Đã đến lúc ngành công nghiệp phần mềm gián điệp phải bước ra khỏi bóng tối

Hulio, đồng sáng lập kiêm CEO của NSO, nói rằng ngành công nghiệp ông đang hoạt động chỉ toàn những công ty đang trốn tránh khỏi sự rò xét, kiểm duyệt.

Thường thì sự kín tiếng và bí ẩn là những đặc tính vốn có của ngành dịch vụ gián điệp. Trong suốt 9 năm, Hulio chưa bao giờ nói trước công chúng về công ty gián điệp tỷ đô của mình, ngay cả khi những công cụ của công ty ông có góp phần vào những vụ tai tiếng hay khi bị cáo buộc vì xâm phạm quyền con người trên toàn thế giới. Nhưng, giờ đây, ông quyết định sẽ bắt đầu lên tiếng.

Trong một lần video call cho tôi (tác giả) từ Tal Aviv, Hulio bộc bạch: "Nhiều người không hiểu được cách hoạt động của ngành tình báo. Đây không phải là việc dễ làm, cũng chẳng phải là việc người ta muốn làm. Tình báo là ngành ẩn chứa những tình huống khó xử về mặt đạo đức".

Công ty mà ông lãnh đạo – NSO Group -; là một trong những công ty cung cấp phần mềm gián điệp khét tiếng nhất thế giới. Nó là tâm điểm trong một ngành dịch vụ toàn cầu đang bùng nổ, nơi mà các công ty công nghệ cao khám phá những lỗ hổng về phần mềm, phát triển công cụ để khai thác chúng rồi bán cho chính phủ. Cái công ty có trụ sở tại Israel này đã từng có dính líu tới nhiều biến cố nổi tiếng, trong đó có vụ ám sát Jamal Khashoggi và hoạt động do thám các chính trị gia tại Tây Ban Nha.

Trong suốt 10 năm thành lập công ty, ông cực kì hiếm khi quyết định nói về NSO Group, hay ngành công nghiệp tình báo và thế nào là minh bạch dưới góc nhìn của những công ty do thám. Và cũng theo ông, đó cũng chính là điều quan trọng nhất mà ngành công nghiệp này cần làm ngay bây giờ: "Chúng tôi trước nay đã bị cáo buộc rằng mình chưa đủ minh bạch với nhiều lí do chính đáng khác nhau".

Văn hóa im lặng

Trước khi thành lập NSO Group vào năm 2010 do sự thúc giụp từ Cơ quan tình báo châu Âu, Hulio từng là một chỉ huy cho hoạt động tìm kiếm cứu nạn thuộc quân đội Israel, rồi sau đó là một doanh nhân tập trung vào công nghệ truy cập vào điện thoại từ xa. Những ngày đầu thành lập, NSO đã vẽ ra hình ảnh về bản thân như một công ty chiến tranh mạng sở hữu công nghệ tân tiến nhất.

Năm 2016, tên của công ty này bỗng chốc nổi tiếng toàn cầu khi mà Ahmed Mansoor, một nhà hoạt động vì nhân quyền tại các Tiểu Vương quốc Ả Rập Thống nhất, nhận được một thứ được người ta gọi là đoạn tin nhắn nổi tiếng nhất mọi thời đại. Giới nghiên cứu khẳng định rằng đó là một đoạn tin nhắn giả mạo tinh vi được gửi bởi chính phủ, trong đó có chứa một đường dẫn mà khi được nhấn vào nó sẽ chiếm quyền kiểm soát điện thoại của Mansoor bằng phần mềm gián điệp. Các chuyên gia tại Citizen Lab, một nhóm nghiên cứu thuộc trường Đại học Toronto, đã phân tích đường dẫn và tìm ra được Pegasus - sản phẩm cao cấp bấy giờ của NSO. Phát hiện này đem tới nhiều sự rò xét nhắm vào phía công ty này, song họ không hề lên tiếng. (Mansoor hiện đang thụ án kéo dài hàng chục năm tù vì xúc phạm chế độ quân chủ - cách mô tả của một nhà độc tài về mục tiêu thúc đẩy nhân quyền của Mansoor)

Cách phản hồi trên là một phần quy định quản trị mà công ty này phải tuân thủ khi ấy. Trước đó, năm 2014, NSO được mua lại với giá khoảng 100 triệu USD bởi quỹ đầu tư tư nhân của Mỹ có tên là Francisco Partnert với chính sách cấm báo chí nghiêm ngặt mà theo Hulio thì điều này đã dẫn tới một văn hóa im lặng độc hại.

Ông kể: "Không phỏng vấn – chúng tôi không được nói gì với cánh nhà báo ngoài câu không bình luận, không bình luận và không bình luận. Điều này tạo ra vô số điều xấu về chúng tôi bởi mỗi khi bị cáo buộc vì việc lạm dụng, chúng tôi đều không thể đưa ra phản hồi gì".

Ông tin rằng đây cũng là một sau lầm mà các công ty giống với NSO phải tránh mắc phải trong tương lai. Năm ngoái, NSO đã được bán với giá 1 tỷ USD bởi quỹ đầu tư tư nhân Novalpina của châu Âu và những nhà sáng lập ban đầu, trong đó có cả chính Hulio.

"Ngành công nghiệp này nên cởi mở với công chúng hơn. Mỗi công ty nên nắm bắt rõ ràng hơn về bên mà họ bán sản phẩm cho, ai là khách hàng, và mục đích sử dụng cuối cùng của mỗi khách hàng là gì", Hulio nói.

Thực tế thì đoạn tin nhắn gửi cho Mansoor lại là một món quà trong hộp kín dành cho giới điều tra. Sau nhiều năm là mục tiêu của hoạt động giám sát, với trực giác đã được rèn luyện, Mansoor đã không ấn vào đường dẫn được gửi tới. Thay vào đó, anh chia sẻ nó cho các chuyên gia. Song ngành công nghiệp xâm nhập ngày nay đang sử dụng nhiều kĩ thuật tân tiến nhằm giữ cho hoạt động của mình bí mật nhất có thể - trong đó có cả kĩ thuật được gọi là "zero-click" với khả năng lây nhiễm vào thiết bị đích mà không đòi hỏi bất kì hành động gì. WhatsApp hiện đang kiện NSO Group vì đã hack ứng dụng của họ để âm thầm xâm nhập vào điện thoại người dùng. Các mục tiêu ở Ma-rốc được cho là đã trải qua tấn công "network injection" mà không hề có báo động hay đòi hỏi sự hợp tác từ nạn nhân cũng như để lại rất ít dấu vết.

"Các công ty gián điệp cứ thuyết giảng rằng tội phạm và thành phần khủng bố đang ngày càng ẩn nấp sâu trong bóng tối nhờ vào mã hóa và các quốc gia phải có khả năng để tìm ra chúng ngay cả khi ẩn mình trong cái lỗ đen ấy. Nhưng hóa ra, chính những công ty bán phần mềm gián điệp mới ngày càng chìm sâu vào bóng tối. Không chỉ WhatsApp là nạn nhân đâu, ta còn có thể thấy được nhiều hoạt động mua bán phần mềm khác để khai thác lỗ hổng của iMessage, hay dùng SS7 như một phương tiện để phát tán các lỗ hổng zero-click và còn nhiều vụ tấn công bằng network injection nữa. Do đó nhìn nhận toàn bộ quy mô của vấn đề đã trở nên gần không không thể. Ta chỉ có thể suy đoán. Ta chỉ có thể biết được một vài ‘tay chơi trong cuộc'. Trong khi cái thị trường ấy ngày càng phình to, ta lại chẳng có mấy thông tin về việc lạm dụng phần mềm gián điệp", John Scott-Railton, nhà nghiên cứu cấp cao tại Citizen Lab, cho biết.

Trước nay, việc để hiểu được phạm vi thực sự của ngành công nghiệp cho thuê hacker chưa bao giờ là dễ. Giờ đây những kĩ thuật và manh mối mà trước nay vẫn là những gợi ý cho giới điều tra đang dần trở nên hiếm, kín tiếng hơn và khó phát hiện hơn. Chính cái kho tàng vũ khí ẩn mật này đang khiến ta khó có thể buộc các công ty gián điệp và cơ quan tình báo phải chịu trách nhiệm khi sự vụ lạm dụng quyền con người xảy ra.

Bất ngờ là chính Hulio cũng đồng ý với nhận định rằng ngành công nghiệp gián điệp đang chìm sâu vào bóng tối. Khi tôi hỏi ông rằng liệu cái ngành này có lê đủ số bước chân để tiến tới một tương lai minh bạch và có trách nhiệm hơn hay không, ông liền lắc đầu vào chỉ thẳng vào những đối thủ cạnh tranh của mình mà nói:

          "Thật lòng mà nói thì tôi đang thấy điều ngược lại. Cả ngành công nghiệp đang tìm cách để tránh né những quy tắc. Tôi đã thấy có những công ty tìm cách để che giấu hoạt động và che giấu mục đích của mình. Lối hoạt động ấy đang làm ảnh hưởng tới cả ngày công nghiệp".

Trốn tránh sự rò xét

Ngược lại, Hulio khẳng định, NSO đang cố để đảo ngược tình thế với ban quản trị mới. Dù rằng họ đang phải đối mặt với vụ kiện của WhatsApp cùng hàng chục cáo buộc về việc Pegasus bị lạm dụng, Hulio vẫn tin chắc rằng công ty đang dần lột xác. Ví dụ như, ông nói, việc công ty đang cởi mở với cánh báo chí chính là một thay đổi lớn, cũng như việc tự tạo ra bộ chính sách quản trị mới và lời cam kết tuân thủ theo bộ Nguyên tắc Nhân quyền của Liên hợp quốc. Song bao nhiêu phần ông nói đã trở thành hiện thực vẫn còn là một câu hỏi để ngỏ: chỉ ba ngày sau khi công ty này thông báo về chính sách nhân quyền mới vào năm 2019, các nhà nghiên cứu đến từ Amnesty International cho biết rằng Pegasus đã được sử dụng để hack nhà báo người Ma-rốc Omar Radi.

Nhưng điểm mà Hulio muốn truyền tải tới chính là việc các đối thủ của ông đang tìm cách né tránh sự minh bạch và trách nhiệm bằng việc chuyển di chuyển hoạt động kinh doanh hoặc tìm tới một thiên đường mới để hoạt động.

"Họ đang mở những công ty mới tại những quốc gia, nơi ta không có cơ chế quản lí, ở châu Mỹ Latinh, châu Âu, và khu vực châu Á Thái Bình Dương. Đây là những vùng mà pháp luật còn lỏng lẻo, nhờ đó mà họ có thể xuất khẩu phần mềm sang những quốc gia mà trước nay mình không thể như khi hoạt động tại Israel hay một số nơi khác tại châu Âu. Còn có những công ty thì che giấu hoạt động bằng cách liên tục đổi tên, hết lần này đến lần khác. Hoặc bằng những cơ chế như thực hiện nghiên cứu và phát triển tại một địa điểm, rồi quảng bá bán hàng bằng một công ty khác, và triển khai phần mềm cũng thông qua một công ty thứ ba để nhằm cắt đứt sợi manh mối vô hình về ai, và đang làm cái gì", ông giải thích thêm.

Điều ông vừa nói có thể là đúng nhưng chính NSO Group cũng có một danh sách dài những tên phụ, trong đó có Q Cyber Technologies tại Israel, OSY Technologies tại Luxembourg. Họ cũng có chi nhánh Bắc Mỹ với tên gọi là Westbridge. Đội ngũ nhân viên của họ có mặt khắp nơi trên Trái Đất. Truyền thông Israel cũng đã từng đưa tin về sự liên kết của NSO Group tới nhiều công ty vỏ bọc khác và những thỏa thuận khó hiểu. Trong nhiều năm hoạt động, nó đã vận hành một mạng lưới rối rắm của những công ty con trên toàn thế giới, chính cái mê cung này khiến việc truy vết hành động và thỏa thận của nó trở nên gần như bất khả thi, trong khi đây lại là yếu tố quan trọng bởi những công cụ hack có thể bị các chính phủ độc tài lạm dụng, gây ra những hậu quả tàn khốc.

Trong khi đó, thế nào là có trách nhiệm? Khi NSO Group lần đầu xuất hiện, Wassenaar Arrangement, một thỏa thuận xuất khẩu vũ khí quan trọng giữa 42 quốc gia vẫn chưa hề nhắc tới khía cạnh mạng máy tính. Israel khi ấy vẫn chưa có luật xuất khẩu tài nguyên mạng. Giờ đây, Bộ Quốc phòng Israel đang hoạt động theo bộ Luật kiểm soát xuất khẩu quốc phòng của nước này. Dưới tính hiệu lực của bộ luật mới này, NSO Group vẫn chưa từng bị từ chối xuất khẩu một lần nào, nhưng trên quy mô toàn cầu, ngành công nghiệp gián điệp vẫn chủ yếu hoạt động ngầm, mờ ám, và không có một chút trách nhiệm nào dù rằng quy mô và quyền năng của nó đang ngày càng phình ra.

Hulio nói: "Đây chính là những lỗ hổng. Không phải quốc gia nào cũng nằm trong thỏa thuận Wassenaar. Tôi vẫn tin rằng rất khó để thay đổi trên quy mô toàn cầu. Tuy đây rõ ràng là một ý tưởng tốt, ấy vậy mà ta vẫn có những quốc gia đóng vai trò như những bỏ bọc thuế, hay vỏ bọc xuất khẩu. Những quốc gia ấy cần phải tuân theo một cơ chế quản lí toàn cầu".

Ai đang nằm trong tâm ngắm?

Hàng chục vụ việc công nghệ của NSO bị lạm dụng bởi người dùng đã được ghi nhận kể từ khi tên công ty này phất lên nhờ sự kiện Mansoor. Một khi có những cáo buộc mới, NSO sẽ bắt đầu điều tra. Nếu phát hiện mâu thuẫn trong báo cáo vụ việc, NSO có thể yêu cầu đoạn nhật kí ghi lại thông tin về mục tiêu từ khác hàng. Hulio cho biết, thường thì, khách hàng của họ sẽ phản hồi rằng những cáo buộc trên là đúng, mục tiêu là có thật, nhưng không quên bổ sung rằng hành động của họ là hợp pháp theo luật sở tại và theo bản thỏa thận mà họ đã kí kết. Điều này đặt quyền quyết định xem mục tiêu được nhắm tới có hợp pháp hay không vào phía NSO và khách hàng.

Lại thêm nhiều trỉ trích nhắm vào NSO Group xuất hiện mỗi khi các nhà nghiên cứu thông báo về việc Pegasus đã được dùng để nhắm vào luật sư, nhà hoạt động vì nhân quyền, nhà báo, chính trị gia. Nhưng Hulio cho rằng bối cảnh vụ việc có thể giải thích cho cáo buộc được đưa ra, tức là những đối tượng nêu trên đều có thể trở thành mục tiêu của việc giám sát hợp pháp miễn là không có quy định nào bị phá vỡ. Ông lấy những sự kiện xoay quanh vụ bắt giữ ông trùm ma túy Me-xi-co Joaquín "El Chapo" Guzmán vào năm 2014 làm ví dụ. Dù rằng chưa bao giờ xác nhận công khai nhưng NSO Group vẫn luôn âm thầm tuyên bố về vai trò của mình trong chiến dịch này suốt nhiều năm trời.

"Chapo đã trốn chui trốn lủi được nhiều năm. Những người như Chapo hay al-Baghdadi (thủ lĩnh IS) không mang theo điện thoại thông minh. Khi Chapo trốn thoát, người ta nghĩ hắn sẽ gọi điện cho luật sư của mình, vậy tại sao lại không thử theo dõi liên lạc của luật sư nhỉ. Luật sư này không phải là một người xấu và tôi cũng không nói là mình có liên quan. Bản thân vị luật sư cũng không phải là nghi phạm của hoạt động phạm tội, nhưng El Chapo sắp sửa gọi cho luật sư của mình, và cách duy nhất để bắt hắn là theo dõi vị luật sư mà hắn muốn liên lạc".

Có thể nói đây là trường hợp dễ: trùm ma túy giết người, hành động cực đoan chống cảnh sát, tội phạm hàng đầu. Nhưng đa số cáo buộc về hành vi lạm dụng không giống với trường hợp của El Chapo. Điển  hình là các quốc gia vùng Vịnh đã nhiều lần bị cáo buộc sử dụng Pegasus để nhắm tới các cá nhân đối lập chính trị - những người mà sau đó đều bị buộc tội về hành vi xúc phạm tới hoàng tộc hoặc các cáo buộc khác tương tự.

Hulio bổ sung rằng những phàn nàn mà NSO nhận được cũng đều là công việc mà các công ty phần mềm gián điệp khác phải có trách nhiệm.

"Mỗi khi bán sản phẩm của mình, chúng tôi luôn đặt ra những câu hỏi khó, nhưng tôi không chắc đây là điều mà công ty nào cũng làm. Tôi không ngại ngồi trước mặt bộ trưởng quốc phòng của một nước, hoặc trưởng phòng cảnh sát hay một cơ quan bí mật mà hỏi: Mục đích sử dụng là gì? Quá trình tiến hành ra sao? Sứ mệnh của nó là gì? Các anh muốn tìm hiểu thông tin gì? Mục tiêu là đâu? Các anh phân tích dữ liệu như thế nào? Ai là người cần phải được phê duyệt cho mỗi mục tiêu? Luật pháp tại nước anh là gì, nó hoạt động ra sao? Chúng tôi đặt ra những câu hỏi mà nhiều công ty khác chẳng hề quan tâm. Họ chỉ biết là mình sẽ nắm trong tay thỏa thuận ấy, họ muốn bán sản phẩm. Họ sẽ bán bởi vì tiền chính là thứ dinh dưỡng nuôi dưỡng họ".

Chúng ta đang đi theo một vòng xoáy, cứ liên tục quay trở lại với mớ bòng bong toàn những bí mật. Tiền thì cứ chảy, sự lạm dụng thì cứ tiếp diễn, còn các công cụ xâm nhập thì nhờ đó mà sinh sôi nảy nở, vòng xoáy này là điều mà chẳng ai mảy may tranh cãi.

Nhưng ai là người phải chịu trách nhiệm khi những kẻ độc tài tàn ác nắm trong tay phần mềm gián điệp tối tân để chống lại những người đối lập? Một thế giới vốn đã tăm tối, nay lại đang dần lấn sâu thêm vào bóng đêm, và câu trả lời cho thắc mắc trên cũng đang dần không có hồi đáp.

Trung ND theo MIT Technology Review