Ít nhất 30 công dân Thái Lan đã trở thành mục tiêu của phần mềm hack điện thoại Pegasus từ tháng 10 năm 2020 đến tháng 11 năm 2021, theo một báo cáo pháp y từ tổ chức quyền kỹ thuật số CitizenLab của Canada và các tổ chức phi chính phủ Thái Lan như iLaw và DigitalReach. Những nạn nhân này bao gồm những người biểu tình nổi tiếng ủng hộ dân chủ cùng với luật sư và những người ủng hộ họ. Cuộc tấn công này là một trong những lần sử dụng đã được ghi nhận của công cụ Pegasus nhằm vào các nhân vật trong xã hội dân sự.
NSO Group, công ty phát triển Pegasus, khẳng định rằng họ chỉ bán công nghệ của mình cho các chính phủ và cơ quan thực thi pháp luật, điều đó có nghĩa là thủ phạm của các cuộc tấn công này khả năng cao là chính phủ Thái Lan hiện tại. Một số nạn nhân đã được cảnh báo về các cuộc tấn công có thể xảy ra vào tháng 11 năm 2021, khi Apple gửi thông báo đến điện thoại của họ, cảnh báo rằng họ có thể đã trở thành mục tiêu của các cuộc tấn công do nhà nước tài trợ. Trong báo cáo, được xác minh bởi sáng kiến công nghệ của Amnesty International, CitizenLab đã tiến hành phân tích pháp y trên các thiết bị để xác nhận rằng các cuộc tấn công đã được thực hiện bằng cách sử dụng Pegasus, một công cụ tinh vi phát triển bởi NSO Group, một công ty Israel đã bị chính phủ Mỹ đưa vào danh sách đen vào năm ngoái.
Báo cáo của CitizenLab cũng chỉ ra rằng nhiều nạn nhân là những lãnh đạo của các nhóm xã hội dân sự. Tuy nhiên, ngay cả những cá nhân có vai trò hỗ trợ cũng bị nhắm đến. Những người bị tấn công bởi Pegasus bao gồm các nhà hoạt động nổi bật ủng hộ dân chủ từ FreeYouth, Mặt trận Thammasat và Biểu tình (UFTD), và We Volunteer (WeVo), cũng như các luật sư và những người ủng hộ họ, trong bối cảnh các cuộc biểu tình ủng hộ dân chủ diễn ra rộng rãi. Một rapper chống chính phủ, Dechathorn “Hockhacker” Bamrungmuang; một nữ diễn viên nổi tiếng Thái Lan, Intira Charoenpura; và một giáo sư khoa học chính trị, Prajak Kongkirati, cũng nằm trong số những người bị tấn công.
Chính quyền hiện tại của Thái Lan lên nắm quyền thông qua cuộc bầu cử dân chủ vào năm 2019, nhưng nhiều thành viên của chính phủ, bao gồm cả thủ tướng, có nguồn gốc từ quân đội, những người đã lật đổ chính phủ được bầu trước đó vào năm 2014. Hàng ngàn người dân Thái đã xuống đường biểu tình, và sự bất đồng đã phát triển mạnh mẽ trên mạng với các hình thức chế giễu hoàng gia. Chính quyền đã bắt giữ hàng chục người biểu tình với các cáo buộc như phản loạn, xúc phạm hoàng gia (lèse-majesté), và theo một bộ luật "tội phạm liên quan đến máy tính" được diễn giải một cách rộng rãi.
Báo cáo của CitizenLab cho thấy rằng nhiều mục tiêu là những lãnh đạo của các nhóm xã hội dân sự. Nhưng ngay cả những cá nhân hỗ trợ cũng không thoát khỏi. Các luật sư thuộc các nhóm xã hội dân sự cũng nằm trong danh sách này, cùng với những người gây quỹ. Niraphorn Onnkhaow, một quản lý quyên góp cho UFTD và quản trị viên trang Facebook của nhóm, đã bị nhiễm Pegasus ít nhất 12 lần trong khoảng thời gian từ tháng 2 đến tháng 6 năm 2021.
Báo cáo phỏng đoán rằng cuộc tấn công nhằm vào Niraphorn có thể cho thấy rằng kẻ tấn công đang cố gắng thu thập thông tin về cách thức tài trợ và tổ chức phong trào. Nó có thể đã bị kích hoạt bởi những giao dịch cụ thể mà các tổ chức tài chính và chính phủ Thái biết đến nhưng người dân không biết, báo cáo cho biết.
"Điều này cho thấy có những thông tin không công khai liên quan đến việc nhắm mục tiêu, củng cố thêm rằng đây có thể là một phần của một hoạt động tình báo lớn hơn," John Scott-Railton, một nhà nghiên cứu cấp cao tại CitizenLab, người đồng viết báo cáo, chia sẻ. "Tôi không thể nghĩ ra những trường hợp nào có rapper hay nữ diễn viên bị nhắm đến bằng Pegasus," Scott-Railton bổ sung.
Pegasus có khả năng lây nhiễm vào thiết bị iOS hoặc Android ngay cả khi người dùng không nhấp vào liên kết bị xâm nhập. Người dùng chỉ cần mở một liên kết trong tin nhắn hoặc email để vô tình cho phép phần mềm tải xuống, điều này cho phép kẻ tấn công truy cập không hạn chế vào thiết bị mục tiêu, cho phép họ xem tin nhắn, email, danh bạ và hình ảnh. CitizenLab phát hiện rằng các nhà phát triển Pegasus đã sử dụng các lỗ hổng chưa được báo cáo trước đó, bao gồm các điểm yếu trong hệ thống iOS được gọi là Kismet và ForcedEntry, để nhiễm virus vào điện thoại tại Thái Lan.
Cùng ngày thông báo cho các nạn nhân về các cuộc tấn công, Apple đã tiến hành kiện NSO Group — công ty thứ hai thực hiện điều này sau WhatsApp vào tháng 10 năm 2019, khi cáo buộc rằng nhóm này đã hack máy chủ của họ. Một trong những người bị đánh thức bởi thông báo ping là Yingcheep Atchanont, giám đốc điều hành của iLaw, một tổ chức phi chính phủ về nhân quyền tại Bangkok, và cũng là một người bảo vệ trong các vụ án liên quan đến biểu tình. Các nhà nghiên cứu của CitizenLab đã chỉ ra rằng ông đã bị nhắm đến bởi Pegasus sáu lần trong năm 2021.
Atchanont cho biết ông không nghi ngờ gì và không hoàn toàn chắc chắn điều mà những kẻ tấn công tìm kiếm là gì — mặc dù ông nghi ngờ có thể liên quan đến các tin đồn rằng tổ chức của ông đang chuyển tiền từ các nhà tài trợ nước ngoài cho các nhóm biểu tình. "Có thể cảnh sát hoặc quân đội quá ngây thơ khi tin vào thuyết âm mưu đó; có thể họ muốn tìm thêm thông tin về vấn đề ngân sách, vì vậy họ đã cố gắng tấn công tôi," ông nói. Atchanont cho rằng có thể còn nhiều người khác bị nhiễm virus đang sử dụng các thiết bị không phải Apple và không bao giờ nhận được thông báo.
Charoenpura, nữ diễn viên nổi tiếng với sự ủng hộ mạnh mẽ cho các cuộc biểu tình và vai trò gây quỹ, chưa từng nhận được thông báo. Cô chia sẻ rằng cô đã nghi ngờ mình bị theo dõi, khi thấy các cơ quan mật vụ không mặc đồng phục đến thăm quán cà phê của gia đình cô, vì vậy cô đã tạm thời chuyển đi.
Tháng sau, sau khi nghe về những người hoạt động khác nhận được thông báo từ Apple, Charoenpura nghi ngờ rằng cô có thể là một nạn nhân. Cuộc điều tra sau đó đã cho thấy rằng điện thoại của Charoenpura đã bị nhiễm Pegasus nhiều lần trong khoảng thời gian từ tháng 4 đến tháng 6 năm 2021. "Bạn có thể tưởng tượng không? Một lần tôi thấy một người lạ đi quanh nhà tôi, khoảng 10 hoặc 11 giờ tối... Với điện thoại của tôi đã bị nhiễm, điều đó chỉ khiến tôi lo lắng hơn," Charoenpura chia sẻ.
CitizenLab lần đầu tiên phát hiện một nhà điều hành Pegasus ở Thái Lan vào tháng 5 năm 2014, sau đó là vào năm 2016, và tiếp theo là năm 2018. Từ sáu năm theo dõi các cuộc tấn công của phần mềm gián điệp Pegasus, bao gồm cả việc thu thập mẫu mã code Pegasus từ các thiết bị bị nhiễm bệnh, và cơ sở hạ tầng theo dõi và lây nhiễm của NSO Group, CitizenLab đã có thể xác định được dấu vân tay của Pegasus liên quan đến việc cài đặt phần mềm gián điệp trên các iPhone của các nhà hoạt động, báo cáo chỉ ra.
Các nhóm xã hội dân sự và các tổ chức toàn cầu đã tăng cường nỗ lực nhằm truy cứu trách nhiệm các công ty phần mềm gián điệp như NSO Group. Vào tháng 4, Nghị viện Châu Âu đã thành lập một ủy ban để điều tra việc sử dụng Pegasus trong các quốc gia thành viên EU. Tại Mỹ, NSO Group đã bị đưa vào danh sách đen của Bộ Thương mại, và một trong những công ty quốc phòng lớn của Mỹ, L3Harris, vừa từ bỏ đề xuất thâu tóm phần mềm gián điệp của công ty này.
Giá trị nợ của NSO Group đã liên tục giảm do phản ứng từ dư luận và đặc biệt là hành động của chính phủ, như Mỹ. Scott-Railton lưu ý, "Điều thực sự quan trọng là những điều khiến các nhà đầu tư nhận ra rằng họ có thể mất tất cả khi đầu tư vào phần mềm gián điệp và các hành động từ chính phủ. Những điều này có ảnh hưởng lớn đến doanh thu của các công ty phần mềm gián điệp. Và tôi nghĩ rằng có thể thông qua cơ chế đó mà chúng ta cố gắng làm chậm sự bùng nổ toàn cầu của công nghệ này."
Nguồn tham khảo: https://restofworld.org/2022/pegasus-thailand-report-citizen-lab/
NSO Group, công ty phát triển Pegasus, khẳng định rằng họ chỉ bán công nghệ của mình cho các chính phủ và cơ quan thực thi pháp luật, điều đó có nghĩa là thủ phạm của các cuộc tấn công này khả năng cao là chính phủ Thái Lan hiện tại. Một số nạn nhân đã được cảnh báo về các cuộc tấn công có thể xảy ra vào tháng 11 năm 2021, khi Apple gửi thông báo đến điện thoại của họ, cảnh báo rằng họ có thể đã trở thành mục tiêu của các cuộc tấn công do nhà nước tài trợ. Trong báo cáo, được xác minh bởi sáng kiến công nghệ của Amnesty International, CitizenLab đã tiến hành phân tích pháp y trên các thiết bị để xác nhận rằng các cuộc tấn công đã được thực hiện bằng cách sử dụng Pegasus, một công cụ tinh vi phát triển bởi NSO Group, một công ty Israel đã bị chính phủ Mỹ đưa vào danh sách đen vào năm ngoái.
Báo cáo của CitizenLab cũng chỉ ra rằng nhiều nạn nhân là những lãnh đạo của các nhóm xã hội dân sự. Tuy nhiên, ngay cả những cá nhân có vai trò hỗ trợ cũng bị nhắm đến. Những người bị tấn công bởi Pegasus bao gồm các nhà hoạt động nổi bật ủng hộ dân chủ từ FreeYouth, Mặt trận Thammasat và Biểu tình (UFTD), và We Volunteer (WeVo), cũng như các luật sư và những người ủng hộ họ, trong bối cảnh các cuộc biểu tình ủng hộ dân chủ diễn ra rộng rãi. Một rapper chống chính phủ, Dechathorn “Hockhacker” Bamrungmuang; một nữ diễn viên nổi tiếng Thái Lan, Intira Charoenpura; và một giáo sư khoa học chính trị, Prajak Kongkirati, cũng nằm trong số những người bị tấn công.
Chính quyền hiện tại của Thái Lan lên nắm quyền thông qua cuộc bầu cử dân chủ vào năm 2019, nhưng nhiều thành viên của chính phủ, bao gồm cả thủ tướng, có nguồn gốc từ quân đội, những người đã lật đổ chính phủ được bầu trước đó vào năm 2014. Hàng ngàn người dân Thái đã xuống đường biểu tình, và sự bất đồng đã phát triển mạnh mẽ trên mạng với các hình thức chế giễu hoàng gia. Chính quyền đã bắt giữ hàng chục người biểu tình với các cáo buộc như phản loạn, xúc phạm hoàng gia (lèse-majesté), và theo một bộ luật "tội phạm liên quan đến máy tính" được diễn giải một cách rộng rãi.
Báo cáo của CitizenLab cho thấy rằng nhiều mục tiêu là những lãnh đạo của các nhóm xã hội dân sự. Nhưng ngay cả những cá nhân hỗ trợ cũng không thoát khỏi. Các luật sư thuộc các nhóm xã hội dân sự cũng nằm trong danh sách này, cùng với những người gây quỹ. Niraphorn Onnkhaow, một quản lý quyên góp cho UFTD và quản trị viên trang Facebook của nhóm, đã bị nhiễm Pegasus ít nhất 12 lần trong khoảng thời gian từ tháng 2 đến tháng 6 năm 2021.
Báo cáo phỏng đoán rằng cuộc tấn công nhằm vào Niraphorn có thể cho thấy rằng kẻ tấn công đang cố gắng thu thập thông tin về cách thức tài trợ và tổ chức phong trào. Nó có thể đã bị kích hoạt bởi những giao dịch cụ thể mà các tổ chức tài chính và chính phủ Thái biết đến nhưng người dân không biết, báo cáo cho biết.
"Điều này cho thấy có những thông tin không công khai liên quan đến việc nhắm mục tiêu, củng cố thêm rằng đây có thể là một phần của một hoạt động tình báo lớn hơn," John Scott-Railton, một nhà nghiên cứu cấp cao tại CitizenLab, người đồng viết báo cáo, chia sẻ. "Tôi không thể nghĩ ra những trường hợp nào có rapper hay nữ diễn viên bị nhắm đến bằng Pegasus," Scott-Railton bổ sung.
Pegasus có khả năng lây nhiễm vào thiết bị iOS hoặc Android ngay cả khi người dùng không nhấp vào liên kết bị xâm nhập. Người dùng chỉ cần mở một liên kết trong tin nhắn hoặc email để vô tình cho phép phần mềm tải xuống, điều này cho phép kẻ tấn công truy cập không hạn chế vào thiết bị mục tiêu, cho phép họ xem tin nhắn, email, danh bạ và hình ảnh. CitizenLab phát hiện rằng các nhà phát triển Pegasus đã sử dụng các lỗ hổng chưa được báo cáo trước đó, bao gồm các điểm yếu trong hệ thống iOS được gọi là Kismet và ForcedEntry, để nhiễm virus vào điện thoại tại Thái Lan.
Cùng ngày thông báo cho các nạn nhân về các cuộc tấn công, Apple đã tiến hành kiện NSO Group — công ty thứ hai thực hiện điều này sau WhatsApp vào tháng 10 năm 2019, khi cáo buộc rằng nhóm này đã hack máy chủ của họ. Một trong những người bị đánh thức bởi thông báo ping là Yingcheep Atchanont, giám đốc điều hành của iLaw, một tổ chức phi chính phủ về nhân quyền tại Bangkok, và cũng là một người bảo vệ trong các vụ án liên quan đến biểu tình. Các nhà nghiên cứu của CitizenLab đã chỉ ra rằng ông đã bị nhắm đến bởi Pegasus sáu lần trong năm 2021.
Atchanont cho biết ông không nghi ngờ gì và không hoàn toàn chắc chắn điều mà những kẻ tấn công tìm kiếm là gì — mặc dù ông nghi ngờ có thể liên quan đến các tin đồn rằng tổ chức của ông đang chuyển tiền từ các nhà tài trợ nước ngoài cho các nhóm biểu tình. "Có thể cảnh sát hoặc quân đội quá ngây thơ khi tin vào thuyết âm mưu đó; có thể họ muốn tìm thêm thông tin về vấn đề ngân sách, vì vậy họ đã cố gắng tấn công tôi," ông nói. Atchanont cho rằng có thể còn nhiều người khác bị nhiễm virus đang sử dụng các thiết bị không phải Apple và không bao giờ nhận được thông báo.
Charoenpura, nữ diễn viên nổi tiếng với sự ủng hộ mạnh mẽ cho các cuộc biểu tình và vai trò gây quỹ, chưa từng nhận được thông báo. Cô chia sẻ rằng cô đã nghi ngờ mình bị theo dõi, khi thấy các cơ quan mật vụ không mặc đồng phục đến thăm quán cà phê của gia đình cô, vì vậy cô đã tạm thời chuyển đi.
Tháng sau, sau khi nghe về những người hoạt động khác nhận được thông báo từ Apple, Charoenpura nghi ngờ rằng cô có thể là một nạn nhân. Cuộc điều tra sau đó đã cho thấy rằng điện thoại của Charoenpura đã bị nhiễm Pegasus nhiều lần trong khoảng thời gian từ tháng 4 đến tháng 6 năm 2021. "Bạn có thể tưởng tượng không? Một lần tôi thấy một người lạ đi quanh nhà tôi, khoảng 10 hoặc 11 giờ tối... Với điện thoại của tôi đã bị nhiễm, điều đó chỉ khiến tôi lo lắng hơn," Charoenpura chia sẻ.
CitizenLab lần đầu tiên phát hiện một nhà điều hành Pegasus ở Thái Lan vào tháng 5 năm 2014, sau đó là vào năm 2016, và tiếp theo là năm 2018. Từ sáu năm theo dõi các cuộc tấn công của phần mềm gián điệp Pegasus, bao gồm cả việc thu thập mẫu mã code Pegasus từ các thiết bị bị nhiễm bệnh, và cơ sở hạ tầng theo dõi và lây nhiễm của NSO Group, CitizenLab đã có thể xác định được dấu vân tay của Pegasus liên quan đến việc cài đặt phần mềm gián điệp trên các iPhone của các nhà hoạt động, báo cáo chỉ ra.
Các nhóm xã hội dân sự và các tổ chức toàn cầu đã tăng cường nỗ lực nhằm truy cứu trách nhiệm các công ty phần mềm gián điệp như NSO Group. Vào tháng 4, Nghị viện Châu Âu đã thành lập một ủy ban để điều tra việc sử dụng Pegasus trong các quốc gia thành viên EU. Tại Mỹ, NSO Group đã bị đưa vào danh sách đen của Bộ Thương mại, và một trong những công ty quốc phòng lớn của Mỹ, L3Harris, vừa từ bỏ đề xuất thâu tóm phần mềm gián điệp của công ty này.
Giá trị nợ của NSO Group đã liên tục giảm do phản ứng từ dư luận và đặc biệt là hành động của chính phủ, như Mỹ. Scott-Railton lưu ý, "Điều thực sự quan trọng là những điều khiến các nhà đầu tư nhận ra rằng họ có thể mất tất cả khi đầu tư vào phần mềm gián điệp và các hành động từ chính phủ. Những điều này có ảnh hưởng lớn đến doanh thu của các công ty phần mềm gián điệp. Và tôi nghĩ rằng có thể thông qua cơ chế đó mà chúng ta cố gắng làm chậm sự bùng nổ toàn cầu của công nghệ này."
Nguồn tham khảo: https://restofworld.org/2022/pegasus-thailand-report-citizen-lab/
