Một nhóm tội phạm mạng đã xâm phạm và lập bản đồ hệ thống ngân hàng toàn cầu, và trong một loạt các cuộc tấn công cho đến nay đã đánh cắp được 81 triệu USD từ hệ thống ngân hàng trung ương của Bangladesh. Các chuyên gia tin rằng các cuộc tấn công đã được thực hiện bằng cách sử dụng tin nhắn lừa đảo trên mạng lưới thanh toán chuyển khoản kết nối với hệ thống ngân hàng.
Cảnh sát bán quân sự Trung Quốc đeo mặt nạ tại Quảng trường Thiên An Môn vào ngày 9 Tháng 12 năm 2015, tại Bắc Kinh, Trung Quốc. Các tin tặc nhà nước Trung Quốc đang là nguồn gốc của những cuộc tấn công mạng gần đây vào hệ thống ngân hàng toàn cầu. (Kevin Frayer / Getty Images)
Người ta vẫn đang tiến hàng các cuộc điều tra nhắm vào các cuộc tấn công đang diễn ra, và các cuộc tấn công có liên quan về các ngân hàng khác vẫn đang được phát hiện. Một số chuyên gia đang ghim vào các cuộc tấn công của tin tặc từ Bắc Triều Tiên, kể từ khi các công cụ mà họ sử dụng đã cho thấy sự tương đồng với cuộc xâm nhập của tin tặc vào Sony Pictures Entertainment hồi tháng 11 năm 2014.
Tuy nhiên, theo một nguồn tin nội bộ có sự am hiểu tường tận trực tiếp về các cuộc tấn công gần đây, thủ phạm đằng sau các vụ cướp ngân hàng kỹ thuật số này là [một tổ chức] lớn hơn nhiều. Nguồn tin nội bộ yêu cầu được giấu tên vì lo ngại về những lý do an ninh, và đã có thể cung cấp bằng chứng để xác nhận những tuyên bố của mình.
Một ảnh chụp màn hình được cung cấp bởi một nguồn tin nội bộ cho thấy các tin tặc đã tiếm quyền quản trị điều hành truy cập cơ sở dữ liệu của hệ thống Uniteller.
Nguồn tin nội bộ đã thêm vào những ghi chú hiển thị thời gian.
Theo nguồn tin nội bộ cho biết, các tin tặc làm việc cho nhà nước Trung Quốc đã xác định các lỗ hổng hệ thống xung yếu ban đầu, và sử dụng nó để xâm nhập và lây nhiễm vào hệ thống tài chính toàn cầu. Khi hợp đồng của họ kết thúc với chế độ Trung Quốc vào năm ngoái, họ đã bán lỗ hổng xâm nhập hệ thống này cho các nhóm tội phạm mạng trên thị trường tư nhân trong hệ thống chợ đen darknet với nỗ lực nhằm né tránh bị phát hiện, ông nói. Chợ đen darknet là một hệ thống internet luân phiên mà chỉ có thể truy cập vào được khi sử dụng các phần mềm chuyên biệt. Trong khi hệ thống darknet có thể sử dụng hợp pháp, các nhóm tội phạm mua, bán, và lập âm mưu trên các diễn đàn darknet này.
Chính quyền Trung Quốc đang điều hành một mạng lưới rộng lớn các tin tặc thuộc Tổng Cục Tham mưu, Tổng cục ba, thuộc lực lượng vũ trang của nó. Những tin tặc này thực hiện các đơn đặt hàng từ chính quyền Trung Quốc, và cũng thường xuyên chạy các hoạt động bổ sung hoặc bán dữ liệu dựa trên mục đích lợi ích tài chính cá nhân. Epoch Times đã vạch trần hệ thống này trong một loạt bài điều tra trước đây.
Các nhóm tội phạm mạng đã mua các lỗ hổng xâm nhập hệ thống đã bị cáo buộc là những người thực hiện các cuộc tấn công hiện tại và chuyển tiền bất hợp pháp.
“Người Trung Quốc đã giành được quyền truy cập thường xuyên đối với các hệ thống mạng lưới tài chính mục tiêu và đã lọc ra trước tất cả các dữ liệu mà họ muốn lấy để cung cấp cho nhà tài trợ của họ theo hợp đồng”, nguồn tin nội bộ cho hay. “Bây giờ họ đã có được lỗ hổng xâm nhập hệ thống này, họ lại có thể tiếp tục thu lợi, vì vậy bây giờ họ đang bán nó cho các mạng lưới tội phạm”.
Quá trình vi phạm
Các mã độc được sử dụng để tấn công các vị trí dễ bị tấn công của hệ thống được lấy từ nhiều nơi, điều đó cũng có thể có nghĩa là khi các nhà nghiên cứu chỉ nhìn vào các hành vi vi phạm từ bề mặt thì có thể rút ra kết luận sai. Ông cho biết một số mã đã được phát triển nội bộ bởi các tin tặc Trung Quốc, nhưng họ cũng đã mua một số mã từ các trường đại học ở Nga.
Nguồn tin nội bộ cho biết những tin tặc Trung Quốc cũng đã không bán các lỗ hổng hệ thống cho bất kỳ nhóm tội phạm mạng cụ thể nào cả. “Họ sẽ bán [thông tin về lỗ hổng của] một ngân hàng cho một nhóm”, ông nói, và lưu ý rằng hầu hết tin tặc thực hiện các cuộc tấn công hiện nay là tương đối có tay nghề thấp. “Chúng không phải lập trình viên”, ông nói. “Chúng chỉ biết làm thế nào để phát hành gói chương trình và triển khai chúng”.
Nguồn tin nội bộ hoàn toàn có thể cung cấp những dữ liệu pháp lý và ảnh chụp màn hình để hỗ trợ cho các tuyên bố này. Nguồn tin nội bộ cũng có thể cung cấp một danh sách các ngân hàng mục tiêu mà ông đã ghi nhận là đang ngày càng tăng lên về số lượng, và trong đó bao gồm một danh sách dài các ngân hàng và hệ thống tài chính được kết nối với một mạng lưới đối tác ngân hàng bị tổn hại – bao gồm một số ở Mỹ, châu Mỹ Latinh, và Châu Á.
Các tin tặc nhà nước Trung Quốc bắt đầu tấn công vào các mạng lưới ngân hàng vào đầu năm 2006, theo nguồn tin trong nội bộ cho biết, và bắt đầu tải lên phần mềm độc hại đến các hệ thống mạng lưới ngân hàng vào năm 2013.
Ông cho biết các tin tặc Trung Quốc cũng xâm phạm các mạng thanh toán chuyển ngân của Uniteller, thuộc sở hữu của Banorte, ngân hàng lớn thứ ba của Mexico.
Một bài viết trên một diễn đàn tội phạm mạng darknet cung cấp quyền truy cập vào các hệ thống mạng của chính phủ Mexico, trong đó nêu rõ đề mục là “lý tưởng cho điệp viên mạng”.
(Ảnh chụp màn hình được cung cấp bởi nguồn tin bí mật cho Epoch Times)
Một bài viết trên một diễn đàn tội phạm mạng darknet bán quyền truy cập đến mục “tất cả thông tin” về Mexico, trong đó lưu ý nó chứa đựng một phương pháp mới để vi phạm các hệ thống mạng, và bao gồm “các công ty đại gia” trong phân khúc tài chính. (Ảnh chụp màn hình được cung cấp bởi nguồn tin bí mật cho Epoch Times)
Một bài viết trên một diễn đàn tội phạm mạng darknet bán quyền truy cập vào một dịch vụ viễn thông của Mexico có kết nối đến 32 tiểu bang. (Ảnh chụp màn hình được cung cấp bởi nguồn tin bí mật cho Epoch Times)
Một bài viết trên một diễn đàn tội phạm mạng darknet bán quyền truy cập vào hệ thống của Ủy ban Liên bang của Mexico về ngành điện lực, như trong ảnh chụp màn hình này.
(Ảnh chụp màn hình được cung cấp bởi nguồn tin bí mật cho Epoch Times)
“Về cơ bản, cơ sở hạ tầng then chốt của Mexico được sở hữu bởi cùng nhóm APT,” ông giải thích, sử dụng từ APT (advanced persistent threat – mối đe dọa dai dẳng có tính nâng cao) để đề cập về các tin tặc nhà nước Trung Quốc. “Họ đang ở trong tất cả mọi thứ dưới đây”, nguồn tin nội bộ cho biết, liên quan đến mức độ truy cập mà những tin tặc nhà nước Trung Quốc đã đạt được trên các hệ thống mạng thiết yếu ở Mexico.
Mãi cho đến khoảng tháng 6 năm 2015, các tin tặc nhà nước Trung Quốc mới bán lỗ hổng xâm nhập hệ thống cho các tổ chức tội phạm mạng, và các tổ chức này ngay lập tức sử dụng nó để bắt đầu lập bản đồ, thử nghiệm, và tiến hành lây nhiễm vào các hệ thống tài chính và ngân hàng.
Nguồn tin nội bộ cũng đã cho biết các tin tặc khai thác một lỗ hổng xâm nhập trong các đoạn mã được sử dụng để xây dựng các ứng dụng web mang tên Apache Struts v2. Nó là lỗ hổng đã bị xâm nhập vào đầu năm 2006 và đã được vá lại (sửa lỗi) trong năm 2013. Ông cũng lưu ý rằng sau khi đạt được quyền truy cập, những tin tặc tiến hành nghiên cứu kỹ lưỡng qua nhiều mạng lưới tài chính bổ sung mà họ đang nhắm mục tiêu.
Trong khi các tin tặc nhà nước Trung Quốc bán quyền truy cập vào các hệ thống mạng lưới ngân hàng, nguồn tin nội bộ này đã ghi nhận được việc các tin tặc này đã lập bản đồ và đã lây nhiễm cho hệ thống ngân hàng toàn cầu trong tám năm qua.
Khi họ quyết định bán các lỗ hổng xâm nhập hệ thống, họ không hề bị tước quyền để truy cập các hệ thống mạng. Vào thời điểm họ đã bán nó, nguồn tin nội bộ cho hay, nó đã đạt được mục đích của nó rồi. Nói cách khác, các tin tặc nhà nước Trung Quốc vẫn còn quyền truy cập vào các mạng lưới hệ thống – và không chỉ một vài ngân hàng, mà thay vào đó là hầu hết hệ thống ngân hàng toàn cầu.
Người trong cuộc cũng suy đoán rằng các tin tặc nhà nước Trung Quốc đang bán các lỗ hổng xâm nhập hệ thống với lý do chính là kiếm lợi nhuận, và cũng là để sử dụng các băng nhóm tội phạm mạng như một thứ gây sao nhãng có chủ ý khi họ [các tin tặc nhà nước Trung Quốc] xâm phạm ở mức độ cao hơn của họ. Ông tiếp tục khẳng định là điều này có thể là giai đoạn đầu của một cuộc khủng hoảng ngân hàng toàn cầu.
Comments are closed.