Hacker Nga tấn công mạng lưới ATM, đánh cắp 10 triệu USD

aA

Nhóm hacker MoneyTaker được cho là đứng sau vụ đánh cắp khoảng 10 triệu USD từ 20 công ty thuộc Nga, Anh và Mỹ.

Theo BBC, Group-IB - công ty bảo mật có trụ sở tại Moscow (Nga) - đã phát hiện nhóm hacker MoneyTaker đột nhập vào hệ thống máy tính của hơn 20 công ty và lấy đi số tiền khoảng 10 triệu USD. Group-IB đã hợp tác với cả Europol (Cảnh sát châu Âu) và chính phủ Nga để có kết quả này.

Hacker Nga tấn công mạng lưới ATM, đánh cắp 10 triệu USD — Hacker Nga đã đánh cắp khoảng 10 triệu USD tại Nga, Anh và Mỹ.

Cụ thể, trong 18 tháng qua (từ tháng 5/2016), nhóm này đã tấn công vào 18 ngân hàng và tổ chức tín dụng, hai công ty hoạt động ở lĩnh vực tài chính và một công ty luật. Chúng lấy đi khoảng 500.000 USD mỗi lần trong 16 lần tấn công vào các công ty Mỹ, 1,2 triệu USD mỗi lần trong ba lần tấn công ngân hàng Nga. Một nhà cung cấp phần mềm và dịch vụ tại Anh cũng nằm trong mục tiêu, nhưng chưa rõ thiệt hại.

Không những thế, nhóm hacker còn lấy đi rất nhiều tài liệu liên quan đến việc sử dụng công nghệ của hơn 200 ngân hàng tại Mỹ và các nước thuộc Mỹ-Latin. Các chuyên gia lo ngại, số tài liệu này có thể được sử dụng cho các đợt tấn công khác trong tương lai.

Một chuyên gia của Group-IB cho biết, MoneyTaker hành động cực kỳ khôn ngoan khi "liên tục thay đổi công cụ tấn công và chiến thuật". Nhóm này thường sử dụng loại phần mềm độc hại có thể ẩn nấp trong máy tính mà hệ thống không thể phát hiện. Khi hoàn tất việc tấn công, mã độc sẽ tự hủy và xóa bỏ mọi dấu vết sau khi máy tính khởi động lại. Do đó, hầu hết nạn nhân đều không hề hay biết mình bị hack.

Nhóm tin tặc còn kết hợp các công cụ hợp pháp với phần mềm độc hại dưới dạng file văn bản tùy chỉnh, bao gồm "phần mềm không có tập tin" (file-less). Chúng không lưu trữ trên ổ cứng, thay vào đó là các vùng nhớ tạm thời khác nhằm tránh bị phát hiện và cũng biến mất khi khởi động lại. Ngoài ra, thủ thuật thay đổi máy chủ nhằm sử dụng để lây nhiễm mạng của hệ thống ngân hàng hay sử dụng chứng chỉ SSL (Secure Sockets Layer) giả mạo các ngân hàng nổi tiếng cũng là cách mà hacker áp dụng.

Cuộc tấn công sớm nhất được biết đến là vụ xâm nhập mạng First Data's Star - một hệ thống xử lý thẻ ghi nợ được sử dụng bởi hơn 5.000 ngân hàng trên toàn thế giới. Kẻ gian sau đó xóa bỏ hoặc gia tăng các khoản rút tiền mặt và hạn mức thấu chi trên thẻ tín dụng, thẻ ghi nợ được mở hợp pháp. Cuối cùng, chúng rút tiền từ các trạm rút tự động (ATM).

Cũng theo Group-IB, MoneyTaker từng nhắm vào mạng lưới liên ngân hàng AWS CBR, vốn có quan hệ mật thiết với ngân hàng trung ương Nga. Hệ thống ngân hàng SWIFT nhiều khả năng cũng từng bị nhóm này ghé thăm, tuy không có bằng chứng rõ ràng. Thậm chí, Hệ thống xử lý thẻ FedLink của OceanSystems, hệ thống điều phối chuyển khoản được sử dụng bởi hơn 200 ngân hàng tại Mỹ, cũng bị tổn hại.

Ngoài ra, các chuyên gia bảo mật lo ngại MoneyTaker có thể thu thập cả tài liệu khác về ngân hàng như tài khoản quản trị viên, nhật ký giao dịch... "Hành động của hacker được coi là tinh vi nhất hiện nay, thậm chí có thể dùng từ hoàn hảo để mô tả. Sẽ rất khó để ngăn chúng lại", Kevin Curran, chuyên gia độc lập, giáo sư An ninh không gian mạng tại Đại học Ulster, nhận định.

Theo The Hacker News, MoneyTaker là nhóm hacker "khét tiếng", được cho là đang hoạt động tại Nga. Nhóm này hoạt động khá bí mật, chủ yếu nhằm vào các ngân hàng nhỏ, nơi hệ thống bảo mật yếu.

Theo Bảo Lâm (VnExpress.net)