Ứng dụng của Chính phủ Hoa Kỳ chứa mã nguồn từ công ty của Nga

09:00 | 10/01/2023 | HACKER / MALWARE
Theo tin từ Reuters, các ứng dụng di động của Quân đội Hoa Kỳ và Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh (CDC) đang tích hợp phần mềm gửi dữ liệu khách truy cập tới một công ty của Nga có tên là Pushwoosh, công ty này tuyên bố có trụ sở tại Hoa Kỳ. Nhưng câu chuyện đó đã bỏ qua một chi tiết lịch sử quan trọng về Pushwoosh: Vào năm 2013, một trong những nhà phát triển của Công ty này đã thừa nhận là tác giả của Trojan Pincer, phần mềm độc hại được thiết kế để lén lút chặn và chuyển tiếp tin nhắn văn bản từ các thiết bị di động Android.

Pushwoosh tự nhận là một công ty có trụ sở tại Hoa Kỳ cung cấp mã nguồn cho các nhà phát triển phần mềm để lập hồ sơ người dùng ứng dụng điện thoại thông minh dựa trên hoạt động trực tuyến của họ, cho phép họ gửi thông báo phù hợp. Nhưng một cuộc điều tra gần đây của Reuters đã đặt ra câu hỏi về vị trí thực và tính trung thực của công ty.

Phát ngôn của Quân đội Mỹ nói với Reuters rằng họ đã xóa một ứng dụng có chứa Pushwoosh vào tháng 3/2022, với lý do “lo ngại về bảo mật”. Ứng dụng của Quân đội được sử dụng bởi những người lính tại một trong những căn cứ huấn luyện chiến đấu chính của Mỹ.

Reuters cho biết CDC gần đây cũng đã xóa mã Pushwoosh khỏi ứng dụng của mình vì lo ngại về bảo mật, sau khi các phóng viên thông báo rằng cơ quan Pushwoosh không có trụ sở tại khu vực Washington D.C. - như công ty đã thể hiện - mà thay vào đó được điều hành từ Novosibirsk, Nga.

Phần mềm của Pushwoosh cũng được tìm thấy trong các ứng dụng dành cho “một loạt các công ty quốc tế, các tổ chức phi lợi nhuận có ảnh hưởng và các cơ quan chính phủ từ công ty hàng tiêu dùng toàn cầu Unilever và Liên đoàn các Hiệp hội Bóng đá Châu Âu (UEFA) cho đến tổ chức vận động hành lang ủng hộ dùng súng có thế lực chính trị của Hoa Kỳ, Hiệp hội Súng trường Quốc gia (NRA) và Đảng Lao động của Anh”.

Người sáng lập công ty Max Konev nói với Reuters "Pushwoosh không có bất kỳ mối liên hệ nào với chính phủ Nga dưới bất kỳ hình thức nào” và rằng họ lưu trữ dữ liệu của mình ở Hoa Kỳ và Đức. Nhưng Reuters phát hiện ra rằng trong khi các phương tiện truyền thông xã hội của Pushwoosh và hồ sơ pháp lý của Hoa Kỳ thể hiện họ là một công ty của Hoa Kỳ có các trụ sở khác nhau ở California, Maryland và Washington, D.C., thì nhân viên của công ty lại ở Novosibirsk, Nga.

Reuters cũng biết rằng địa chỉ của công ty ở California không tồn tại và hai tài khoản LinkedIn của nhân viên Pushwoosh ở Washington, D.C. là giả mạo. “Pushwoosh chưa bao giờ đề cập đến việc họ có trụ sở tại Nga trong 8 hồ sơ hàng năm tại bang Delaware của Hoa Kỳ, nơi đăng ký công ty, một thiếu sót có thể vi phạm luật tiểu bang”, Reuters đưa tin.

Pushwoosh thừa nhận hồ sơ LinkedIn là giả, nhưng cho biết chúng được tạo bởi một công ty tiếp thị để thúc đẩy hoạt động kinh doanh cho công ty chứ không phải họ xuyên tạc vị trí của công ty. Pushwoosh cho biết, họ đã sử dụng các địa chỉ ở khu vực Washington, D.C. để “nhận thư từ kinh doanh” trong đại dịch Covid. Một đánh giá về sự hiện diện trực tuyến của người sáng lập Pushwoosh thông qua Constella Intelligence cho thấy địa chỉ email Pushwoosh của ông này được liên kết với một số điện thoại ở Washington, D.C. và số điện thoại này cũng được kết nối với địa chỉ email, hồ sơ tài khoản của hơn chục nhân viên Pushwoosh khác.

Vụ lùm xùm về Pushwoosh một phần đến từ dữ liệu được thu thập bởi Zach Edwards, một nhà nghiên cứu bảo mật, người cho đến gần đây vẫn làm việc cho Phòng thí nghiệm An toàn Internet, một tổ chức phi lợi nhuận tài trợ cho nghiên cứu về các mối đe dọa trực tuyến.

Edwards cho biết Pushwoosh bắt đầu với tên gọi Arello-Mobile và trong vài năm, cả hai thương hiệu đã xuất hiện cạnh nhau tại nhiều triển lãm công nghệ khác nhau. Ông cho biết vào khoảng năm 2016, cả hai công ty đều bắt đầu sử dụng tên Pushwoosh.

Tìm kiếm trên mã nguồn của Pushwoosh cho thấy một trong những nhà phát triển lâu năm của công ty là một người 41 tuổi đến từ Novosibirsk tên là Yuri Shmakov. Vào năm 2013, KrebsOnSecurity đã phỏng vấn Shmakov về câu chuyện, “Ai đã viết Trojan Android Pincer?” trong đó Shmakov thừa nhận đã viết phần mềm độc hại đó như một dự án cá nhân làm thuê cho công ty ngoài.

Shmakov nói rằng, dựa trên các thông số kỹ thuật của khách hàng, ông nghi ngờ rằng nó có thể được sử dụng cho mục đích bất chính. Mặc dù vậy, ông đã hoàn thành công việc và ký tên vào tác phẩm của mình bằng cách đưa biệt danh của mình vào mã của ứng dụng.

“Tôi đã làm việc với ứng dụng này trong vài tháng và tôi hy vọng rằng nó sẽ thực sự hữu ích”, Shmakov viết. “Ý tưởng của ứng dụng này là bạn có thể thiết lập nó như một bộ lọc thư rác… chặn một số cuộc gọi và tin nhắn SMS từ xa, từ một dịch vụ Web. Tôi hy vọng rằng đây sẽ là một số loại danh sách đen, với việc ghi nhật ký về tin nhắn/cuộc gọi bị chặn. Nhưng tất nhiên, tôi hiểu rằng khách hàng không thực sự muốn điều này”.

Shmakov đã không trả lời yêu cầu bình luận. Hồ sơ LinkedIn của ông cho biết ông đã ngừng làm việc cho Arello Mobile vào năm 2016 và hiện tại ông đang làm việc toàn thời gian với tư cách là trưởng nhóm Android tại một công ty cá cược trực tuyến.

Trong một bài đăng trên blog phản hồi câu chuyện của Reuters, Pushwoosh cho biết họ là một công ty tư nhân được thành lập theo luật tiểu bang Delaware, Hoa Kỳ và Pushwoosh Inc. chưa bao giờ thuộc sở hữu của bất kỳ công ty nào đã đăng ký tại Liên bang Nga.

“Pushwoosh Inc. đã từng thuê ngoài các bộ phận phát triển của sản phẩm cho công ty Nga ở Novosibirsk, được đề cập trong bài báo”, công ty cho biết. “Tuy nhiên, vào tháng 2/2022, Pushwoosh Inc. đã chấm dứt hợp đồng”. Tuy nhiên, Edwards lưu ý rằng hàng chục tên miền phụ của nhà phát triển trên tên miền chính của Pushwoosh vẫn trỏ đến Công ty Cổ phần Avantel, một nhà cung cấp Internet có trụ sở tại Novosibirsk, Nga.

Edwards cho biết thêm là ứng dụng của Quân đội Hoa Kỳ có cấu hình Pushwoosh tùy chỉnh không xuất hiện trên bất kỳ triển khai khách hàng nào khác. “Nó có một thiết lập cực kỳ tùy chỉnh không tồn tại ở nơi nào khác. Ban đầu, nó là một trình duyệt Web trong ứng dụng, nơi nó tích hợp một Javascript của Pushwoosh để bất cứ khi nào người dùng nhấp vào liên kết, dữ liệu sẽ được chuyển đến Pushwoosh và họ có thể gửi lại bất cứ thứ gì họ muốn thông qua trình duyệt trong ứng dụng”.

Một bài báo của Army Times được xuất bản một ngày sau khi câu chuyện của Reuters được đăng cho biết ít nhất 1.000 người đã tải xuống ứng dụng này. Trong khi đó ứng dụng này “cung cấp các bản cập nhật cho quân đội tại Trung tâm Huấn luyện Quốc gia ở Fort Irwin, California, một điểm điểm quan trọng để triển khai các đơn vị nhằm kiểm tra năng lực chiến trường của họ trước khi ra nước ngoài.”

Vào tháng 4/2022, khoảng 4.500 quân nhân đã tập trung tại Trung tâm Huấn luyện Quốc gia để tham gia một cuộc tập trận về cách sử dụng các bài học rút ra từ cuộc chiến của Nga chống lại Ukraine để chuẩn bị cho các cuộc chiến trong tương lai chống lại một kẻ thù lớn tươn tự.

Edwards cho biết mặc dù có nhiều ưu tiên của Pushwoosh, phần mềm của công ty dường như không làm bất cứ điều gì có hại cho khách hàng hoặc người dùng của họ. “Không có gì họ làm được coi là ác ý. Ngoài việc hoàn toàn nói dối về vị trí của họ, nơi lưu trữ dữ liệu của họ và nơi đặt cơ sở hạ tầng của họ.”

Edwards cũng nhận thấy công nghệ của Pushwoosh được nhúng trong gần hai chục ứng dụng di động đã được bán cho các thành phố và thị trấn trên khắp Illinois như một cách giúp người dân truy cập thông tin chung về các quan chức và cộng đồng địa phương.

Các ứng dụng Illinois đi kèm với công nghệ của Pushwoosh được sản xuất bởi một công ty có tên là Government 311, thuộc sở hữu của Bill McCarty, giám đốc Văn phòng Quản lý và Ngân sách Springfield. Một câu chuyện năm 2014 trên The State Journal-Register cho biết giá của Government 311 dựa trên dân số và ứng dụng này sẽ có giá khoảng 2.500 USD mỗi năm cho một thành phố có khoảng 25.000 người.

McCarty nói rằng công ty của ông đã ngừng sử dụng Pushwoosh “nhiều năm trước” và hiện tại họ dựa vào công nghệ của riêng mình để cung cấp thông báo đẩy qua ứng dụng của mình. Nhưng Edwards nhận thấy một số ứng dụng 311 vẫn cố gắng chuyển dữ liệu cho Pushwoosh, chẳng hạn như ứng dụng 311 cho Riverton, Ill.

McCarty giải thích: “Riverton đã không còn là khách hàng vài năm trước, đó có lẽ là lý do tại sao ứng dụng của họ chưa bao giờ được cập nhật để thay thế Pushwoosh. “Chúng tôi đang trong quá trình cập nhật tất cả các ứng dụng khách và làm mới trang web. Như một phần trong đó, các ứng dụng cũ không sử dụng như Riverton 311 sẽ bị xóa”.

Edwards cho biết vẫn chưa rõ có bao nhiêu ứng dụng và trang web của chính quyền địa phương và tiểu bang khác dựa vào công nghệ gửi dữ liệu người dùng đến các đối thủ của Hoa Kỳ ở nước ngoài. Vào tháng 7/2022, Quốc hội Mỹ đã giới thiệu phiên bản sửa đổi của Đạo luật ủy quyền tình báo cho năm 2023, bao gồm một phần mới tập trung vào dữ liệu được lấy từ các cuộc đấu giá quảng cáo trực tuyến có thể được sử dụng để định vị địa lý các cá nhân hoặc thu thập thông tin khác về họ.

Business Insider báo cáo rằng nếu phần này trở thành phiên bản cuối cùng - mà Thượng viện cũng phải thông qua  Văn phòng Giám đốc Tình báo Quốc gia (ODNI) sẽ có 60 ngày sau khi Đạo luật trở thành luật để đưa ra đánh giá rủi ro. Đạo luật nêu rõ, việc đánh giá sẽ xem xét “các rủi ro phản gián và việc nhân viên cộng đồng tình báo tiếp xúc với việc theo dõi của các đối thủ nước ngoài thông qua dữ liệu công nghệ quảng cáo”.

Edwards nói rằng ông hy vọng những thay đổi đó sẽ trôi qua, bởi vì những gì anh ấy tìm thấy với Pushwoosh có thể chỉ là giọt nước trong ly.

“Tôi hy vọng rằng Quốc hội hành động về điều đó”, ông nói. “Nếu họ đưa ra yêu cầu phải có một cuộc kiểm tra rủi ro hàng năm từ công nghệ quảng cáo nước ngoài, thì ít nhất điều đó sẽ buộc mọi người phải xác định và ghi lại những mối liên hệ đó”.

Nguyễn Anh Tuấn

(theo Krebs on Security)

Tin cùng chuyên mục

Tin mới