Người đàn ông gây dựng đế chế spyware tuyên bố: đây là thời điểm ngành hack nên bước ra ánh sáng

Dựa theo bài phỏng vấn đăng tải trên MIT Technology Review của Howell O'Neill, phóng viên công nghệ và bảo mật mạng. 

Thông thường, sự im lặng và sự kín đáo là hai phẩm chất bắt buộc phải có của ngành gián điệp. Suốt 9 năm trời, Hulio không hề công khai nhắc tới công ty hack trị giá tỷ đô của mình - ngay cả khi công cụ hack của anh có dính líu tới những vụ việc tai tiếng, và cả khi anh bị buộc tội đồng lõa với những hành vi lạm dụng nhân quyền. Gần đây, anh Hulio đã lên tiếng trả lời công chúng.

“Người ta không hiểu cách thức vận hành của hoạt động tình báo”, Hulio nói với tôi trong cuộc phỏng vấn điện thoại khi anh vẫn đang ở Tel Aviv, Israel. “Công việc chẳng dễ dàng gì. Không dễ chịu chút nào. Tình báo là hoạt động kinh doanh đáng ghê sợ mà đầy rẫy những tình huống đạo đức tiến thoái lưỡng nan”.

Công ty NSO Group do anh Hulio dẫn dắt là công ty spyware - phần mềm gián điệp lớn nhất thế giới. Nó nằm ở tâm điểm của ngành công nghệ đang ngày một phát triển lớn mạnh, nơi những công ty tiếng tăm tìm điểm yếu trong các phần mềm, phát triển nên những lỗ hổng nhằm khai thác thông tin và bán lại malware cho chính phủ các nước. Công ty có trụ sở đặt tại Israel có liên quan tới nhiều sự vụ tai tiếng trên toàn cầu.

CEO của NSO, Shalev Hulio.

Mười năm sau khi thành lập công ty, Hulio làm cái việc không ai làm việc trong ngành nghề bí mật này nghĩ tới: anh công khai nói về NSO Group, về ngành hack và về tính minh bạch sẽ ảnh hưởng ra sao tới các công ty spyware. Anh nhận định rằng đây là điều quan trọng nhất mà ngành hack có thể làm ở thời điểm hiện tại: “Chúng tôi bị nhiều bên buộc tội, mà cũng với những lý do vài phần xác đáng, rằng đã không đủ minh bạch trong các hoạt động của mình”.

Một nền văn hóa tồn tại trong tĩnh lặng

Với vị trí là cựu chỉ huy trong quân đội Israel và rồi trở thành một nhà đầu tư tập trung vào nghiên cứu, phát triển công ty cho phép truy cập điện thoại từ xa, Hulio nói rằng anh thành lập NSO Group hồi năm 2010, với sự hậu thuẫn từ những cơ quan tình báo Châu Âu. Hồi đó, NSO tự xưng là doanh nghiệp có khả năng tham gia chiến tranh mạng hàng đầu thế giới. 

NSO bắt đầu nổi danh hồi năm 2016, khi nhóm nghiên cứu an ninh tại Citizen Lab chỉ ra mối liên hệ giữa Pegasus - sản phẩm flagship của NSO - với một vụ cài đặt spyware đình đám. NSO giữ im lặng, một phần là do quy định của cơ quan chủ quản: năm 2014, công ty tư nhân Francisco Partners mua lại NSO với cái giá 100 triệu USD, và họ áp đặt chính sách “không tiếp xúc với báo giới” một cách triệt để. Hulio nói rằng quy định này tạo ra một nền văn hóa tĩnh lặng nảy sinh nhiều vấn đề.

Phần cứng được các chuyên viên của NSO sử dụng.

“Không được tham gia phỏng vấn - chúng tôi không thể nói chuyện với nhà báo, ngoại trừ câu ‘không có bình luận gì thêm’”, Hulio nói. “Điều này tạo ra nhiều điều tiếng xoay quanh chúng tôi, bởi lẽ mỗi lần bị cáo buộc lạm dụng điều này khoản kia, chúng tôi cũng chẳng bình luận được gì”.

Hulio nhận định đây là sai lầm mà các công ty tình báo tương tự NSO nên tránh trong tương lai. “Ngành hack nên minh bạch hơn. Mỗi công ty nên biết rõ mình đang bán [dữ liệu] cho ai, ai là khách hàng, mục đích sử dụng là gì”.

Thực tế, vụ hack làm nên danh tiếng NSO hồi 2016 - là gửi một tin nhắn kèm đường link cài spyware lên máy người nhận - cho chúng ta nói chung và các nhà nghiên cứu bảo mật nói riêng một cái nhìn rõ ràng hơn về những cách thức xâm nhập ngày một tinh vi. Tin nhắn kia sử dụng kỹ thuật “zero-click”, tức là lây nhiễm phần mềm độc hại lên máy nhận tin nhắn mà chẳng cần khổ chủ thực hiện hành động gì. Có những cách thức cài phần mềm gián điệp lên điện thoại mà tránh né được hệ thống báo động, chẳng cần nạn nhân phải trực tiếp làm gì mà chẳng để lại mấy dấu vết.

“Đề xuất từ các công ty hack là đây: tội phạm cũng như khủng bố có thể ẩn thân nhờ kỹ thuật mã hóa, nên các nước cần có cả khả năng đuổi theo những tên tội phạm này về tận hang ổ”, John Scott-Railton, nhà nghiên cứu lão thành tại Citizen Lab cho hay. “Các công ty bán những kỹ thuật hack này ngày càng im ắng. Không chỉ WhatsApp có lỗ hổng. Chúng tôi thấy những điểm yếu trên iMessage, phần mềm SS7, với khả năng truyền tải kỹ thuật zero-click. Việc xác định được quy mô vấn đề gần như bất khả thi. Chúng tôi chỉ có để phỏng đoán, và chỉ biết được một số người tham gia. Thị trường ngày một lớn mạnh, thế mà lại thiếu thông tin trầm trọng về các vụ lạm dụng”.

WhatsApp, một trong những dịch vụ nhắn tin được cho là an toàn.

Việc hiểu và đánh giá đúng toàn bộ quy mô ngành công nghiệp hack chưa bao giờ dễ dàng. Các kỹ thuật phát hiện và điều tra lại ngày một hiếm có hơn, khi mà các kỹ thuật hack ngày càng tinh vi và kín đáo. Vậy nên càng khó phát hiện các hành vi hack và lạm dụng.

Hulio đồng tình với nhận định rằng ngành công nghiệp hack lùi ngày một sâu vào bóng tối. Khi được hỏi về việc liệu những công ty đầu ngành đã nỗ lực giải trình minh bạch mọi thứ, thì anh lắc đầu:

“Thực tế, tôi thấy mọi thứ đang đi theo chiều ngược lại. Ngành công nghiệp hack đang ngày một tránh xa các quy định. Tôi nhận thấy nhiều công ty đang cố che giấu hoạt động của mình. Điều này làm tổn hại tới cả ngành công nghiệp nói chung”.

Tránh né việc phải minh bạch

Hulio khẳng định NSO đang đi theo hướng ngược lại, khi cố đi theo định hướng mới dưới trướng một ban điều hành mới. Mặc dù đang phải đối mặt với những cáo buộc lạm dụng Pegasus cũng như vướng vào vụ kiện liên quan tới ứng dụng nhắn tin WhatsApp, Hulio khăng khăng rằng công ty mình đang từng bước thay đổi. Ví dụ dễ thấy nhất là việc anh đang thẳng thắn nói chuyện với báo giới, bên cạnh những chính sách tự quản lý mới mà công ty đặt ra. Tuy nhiên, việc chuyển biến không đến dễ dàng thế khi mà NSO tiếp tục đối diện với những cáo buộc mới.

Hulio nói thêm rằng những công ty địch thủ của mình đang tránh né việc phải minh bạch và trách nhiệm phải giải trình bằng cách chuyển địa điểm vận hành tới những quốc gia dễ lách luật.

“Họ đang mở công ty tại những quốc gia không có cơ chế pháp luật chặt chẽ. Tôi thấy nhiều công ty cố gắng giấu hoạt động của mình bằng việc thay đổi danh tính nhiều lần. Hoặc là thông qua những cơ chế nhưng nghiên cứu phát triển ở một chi nhánh, thực hiện bán hàng qua một công ty thứ hai rồi triển khai hoạt động ở một công ty thứ ba nữa, nên là không thể lần được dấu vết hoạt động của họ”.

Bản thân NSO Group cũng như vậy, khi họ xuất hiện dưới nhiều cái tên khác như Q Cyber Technologies tại Israel hay OSY Technologies khi vận hành ở Luxembourg, NSO có cả cơ sở ở Bắc Mỹ dưới cái tên Westbridge. Nhân viên của NSO có trên toàn cầu. Suốt nhiều năm hoạt động, NSO tạo nên một mạng lưới rối rắm, khiến việc lần dấu các giao kèo, các hoạt động công ty gần như bất khả thi.

Vậy “trách nhiệm giải trình” cụ thể là gì? Khi NSO Group xuất hiện lần đầu, Hiệp định Wassenaar, một thỏa thuận quan trọng về xuất khẩu vũ khí và đồ điện tử lưỡng dụng, chưa có luật về đồ điện tử cao cấp như máy tính và các thiết bị công nghệ thông tin. Trên quy mô toàn cầu, ngành công nghiệp hack giấu mình rất kỹ, mờ ám nên khó thấu hiểu mà khả năng và sức mạnh lại ngày một lớn.

“Có nhiều lỗ hổng. Không phải nước nào cũng tham gia Hiệp định Wassenaar. Tôi thực sự nghĩ việc đạt được thỏa thuận chung quốc tế là rất khó. Rõ ràng làm cái gì mang tính ‘quốc tế’ luôn là ý tưởng hay, nhưng phải nói rằng có những nước vận hành như những thiên đường thuế, có những quốc gia nới lỏng các quy định về xuất khẩu. Cần những quy trình toàn cầu về điều lệ cho những nước này”.

Ai nằm trong tầm ngắm của những phương thức hack tinh vi?

Từ khi NSO có tiếng, xuất hiện nhiều những vụ lạm dụng liên quan tới người sử dụng công nghệ của NSO. Mỗi khi xuất hiện lời cáo buộc, NSO sẽ tiến hành điều tra. Mỗi khi có xảy ra tranh chấp, NSO có thể đưa yêu cầu truy xuất bản ghi dữ liệu để chỉ ra mục tiêu. Theo lời Hulio, trong nhiều trường hợp, bên bị cáo buộc sẽ thừa nhận những điều được nêu, và rằng đối tượng là có thật - nhưng hành động của họ lại hợp pháp dưới pháp luật địa phương và hợp đồng mà họ ký. Vậy là NSO và bên sử dụng dịch vụ sẽ cùng thảo luận và chỉ ra liệu mục tiêu có hợp pháp hay không.

Nhiều bên chỉ trích NSO Group rằng Pegasus được dùng để chống lại nhiều đối tượng có sức ảnh hưởng lớn. Nhưng Hulio lại cho rằng bối cảnh ứng dụng Pegasus có thể thanh minh cho hành động được thực hiện. Hulio chỉ ra ví dụ về sự kiện bắt trùm ma túy người Mexico Joaquín “El Chapo” Guzmán. Có thông tin không chính thức chỉ ra rằng NSO Group có tham gia vào chiến dịch này suốt nhiều năm trời. 

Sau khi vượt ngục thành công, El Chapo bị bắt lại sau một vụ đấu súng diễn ra tại thành phố Mexico hồi năm 2016.

“Chapo vượt ngục”, Hulio nói. “Những người như Chapo hay thủ lĩnh ISIS không mang smartphone trong người. Khi Chapo trốn thoát, họ nghĩ rằng rồi hắn sẽ gọi điện cho luật sư của mình, vậy nên hãy tiến hành theo dõi vị luật sư. Ông luật sư thì không phải người xấu - và tôi không nói rằng chúng tôi có liên quan đâu nhé. Bản thân luật sư thì không phải đối tượng phạm pháp, nhưng El Chapo, một tội phạm, sẽ gọi điện cho luật sư của mình, và cách duy nhất để bắt hắn là theo dõi liên lạc tới vị luật sư”.

Nhưng không phải lúc nào NSO cũng đối diện với những cáo buộc tương tự như trường hợp liên quan tới El Chapo. Rồi Hulio cũng nói rằng NSO thường bị cáo buộc những sự vụ liên quan tới những công ty spyware khác.

“Mỗi khi chúng tôi tiến hành bán một hệ thống cho khách hàng, nhiều câu hỏi khó được đưa ra, nhưng tôi không dám chắc các bên khác cũng làm vậy”, Hulio nói. “Tôi sẵn sàng đối diện bộ trưởng quốc phòng của một quốc gia hay bộ trưởng công an, hay thậm chí mật vụ của một quốc gia, và nghe những câu hỏi như: Mục đích của hệ thống là gì? Đối tượng là ai? Nhiệm vụ đó là gì? Đang điều tra những gì? Quá trình điều tra ra sao? Phân tích dữ liệu như thế nào? Ai là người đưa ra quyết định chọn mục tiêu? Luật pháp cụ thể của nước đang được hỏi là gì - vận hành ra sao? Những câu hỏi mà rất nhiều công ty không màng tới. Họ có hợp đồng - và họ muốn kinh doanh. Họ sẽ tiếp tục kinh doanh bởi nguồn tiền đầu vào vẫn dồi dào”.

Chúng ta đang đi vào một vòng luẩn quẩn, vướng trong búi tơ vò của những bí mật. Dòng tiền vẫn chảy, việc lạm dụng vẫn cứ diễn ra, và công cụ hack thì ngày một sinh sôi: chẳng ai chối cãi được những điều này.

Nhưng ai sẽ là người đứng ra chịu trách nhiệm khi những thế lực lớn có trong tay những spyware mạnh mẽ này để sử dụng lên đối thủ của mình? Màn đêm phủ ngày một rộng, để rồi ánh sáng sự thật ngày một thưa thớt hơn.