình nhất đăng Twitter sử dụng dịch vụ rút gọn là 2009iranfree.

Một trang tài liệu rò rỉ của GCHQ cho thấy nội dung mô tả về "nhân vật ảo" P0ke.

Phần lớn mạng lưới tài khoản Twitter "con rối" này đều có chung mục tiêu là tạo thuận lợi cho người Iran tiếp cận các thông tin mà họ không thể tiếp cận thông qua các kênh thông tin trong nước do đã bị chính quyền kiểm duyệt. Việc này được JTRIG mô tả trong các tài liệu nghiên cứu của mình là "cung cấp sự tiếp cận tư liệu không kiểm duyệt (phá bức tường kiểm duyệt)", có nghĩa là cung cấp thông tin về các website bị chặn và cung cấp các bài báo quốc tế cho người đọc Iran. Website iran-news.info được sử dụng để chuyên cung cấp tin tức bằng tiếng Anh theo hình thức này.

Có vẻ như những người Iran phản đối chính phủ và GCHQ có cùng mục tiêu là muốn làm mất uy tín Chính phủ Iran và chống phá sự kiểm duyệt của chính quyền. Tuy nhiên, như trên đã nói, chương trình Iran của JTRIG còn một mục tiêu khác là thu thập thông tin tình báo qua mạng, và lurl.me được sử dụng cho mục tiêu này. lurl.me đã tạo ra các tài khoản ảo nhằm thực hiện các hoạt động chống phá từ bên ngoài. Chẳng hạn, một trong những tài khoản ảo được tạo ra đã tự động gọi vào số điện thoại của Tổng thống Iran và nói những lời phản động. Đây là kỹ thuật được JTRIG mô tả là "giả giọng người thật" nhằm thực hiện nhiệm vụ làm mất uy tín đối tượng mục tiêu.

Có điều lạ là khi điều hành các nhân vật ảo, JTRIG lại chỉ có thể kiểm soát được số lượng hạn chế các tài khoản có cùng nội dung, tại các thời điểm hạn chế và chủ yếu sử dụng tiếng Anh. Lý do được các tài liệu giải thích là bởi các điệp viên JTRIG gặp khó khăn trong việc sử dụng cùng lúc hai hoặc ba bí danh khác nhau và không có đủ chuyên gia ngôn ngữ để hỗ trợ.

Vì những khó khăn, hạn chế nêu trên, nên website dịch vụ rút gọn không có hoạt động nào mới trong năm 2010, và sang năm 2011 chủ yếu đăng những thông tin tuyên truyền chống phá Syria trong giai đoạn "Mùa xuân Arập". Nổi bật nhất trong đợt hoạt động này là tài khoản access4syria, chỉ hoạt động trong khoảng thời gian từ tháng 5 đến tháng 6-2011. Lần cuối cùng người ta nhìn thấy trang lurl.me thông qua website archive.org là vào tháng 11-2013, vài tháng sau khi Edward Snowden tung ra loạt tài liệu tuyệt mật và chương trình tình báo của NSA.

Dưới góc độ an ninh quốc gia, Internet cung cấp cho người dùng một phương tiện mạnh để tổ chức chống đối chính quyền; đồng thời nó cũng là một công cụ lợi hại để các cơ quan tình báo phương Tây theo dõi, xúi giục người dân chống chính quyền các nước.

Nguyên Khang (theo The Mother Board)
.
.