Một nhóm tội phạm Internet đã khai thác lổ hổng và lập bản đồ hệ thống ngân hàng toàn cầu, nhóm này cũng thực hiện một loạt các cuộc tấn công mà tính đến nay đã đánh cắp được 81 triệu USD từ ngân hàng trung ương Bangladesh. Theo các chuyên gia, các cuộc tấn công này đã sử dụng thông điệp giả vào một mạng chuyển tiền có kết nối với ngân hàng trung ương nước này.
Cảnh sát bán quân sự Trung Quốc đeo mặt nạ tại Quảng trường Thiên An Môn vào ngày 9/12/2015. Các hacker của chính quyền Trung Quốc là chủ mưu của các cuộc tấn công mạng gần đây vào hệ thống ngân hàng toàn cầu. (Ảnh: Kevin Frayer/Getty Images)
Các cuộc tấn công này hiện vẫn đang được điều tra, trong khi các cuộc tấn công nhắm vào các ngân hàng khác hiện vẫn chưa bị phát hiện. Một số chuyên gia cho rằng các cuộc tấn công bắt nguồn từ các hacker ở Bắc Triều Tiên, vì công cụ mà họ sử dụng có phần tương đồng với vụ tấn công hãng Sony Pictures Entertainment vào tháng 11/2014.
Tuy nhiên, theo một người trong cuộc có hiểu biết trực tiếp về các cuộc tấn công gần đây, thì thủ phạm đằng sau các vụ cướp ngân hàng qua mạng còn lớn hơn thế. Nguồn tin này yêu cầu được giấu tên vì lo ngại gặp phải vấn đề an toàn, đồng thời ông đã đưa ra được bằng chứng xác minh cho tuyên bố của mình.
Một ảnh chụp màn hình cho thấy các hacker có quyền quản trị cao nhất đối với hệ thống chuyển tiền Uniteller. Người cung cấp bức ảnh này đã khoanh tròn những chỗ hiển thị thời gian.
Nguồn tin trên cho biết các hacker của chính quyền Trung Quốc đã phát hiện lổ hổng bảo mật ban đầu, sau đó sử dụng lỗ hổng này để xâm nhập và làm lây nhiễm vào hệ thống tài chính toàn cầu. Ông nói, khi hợp đồng của họ với chính quyền Trung Quốc kết thúc vào năm ngoái, họ đã bán thông tin về lổ hổng này cho các nhóm tội phạm Internet thông qua một chợ online bí mật thuộc thể loại darknet. Darknet là một loại mạng Internet chỉ có thể truy cập được bằng các phần mềm chuyên dụng. Mặc dù darknet cũng có những mục đích sử dụng hợp pháp, nhưng các nhóm tội phạm thường mua, bán và bàn bạc âm mưu trên các diễn đàn darknet.
Chính quyền Trung Quốc đang điều hành một mạng lưới hacker rộng lớn dưới quyền của Tổng cục Tham Mưu, Tổng cục 3 của quân đội Trung Quốc. Những hacker này thực hiện các đơn đặt hàng từ chính quyền Trung Quốc và thường làm thêm hay bán dữ liệu mật để trục lợi cá nhân. Chúng tôi đã phát hiện ra đường dây này trong một loạt bài điều tra trước đó.
Các nhóm tội phạm mua thông tin về lổ hổng bảo mật được cho là đã tiến hành các cuộc tấn công và chuyển tiền bất hợp pháp gần đây.
Nguồn tin nội bộ cho biết: “Người Trung Quốc đã có được quyền truy cập cố định tới các mạng lưới tài chính mục tiêu và ăn cắp tất cả các dữ liệu mà họ muốn để thực hiện hợp đồng cho nhà tài trợ của họ. Giờ họ có lổ hổng bảo mật này, họ có thể tiếp tục kiếm tiền, và giờ đây họ đang bán nó cho các mạng lưới tội phạm”.
Tiến trình xâm nhập
Đoạn mã được sử dụng để tấn công vào lổ hổng bảo mật được lấy từ nhiều nơi, điều này có thể khiến các nhà nghiên cứu rút ra kết luận sai lầm nếu chỉ xem xét vụ xâm nhập từ khía cạnh bề mặt. Ông cho biết một phần đoạn mã là do các hacker Trung Quốc xây dựng, một phần khác là được mua từ các trường Đại học của Nga.
Nguồn tin nội bộ cho biết các hacker Trung Quốc đã không bán lổ hổng bảo mật này cho nhóm tội phạm Internet cụ thể nào. Ông nói “Họ bán từng ngân hàng cho mỗi nhóm khác nhau” và nói thêm rằng hầu hết các hacker thực hiện các cuộc tấn công hiện nay có tay nghề tương đối thấp. Ông nói “Họ không phải là lập trình viên. Họ chỉ biết mở gói lập trình sẵn và triển khai chúng”.
Nguồn tin nội bộ đã đưa ra được các dữ liệu pháp lý và ảnh chụp màn hình để chứng minh cho những tuyên bố của ông. Nguồn tin này cũng đưa ra được một danh sách các ngân hàng mục tiêu – gồm các ngân hàng và hệ thống tài chính có kết nối với một mạng lưới ngân hàng đối tác đã bị tổn hại – trong đó có một số ngân hàng ở Hoa Kỳ, châu Mỹ Latin và châu Á. Danh sách này đang ngày càng dài hơn.
Theo nguồn tin nội bộ, các hacker của chính quyền Trung Quốc đã bắt đầu tấn công mạng lưới các ngân hàng từ năm 2006 và tiến hành tiêm nhiễm phần mềm độc hại vào các mạng lưới vào năm 2013.
Ông cho biết các hacker Trung Quốc cũng xâm nhập vào mạng lưới chuyển tiền Uniteller thuộc sở hữu của Banorte, ngân hàng lớn thứ ba ở Mexico.
Ông nói: “Về cơ bản, cơ sở hạ tầng chủ chốt của Mexico hiện nay bị kiểm soát bởi cùng một nhóm ATP”, ông sử dụng thuật ngữ APT (mối nguy hiểm cao, thường trực) để ám chỉ các hacker của chính quyền Trung Quốc.
Đề cập đến mức độ xâm nhập của các hacker thuộc chính quyền Trung Quốc đối với các hệ thống mạng quan trọng ở Mexico, nguồn tin nội bộ cho biết: “Chúng có ở mọi nơi”.
Bài viết trên một diễn đàn tội phạm Internet rao bán quyền truy cập vào các hệ thống mạng của chính phủ Mexico, trong đó khẳng định lối truy cập này là “lý tưởng cho gián điệp mạng”. (Ảnh chụp màn hình do nguồn tin bí mật cung cấp)
Một bài viết trên một diễn đàn bí mật trong đó rao bán quyền truy cập “toàn bộ thông tin” về Mexico, nói rằng họ sở hữu một phương pháp tấn công mạng mới, truy cập được cả “những công ty lớn” trong lĩnh vực tài chính. (Ảnh chụp màn hình do nguồn tin bí mật cung cấp)
Một bài viết trên một diễn đàn bí mật trong đó rao bán quyền truy cập vào dịch vụ viễn thông Mexico có kết nối với 32 bang của nước này. (Ảnh chụp màn hình do nguồn tin bí mật cung cấp)
Một bài viết trên một diễn đàn bí mật trong đó rao bán quyền truy cập vào Ủy ban Điện lực Liên bang Mexico. (Ảnh chụp màn hình do nguồn tin bí mật cung cấp)
Mãi cho đến tháng 6/2015, các hacker của chính quyền Trung Quốc đã bán lỗ lổng bảo mật này cho các tổ chức tội phạm, và những tổ chức này ngay lập tức sử dụng nó để lập bản đồ, thử nghiệm và tiêm nhiễm các ngân hàng và hệ thống tài chính.
Nguồn tin nội bộ cho biết các tin tặc đã khai thác một lổ hổng bảo mật trong mã nguồn được dùng để xây dựng một ứng dụng web tên là Apache Struts v2. Mã nguồn này có lổ hổng từ năm 2006 và đã được vá vào năm 2013. Ông cũng nói rằng sau khi có được quyền truy cập đến nay, các hacker đã nghiên cứu kỹ lưỡng nhiều mạng lưới tài chính khác mà họ đang nhắm mục tiêu.
Trong khi các hacker của chính quyền Trung Quốc bán quyền truy cập các mạng lưới ngân hàng, nguồn tin nội bộ cho biết các tin tặc này đã lập bản đồ và làm lây nhiễm hệ thống ngân hàng toàn cầu trong suốt tám năm qua.
Khi họ quyết định bán lổ hổng bảo mật này, họ không để mất quyền truy cập vào các mạng lưới. Nguồn tin cho biết, khi họ bán lỗ hổng, thì lỗ hồng đã hoàn thành mục đích của nó. Nói cách khác, các hacker của chính quyền Trung Quốc vẫn có quyền truy cập vào mạng lưới, và không chỉ là đối với một vài ngân hàng, mà là với hầu hết hệ thống ngân hàng toàn cầu.
Nguồn tin nội bộ suy đoán rằng các hacker của chính quyền Trung Quốc đang bán lỗ hổng bảo mật ban đầu vì cả lý do lợi nhuận lẫn việc sử dụng các băng nhóm tội phạm ảo làm chiêu đánh lạc hướng khỏi sự xâm nhập tầm cao hơn của họ. Ông cho rằng đây có thể là giai đoạn đầu của một cuộc khủng hoảng ngân hàng toàn cầu.