XÂM NHẬP TỔ CHỨC HACKER ĂN TRỘM HÀNG TỶ USD TRÊN KHẮP THẾ GIỚI

0
661

Thông  qua  các  kỹ  thuật  lừa  đảo  và  thâm  nhập  máy  tính,  nhóm  hacker  này  đã  ăn  trộm  hàng  chục  triệu  số  thẻ  tín  dụng  từ  hàng  nghìn  điểm  bán  hàng  trên  khắp  thế  giới,  rút  đi  hàng  tỷ  USD  của  các  công  ty  nạn  nhân.Theo  một  người  ước  tính,  nhóm  hacker  Fin7  đã  rút  ruột  ít  nhất  hơn  1  tỷ  USD  từ  các  công  ty  trên  khắp  thế  giới.  Riêng  ở  Mỹ,  nhóm  Fin7  đã  ăn  trộm  hơn  15  triệu  số  thẻ  tín  dụng  từ  hơn  3.600  địa  điểm  kinh  doanh.  Vào  tuần  trước,  bộ  Tư  pháp  tiết  lộ  rằng  họ  đã  bắt  được  3  nghi  phạm  của  nhóm  này  –  và  quan  trọng  hơn,  là  nắm  được  chi  tiết  về  cách  thức  hoạt  động  của  nhóm.Bản  cáo  trạng  cáo  buộc  rằng  3  công  dân  Ukraina  là  thành  viên  của  nhóm  Fin7  –  bao  gồm  Dmytro  Fedorov,  Fedir  Hladyr,  và  Andrii  Kopakov  –  đã  góp  phần  làm  nên  một  trong  các  tổ  chức  hacker  tài  chính  tinh  vi  và  hung  hãn  nhất  trên  thế  giới.  Mỗi  người  đều  bị  buộc  tội  với  26  trọng  tội,  từ  âm  mưu  cho  tới  gian  lận,  thâm  nhập  máy  tính,  và  ăn  trộm  danh  tính.Ba  người  trên  đều  bị  cáo  buộc  có  các  vai  trò  quan  trọng  trong  Fin7:  Hladyr  là  người  quản  trị  hệ  thống,  còn  Fedorov  và  Kopakov  là  giám  sát  viên  của  các  nhóm  hacker.  Cho  dù  nhóm  Fin7  vẫn  tiếp  tục  hoạt  động  sau  khi  ba  người  này  bị  tống  giam,  giữ  vụ  bắt  giữ  vẫn  đánh  dấu  chiến  thắng  đầu  tiên  của  lực  lượng  thực  thi  pháp  luật  trước  đế  chế  tội  phạm  mạng  này.Chưởng  lý  Mỹ  Annette  Hayes  cho  biết  tại  buổi  họp  báo  rằng:  “Cuộc  điều  tra  vẫn  đang  tiếp  tục.  Chúng  tôi  không  ảo  tưởng  rằng  mình  đã  hạ  gục  nhóm  này.  Nhưng  chúng  tôi  đã  tạo  ra  một  tác  động  đáng  kể.  Các  hacker  này  nghĩ  rằng  chúng  có  thể  ẩn  giấu  phía  sau  bàn  phím  ở  những  nơi  xa  xôi,  và  chúng  có  thể  thoát  khỏi  cánh  tay  của  luật  pháp  nước  Mỹ.  Tôi  ở  đây  để  nói  với  bạn,  và  tôi  nghĩ  thông  báo  này  đã  làm  rõ  rằng,  chúng  không  thể  làm  như  vậy.”Cùng  với  thông  báo  của  Bộ  Tư  pháp,  một  báo  cáo  mới  từ  hãng  bảo  mật  FireEye  cũng  cho  thấy  một  cái  nhìn  chưa  từng  thấy  vào  cách  thức  và  mức  độ  hoạt  động  của  Fin7.  “Chúng  dùng  đến  rất  nhiều  kỹ  thuật  thường  thấy  có  liên  quan  đến  các  cuộc  tấn  công  do  chính  phủ  bảo  trợ  vào  lĩnh  vực  tấn  công  tài  chính.”  Barry  Vengerik,  nhà  phân  tích  nguy  cơ  tại  FireEye  cho  biết.  “Chúng  đang  áp  dụng  với  một  mức  độ  tinh  vi  mà  chúng  ta  không  thường  thấy  trong  các  cuộc  tấn  công  có  động  cơ  tài  chính.”

Lừa  đảo  Phishing: 

Vào  khoảng  ngày  27  tháng  Ba  năm  ngoái,  một  nhân  viện  tại  Red  Robin  Gourmet  Burgers  and  Brews  nhận  được  một  email  từ ray.donovan84@yahoo.com. Email  phàn  nàn  về  một  trải  nghiệm  khách  hàng,  và  nó  yêu  cầu  người  nhận  mở  phần  file  đính  kèm  để  biết  chi  tiết.  Người  nhân  viên  đã  làm  theo  chỉ  dẫn.Trong  vòng  vài  ngày,  Fin7  đã  dựng  được  sơ  đồ  mạng  nội  bộ  của  Red  Robin.  Trong  vòng  một  tuần,  nhóm  đã  chiếm  được  user-name  và  mật  khẩu  của  phần  mềm  quản  lý  điểm  bán  hàng  (PoS)  của  nhà  hàng.  Theo  Bộ  tư  pháp  Mỹ,  trong  vòng  2  tuần,  một  thành  viên  Fin7  bị  cáo  buộc  đã  tải  lên  một  file  chứa  hàng  trăm  username  và  mật  khẩu  của  798  địa  điểm  của  Red  Robin,  bên  cạnh  đó  là  “thông  tin  mạng  lưới,  các  cuộc  gọi  điện  thoại,  và  địa  điểm  các  bảng  báo  động  trong  nhà  hàng.”Bản  cáo  trạng  cho  Fin7  còn  cáo  buộc  9  lần  phạm  tội  khác  ngoài  Red  Robin,  và  chúng  đều  theo  cùng  một  kịch  bản.  Bắt  đầu  với  một  email  tìm  hiểu  tưởng  chừng  như  vô  hại:  một  yêu  cầu  đặt  phòng  gửi  đến  khách  sạn,  hay  đơn  đặt  hàng  gửi  đến  một  công  ty.  Nó  thậm  chí  còn  không  có  file  đính  kèm.  Chỉ  cần  đủ  tò  mò  để  kích  thích  ai  đó  mở  email.Sau  đó,  có  thể  sau  vài  email  trao  đổi  qua  lại,  nhóm  hacker  sẽ  gửi  yêu  cầu  qua  email:  Hãy  xem  file  Word  đính  kèm  ở  dưới,  nó  có  mọi  thông  tin  thích  hợp.  Và  nếu  bạn  không  mở  nó  –  hay  thậm  chí  trước  khi  bạn  nhận  được  nó  –  ai  đó  sẽ  gọi  cho  bạn  để  nhắc  nhở  về  nó.Khi  mục  tiêu  click  vào  file  đính  kèm,  họ  sẽ  tải  xuống  máy  tính  của  mình  một  malware.  Cụ  thể  hơn,  Fin7  tấn  công  họ  bằng  một  phiên  bản  được  chỉnh  sửa  của  Carbanak,  vốn  từng  xuất  hiện  trước  đây  trong  một  loạt  cuộc  tấn  công  nhắm  vào  ngân  hàng.Theo  cáo  trạng,  các  hacker  sẽ  đưa  máy  tính  bị  xâm  phạm  vào  trong  một  mạng  botnet,  và  thông  qua  trung  tâm  điều  khiển,  chúng  sẽ  giải  mã  các  tập  tin,  xâm  nhập  các  máy  tính  khác  trong  cùng  mạng  lưới,  hoặc  thậm  chí  chụp  ảnh  màn  hình  của  máy  trạm  để  ăn  trộm  thông  tin  xác  thực  cũng  như  các  thông  tin  giá  trị  khác.Phần  lớn  trong  số  chúng  là  dữ  liệu  thẻ  thanh  toán,  thường  có  được  bằng  cách  xâm  nhập  vào  phần  cứng  của  máy  quẹt  thẻ  tại  các  công  ty  như  Chipotle,  Chili’s,  và  Arby’s.  Nhóm  này  bị  cáo  buộc  đã  ăn  trộm  hàng  triệu  số  thẻ  thanh  toán  và  sau  đó  mang  bán  chúng  trên  các  trang  web  chợ  đen  như  Jok-er’s  Stash.“Nếu  so  về  quy  mô,  số  lượng  các  tổ  chức nạn  nhân  bị  ảnh  hưởng  mà  chúng  tôi  từng  làm  việc  trước  đây,  đây  chắc  chắn  là  con  số  lớn  nhất.”  Ông  Vengerik  cho  biết.  Nhưng  ấn  tượng  hơn  cả  là  mức  độ  tinh  vi  của  tổ  chức  này.

Mức  độ  tổ  chức  vượt  xa  các  nhóm  hack-er  thông  thường:

Các  chi  tiết  đáng  kinh  ngạc  nhất  trong  bản  cáo  trạng  hôm  thứ  tư  vừa  qua,  không  chỉ  xoay  quanh  kết  quả  các  cuộc  tấn  công  liên  tục  của  Fin7,  mà  còn  đáng  kinh  ngạc  hơn  là  việc  che  giấu  và  duy  trì  hoạt  động  trong  thời  gian  dài  của  nhóm.“Fin7  sử  dụng  một  công  ty  bình  phong,  có  tên  Combi  Security,  có  trụ  sở  tại  Nga  và  Israel,  để  tạo  ra  vỏ  bọc  hợp  pháp  và  tuyển  dụng  các  hacker  tham  gia  vào  công  ty  tội  phạm  này.”  Thông  cáo  báo  chí  của  Bộ  Tư  pháp  Mỹ  cho  biết.  “Trớ  trêu  thay,  hàng  loạt  nạn  nhân  là  các  công  ty  Mỹ  được  liệt  kê  trên  website  của  công  ty  giả  này  như  các  khách  hàng  của  nó.”Tuy  nhiên,  theo  một  phiên  bản  lưu  trữ  của  website  này,  hiện  tại  trang  web  đó  đã  được  rao  bán  ít  nhất  từ  tháng  3  năm  nay.Bản  cáo  trạng  cũng  chỉ  ra  cấu  trúc  và  hoạt  động  của  Win  7.  Các  thành  viên  thường  liên  lạc  thông  qua  máy  chủ  riêng  tư  Hip-Chat,  và  một  số  phòng  chat  riêng  tư  của  HipChat.  Tại  đây  chúng  có  thể  “hợp  tác  về  malware  và  xâm  nhập  vào  công  ty  nạn  nhân,”  cũng  như  chia  sẻ  dữ  liệu  thẻ  thanh  toán.  Chúng  còn  bị  cáo  buộc  sử  dụng  một  chương  trình  của  Atlassian,  Jira,  cho  các  mục  đích  quản  trị  dự  án,  theo  dõi  các  chi  tiết  của  việc  xâm  nhập,  lập  bản  đồ  mạng  lưới  và  ăn  trộm  dữ  liệu.Trong  khi  vẫn  chưa  rõ  có  bao  nhiêu  người  là  nạn  nhân  của  Fin7,  bản  cáo  trạng  tuyên  bố  “hàng  chục  thành  viên  với  các  kỹ  năng  đa  dạng”  –  năng  lực  của  tổ  chức  này  cho  thấy  sư  tương  đương  hoặc  thậm  chí  vượt  qua  các  công  ty  xa  khác.“Chúng  tôi  đã  tích  cực  ứng  phó  với  các  cuộc  xâm  nhập  vào  mạng  lưới  và  điều  tra  hoạt  động  trong  quá  khứ,  cùng  lúc  đó  chúng  tôi  thấy  chúng  đang  phát  triển  những  hành  vi  mới.”  Ông  Nick  Carr,  quản  lý  cấp  cao  tại  FireEye  cho  biết.  “Để  phát  minh  ra  các  kỹ  thuật  của  riêng  mình,  nó  phải  ở  một  cấp  độ  cao  hơn.”Các  kỹ  thuật  đó  bao  gồm  một  dạng  mới  của  việc  che  giấu  dòng  lệnh,  cho  đến  một  phương  pháp  mới  để  duy  trì  truy  cập.  Trên  hết,  Fin7  dường  như  có  khả  năng  thay  đổi  phương  pháp  của  mình  hàng  ngày  –  và  luân  phiên  các  mục  tiêu  của  nó  vào  các  thời  điểm  thích  hợp,  chuyển  từ  ngân  hàng  sang  khách  sạn  hoặc  nhà  hàng.  Cáo  trạng  của  Bộ  Tư  pháp  cho  biết  gần  đây  các  tin  tặc  nhắm  đến  nhân  viên  các  công  ty  xử  lý  hồ  sơ  của  Ủy  ban  Chứng  khoán  và  Sàn  giao  dịch,  một  nơi  có  thể  tiếp  cận  được  các  thông  tin  quan  trọng  về  chuyển  động  của  thị  trường.FireEye  cũng  cho  biết  họ  nhận  thấy  nhóm  này  dường  như  đang  chuyển  trọng  tâm  của  mình  sang  các  tổ  chức  tài  chính  tại  châu  Âu  và  Trung  Á.  Hoặc  cũng  có  thể  đây  là  một  nhóm  tách  riêng  ra  và  sử  dụng  các  kỹ  thuật  tương  tự.  Bất  chấp  sự  chú  ý  từ  Bộ  Tư  pháp,  cho  đến  nay,  đó  là  tất  cả  các  thông  tin  về  chúng.Ba  vụ  bắt  giữ  trên  sẽ  không  ngăn  chặn  được  hoạt  động  của  nhóm  hacker  tinh  vi  này.  Nhưng  việc  có  một  cái  nhìn  sâu  hơn  về  các  kỹ  thuật  của  nhóm  này  ít  nhất  cũng  có  thể  giúp  các  nạn  nhân  tương  lai  chuẩn  bị  đối  đầu  với  Fin7  trước  khi  đợt  tấn  công  tiếp  theo  của  nó  bắt  đầu.

Tham  khảo  Wired.

LEAVE A REPLY

Please enter your comment!
Please enter your name here