Nhóm bảo mật của Google đóng cửa hoạt động chống khủng bố vì phát hiện hacker là đồng minh của Mỹ

Quyết định chặn một cuộc tấn công mạng cấp độ "chuyên gia" đã gây ra tranh cãi trong nội bộ Google sau khi có thông tin cho rằng các tin tặc được đề cập đang làm việc cho một đồng minh của Hoa Kỳ.

Google điều hành một số hoạt động an ninh mạng được đánh giá cao nhất trên hành tinh: ví dụ nhóm Project Zero tìm thấy các lỗ hổng bảo mật nguy hiểm chưa từng được phát hiện, trong khi Nhóm phân tích mối đe dọa trực tiếp chống lại các vụ tấn công được các chính phủ hậu thuẫn. Hai nhóm đó đã bắt được một con cá lớn bất ngờ gần đây: một nhóm hack "chuyên gia" khai thác 11 lỗ hổng mạnh mẽ để xâm nhập các thiết bị chạy iOS, Android và Windows.

Nhưng có tin rằng những tin tặc được đề cập lại thực sự là các đặc vụ của chính phủ phương Tây đang tích cực tiến hành một hoạt động chống khủng bố. Việc Google quyết định dừng và công khai cuộc tấn công đã gây chia rẽ nội bộ Google và đặt ra câu hỏi trong cộng đồng tình báo của Hoa Kỳ và các đồng minh.

Một vài bài đăng trên blog của Google gần đây nêu chi tiết về bộ sưu tập các lỗ hổng zero-day mà nó đã phát hiện ra các tin tặc sử dụng trong suốt chín tháng. Các vụ khai thác, có từ đầu năm 2020 và sử dụng các kỹ thuật chưa từng thấy, là các cuộc tấn công "lỗ hổng" sử dụng các trang web bị nhiễm độc để cung cấp phần mềm độc hại cho khách truy cập. Chúng thu hút sự chú ý của các chuyên gia an ninh mạng nhờ quy mô, độ tinh vi và tốc độ.

Tuy nhiên, thông báo của Google rõ ràng đã bỏ qua các chi tiết chính, bao gồm ai chịu trách nhiệm về vụ tấn công và ai đang bị nhắm mục tiêu, cũng như thông tin kỹ thuật quan trọng về phần mềm độc hại hoặc các miền được sử dụng trong hoạt động này. Ít nhất một số thông tin đó thường sẽ được công khai theo một cách nào đó, khiến một chuyên gia bảo mật chỉ trích báo cáo có một "lỗ đen".

"Các câu hỏi về đạo đức"

Các công ty bảo mật thường xuyên đóng cửa các hoạt động khai thác đang được chính phủ sử dụng, nhưng những hành động như vậy hiếm khi được công khai. Trước sự việc này, một số nhân viên của Google đã lập luận rằng các nhiệm vụ chống khủng bố phải nằm ngoài giới hạn tiết lộ công khai; những người khác tin rằng công ty hoàn toàn nằm trong quyền của mình và thông báo này nhằm bảo vệ người dùng và làm cho Internet an toàn hơn.

"Dự án Zero dành riêng cho việc tìm kiếm và vá các lỗ hổng trong 0 ngày, đồng thời đăng nghiên cứu kỹ thuật được thiết kế để nâng cao hiểu biết về các lỗ hổng bảo mật mới và các kỹ thuật khai thác trong cộng đồng nghiên cứu", người phát ngôn của Google cho biết trong một tuyên bố. "Chúng tôi tin rằng việc chia sẻ nghiên cứu này dẫn đến các chiến lược phòng thủ tốt hơn và tăng cường bảo mật cho mọi người. Chúng tôi không thực hiện ghi công như một phần của nghiên cứu này".

Nhưng các hoạt động của phương Tây có thể nhận biết được, theo một cựu quan chức tình báo Mỹ cấp cao.

"Có một số dấu hiệu nhất định trong các hoạt động của phương Tây mà không có ở các thực thể khác… bạn có thể thấy nó được dịch xuống mã," vị cựu quan chức, người không được phép bình luận về hoạt động và nói với điều kiện giấu tên. "Và đây là lúc tôi nghĩ rằng một trong những khía cạnh đạo đức quan trọng xuất hiện. Đó là cách một người đối xử với hoạt động tình báo hoặc hoạt động thực thi pháp luật được thúc đẩy dưới sự giám sát của một chính phủ được xem xét như thế nào".

Đúng là Project Zero không chính thức phân bổ hành vi hack cho các nhóm cụ thể. Nhưng Nhóm phân tích mối đe dọa, cũng đã làm việc trong dự án, thực hiện phân bổ. Google đã bỏ qua nhiều chi tiết khác ngoài tên của chính phủ đứng sau các vụ tấn công và thông qua thông tin đó, các nhóm đã biết rõ ai là kẻ tấn công và mục tiêu. Không rõ liệu Google có thông báo trước cho các quan chức chính phủ rằng họ sẽ công khai và ngăn chặn phương thức tấn công hay không.

"Việc giám sát được đưa vào các hoạt động của phương Tây ở cấp độ kỹ thuật, thủ công và quy trình," họ nói thêm.

Google phát hiện nhóm tấn công khai thác 11 lỗ hổng zero-day chỉ trong 9 tháng, một số lượng lớn các vụ khai thác trong một thời gian ngắn. Phần mềm bị tấn công bao gồm trình duyệt Safari trên iPhone và nhiều sản phẩm của Google, bao gồm trình duyệt Chrome trên điện thoại Android và máy tính Windows.

Nhưng kết luận của Google là ai đã hack và tại sao không bao giờ quan trọng bằng chính các lỗi bảo mật. Đầu năm nay, chuyên gia Maddie Stone của Project Zero lập luận rằng tin tặc quá dễ dàng tìm thấy và sử dụng các lỗ hổng zero-day mạnh mẽ và nhóm của cô ấy phải đối mặt với một cuộc chiến khó khăn khi phát hiện ra việc sử dụng chúng.

Thay vì tập trung vào ai đứng sau và được nhắm mục tiêu bởi một hoạt động cụ thể, Google quyết định thực hiện hành động rộng rãi hơn cho tất cả mọi người. Lời biện minh là ngay cả khi chính phủ phương Tây là người khai thác những lỗ hổng đó ngày nay, thì cuối cùng nó sẽ bị những người khác sử dụng, và vì vậy lựa chọn đúng đắn luôn là sửa chữa lỗ hổng ngay hôm nay.

"Công việc của họ không phải là để tìm ra ai đứng sau"

Đây không phải là lần đầu tiên một đội an ninh mạng phương Tây bắt được tin tặc từ các nước đồng minh. Tuy nhiên, một số công ty có chính sách im lặng không tiết lộ công khai các hoạt động hack như vậy nếu cả nhóm bảo mật và tin tặc đều được coi là thân thiện — ví dụ: nếu họ là thành viên của liên minh tình báo "Five Eyes", được tạo thành từ Hoa Kỳ, Vương quốc Anh, Canada, Úc và New Zealand. Một số thành viên trong nhóm bảo mật của Google là những người kỳ cựu của các cơ quan tình báo phương Tây và một số người đã tiến hành các chiến dịch tấn công các chính phủ này.

Trong một số trường hợp, các công ty bảo mật sẽ dọn dẹp cái gọi là phần mềm độc hại "thân thiện" nhưng tránh công khai với nó.

Sasha Romanosky, một cựu quan chức Lầu Năm Góc, người đã công bố nghiên cứu gần đây về các cuộc điều tra an ninh mạng của khu vực tư nhân, cho biết: "Họ thường không quy tội cho các hoạt động tại Hoa Kỳ. "Họ nói với chúng tôi rằng họ đặc biệt bỏ đi. Đó không phải là công việc của họ để tìm ra trong trường hợp này; họ lịch sự tránh sang một bên. Đó không phải là điều bất ngờ."

Mặc dù tình hình của Google theo một số cách khác thường, nhưng đã có những trường hợp tương tự trong quá khứ. Công ty an ninh mạng Kaspersky của Nga đã bị chỉ trích vào năm 2018 khi phanh phui một chiến dịch mạng chống khủng bố do Mỹ đứng đầu chống lại ISIS và các thành viên Al Qaeda ở Trung Đông. Các quan chức Mỹ cho biết Kaspersky, cũng như Google, không xác định rõ ràng mối đe dọa nhưng vẫn phơi bày nó và khiến nó trở nên vô dụng, các quan chức Mỹ cho biết, điều này khiến các đặc nhiệm mất quyền truy cập vào một chương trình giám sát có giá trị và thậm chí gây nguy hiểm đến tính mạng của những người lính trên mặt đất.

Kaspersky đã bị chỉ trích nặng nề vì mối quan hệ của họ với chính phủ Nga vào thời điểm đó, và công ty cuối cùng đã bị cấm khỏi các hệ thống của chính phủ Hoa Kỳ. Hãng luôn phủ nhận có bất kỳ mối quan hệ đặc biệt nào với Điện Kremlin.

Google cũng đã từng tìm thấy mình trong hoàn cảnh tương tự trước đây. Vào năm 2019, công ty đã phát hành nghiên cứu một nhóm hack của Mỹ, mặc dù thông tin cụ thể chưa bao giờ được đưa ra. Nhưng nghiên cứu đó là về lịch sử hoạt động. Tuy nhiên, các thông báo gần đây của Google đã chú ý đến hoạt động gián điệp mạng trực tiếp.

Ai đang được bảo vệ?

Báo động được đưa ra cả trong chính phủ và Google cho thấy công ty đang ở trong một tình thế khó khăn.

Các nhóm bảo mật của Google có trách nhiệm đối với khách hàng của công ty và rất nhiều người mong đợi rằng họ sẽ cố gắng hết sức để bảo vệ các sản phẩm — và do đó là người dùng — đang bị tấn công. Trong sự cố này, điều đáng chú ý là các kỹ thuật được sử dụng không chỉ ảnh hưởng đến các sản phẩm của Google như Chrome và Android mà còn ảnh hưởng đến iPhone.

Trong khi các nhóm khác nhau vạch ra đường lối riêng của họ, Project Zero đã tạo nên tên tuổi của mình bằng cách giải quyết các lỗ hổng nghiêm trọng trên internet, không chỉ những lỗ hổng được tìm thấy trong các sản phẩm của Google.

Khi tin tặc được nhà nước hậu thuẫn ở các quốc gia phương Tây tìm thấy lỗ hổng an ninh mạng, có những phương pháp được thiết lập để tìm ra chi phí và lợi ích tiềm năng của việc tiết lộ lỗ hổng bảo mật cho công ty bị ảnh hưởng. Ở Hoa Kỳ, nó được gọi là "quy trình công bằng về lỗ hổng bảo mật". Các nhà phê bình lo ngại rằng tình báo Mỹ tích trữ số lượng lớn các vụ khai thác, nhưng hệ thống của Mỹ chính thức, minh bạch và rộng rãi hơn những gì đã làm ở hầu hết các quốc gia khác trên trái đất, kể cả các đồng minh phương Tây. Quy trình này nhằm cho phép các quan chức chính phủ cân bằng lợi thế của việc giữ bí mật các lỗ hổng để sử dụng chúng cho mục đích tình báo với những lợi ích rộng lớn hơn của việc thông báo cho một công ty công nghệ về điểm yếu để sửa chữa.

Michael Daniel, điều phối viên an ninh mạng của Nhà Trắng thời chính quyền Obama, cho biết: "Mức độ giám sát ngay cả ở các nền dân chủ phương Tây về những gì các cơ quan an ninh quốc gia của họ đang thực sự làm, trong nhiều trường hợp, ít hơn rất nhiều so với Hoa Kỳ. Mức độ giám sát của quốc hội ít hơn nhiều. Các quốc gia này không có các quy trình liên cơ quan mạnh mẽ như Hoa Kỳ. Tôi thường không phải là người hay khoe khoang về Hoa Kỳ — chúng tôi gặp rất nhiều vấn đề — nhưng đây là một lĩnh vực mà chúng tôi có những quy trình mạnh mẽ mà các nền dân chủ phương Tây khác không có ".

Thực tế là nhóm tấn công bị cuộc điều tra của Google phát hiện đã sở hữu và sử dụng quá nhiều lỗ hổng zero-day quá nhanh có thể cho thấy sự cân bằng có vấn đề. Nhưng một số nhà quan sát lo lắng về việc các hoạt động chống khủng bố trực tiếp sẽ bị đóng cửa vào những thời điểm có khả năng quyết định mà không có khả năng nhanh chóng khởi động lại.

"Các đồng minh của Mỹ không phải tất cả đều có khả năng khôi phục toàn bộ hoạt động nhanh chóng như một số đối thủ khác," cựu quan chức tình báo cấp cao của Mỹ cho biết. Quan chức này giải thích, lo lắng về việc đột nhiên mất quyền truy cập vào khả năng khai thác hoặc bị mục tiêu phát hiện là đặc biệt cao đối với các nhiệm vụ chống khủng bố, đặc biệt là trong "thời kỳ phơi bày đáng kinh ngạc" khi có rất nhiều hoạt động khai thác đang diễn ra. Khả năng đóng cửa một hoạt động như vậy của Google có thể là nguyên nhân dẫn đến nhiều xung đột hơn.

"Đây vẫn là một cái gì đó chưa được giải quyết tốt", quan chức này nói. "Ý tưởng rằng một người nào đó như Google có thể phá hủy khả năng đó một cách nhanh chóng đang dần xuất hiện trong mọi người."

Tuấn Phan nguồn: MIT Technology Review