Cảnh báo: Hacker đã tấn công được phần mềm SWIFT

Thứ hai, 25/04/2016, 17:52 - Nguồn: Yêu cầu xóa tin

Theo các nhà nghiên cứu bảo mật Anh, kẻ tấn công đánh cắp 81 triệu USD từ Bangladesh Bank có thể đã hack được vào phần mềm của nền tảng tài chính SWIFT – trung tâm của hệ thống tài chính toàn cầu.

Hãng tin Reuters vừa đưa tin SWIFT, Hiệp hội viễn thông liên ngân hàng và tài chính quốc tế thuộc sở hữu của 3.000 định chế tài chính, xác nhận rằng họ đã nhận thức được có phần mềm độc hại nhắm vào phần mềm khách hàng của mình. Người phát ngôn Natasha Deteran cho biết SWIFT hôm nay (ngày 25/4) sẽ phát hành phần mềm cập nhật để ngăn chặn mã độc cùng với ban hành một cảnh báo đặc biệt gửi các định chế tài chính rà soát lại các biện pháp an ninh của họ.

Những phát triển mới này đến sau một vụ hacker cướp tiền nhà băng chưa từng có xảy ra hồi đầu tháng Hai vừa qua, dấy lên cảnh báo hệ thống tài chính toàn cầu có thể dễ bị tổn thương trước các vụ tấn công mạng hơn người ta nghĩ rất nhiều, do các lỗ hổng có thể cho phép những kẻ tấn công điều chỉnh phần mềm khách hàng của SWIFT.

Ông Deteran hôm qua nói với phóng viên Reuters rằng SWIFT đang phát hành bản cập nhật phần mềm để "hỗ trợ khách hàng nâng cấp bảo mật và phát hiện sự thiếu nhất quán trong các bản ghi cơ sở dữ liệu địa phương của họ".

Bản cập nhật phần mềm và cảnh báo từ trụ sở của SWIFT ở Brussels ra đời sau khi các nhà nghiên cứu của hãng bảo mật Anh BEA Systems cho phóng viên Reuters biết họ phát hiện mã độc mà những kẻ tấn công Ngân hàng trung ương Bangladesh (Bangladesh Bank) sử dụng để điều khiển phần mềm khách hàng SWIFT. Phần mềm này có tên là Alliance Access.

BAE cho biết họ dự định công bố phát hiện này hôm thứ Hai (25/4) trong một bài viết trên blog.

Những tên tội phạm mạng đã cố thực hiện các lệnh chuyển tiền giả với tổng số tiền lên đến 951 triệu USD từ một tài khoản của Bangladesh Bank ở Ngân hàng dự trữ liên bang New York (thuộc Cục dự trữ liên bang Mỹ ) hồi tháng Hai vừa qua.

Hầu hết các thanh toán đều đã bị chặn, nhưng trước đó 81 triệu USD đã bị hướng đến các tài khoản ở  Philippines và chuyển tới các sòng bài ở đó. Hầu hết các khoản tiền này cho đến nay vẫn bị mất tích.

Các nhà điều tra đang điều tra vụ cướp tiền này trước đó nói rằng những kẻ tấn công (đến nay chưa xác định được) đã đột nhập vào máy tính của Bangladesh Bank và chiếm được quyền điều khiển chứng thực được dùng để đăng nhập vào hệ thống của SWIFT. Tuy nhiên, nghiên cứu của hãng bảo mật BAE cho thấy phần mềm của SWIFT trên máy tính của ngân hàng có thể đã bị thâm nhập để xoá các bản ghi của các giao dịch bất hợp pháp.

Hôm qua, ông Deteran đã tái khẳng định "hệ thống hoặc dịch vụ nhắn tin lõi của SWIFT không bị mã độc xâm hại".

Nền tảng SWIFT messaging platform được 11.000 ngân hàng và các định chế tài chính khác trên toàn thế giới sử dụng, mặc dù chỉ có một số sử dụng phần mềm Alliance Access, theo ông Deteran.

Ông cho biết thêm SWIFT có thể phát hành các bản cập nhật phần mềm bổ sung khi họ biết thêm thông tin về vụ tấn công ở Bangladesh và các mối đe doạ tiềm tàng khác.

SWIFT cũng tái khẳng định các ngân hàng nên đánh giá lại các biện pháp an ninh nội bộ.

Adrian Nish, phụ trách bộ phận mối đe doạ tình báo của BAE cho hay ông chưa bao giờ chứng kiến một phương thức tấn công phức tạp như vậy từ các hacker tội phạm.

Còn người phát ngôn Bangladesh Bank từ chối bình luận về các phát hiện của BAE.

Kịch bản cũ, nạn nhân mới

Như tin đã đưa, cuối tuần trước, các nhà điều tra của cảnh sát Bangladesh đã tuyên bố Bangladesh Bank đã không áp dụng các biện pháp an ninh tối thiểu như không có tường lửa và các bộ định tuyến ngân hàng này đang sử dụng là hàng cũ, rẻ tiền, chưa đến 10 USD/ chiếc. Họ cũng cho rằng cả SWIFT và  Bangladesh Bank đều nên có trách nhiệm về sự sơ sài trong bảo mật này.

Một quan chức của Cục điều tra tội phạm Bangladesh cho biết các nhà điều tra không tìm thấy mã độc cụ thể mà BAE mô tả, nhưng các chuyên gia điều tra an ninh mạng vẫn chưa kết thúc điều tra.

Cảnh báo của BAE sẽ được công bố hôm nay bao gồm một số chỉ số kỹ thuật mà hãng cho biết hy vọng các ngân hàng có thể sử dụng để ngăn chặn các cuộc tấn công tương tự. Những chỉ số này bao gồm IPaddress của một máy chủ ở Ai Cập các hacker đã sử dụng để giám sát việc nhân viên Bangladesh Bank sử dụng hệ thống SWIFT.

Theo BEA, mã độc có tên là evtdiag.exe, được thiết kế để che giấu dấu vết kẻ tấn công bằng cách thay đổi thông tin trên một database của SWIFT ở Bangladesh Bank dùng để theo dõi thông tin về các yêu cầu chuyển tiền.

BAE cho biết evtdiag.exe có thể là một phần của một  toolkit tấn công quy mô lớn hơn được cài đặt sau khi kẻ tấn công giành được chứng chỉ quản trị.

Hacker khống chế máy chủ và chuyển tiền bằng cách nào?

Đến nay, vẫn chưa rõ chính xác hacker ra lệnh chuyển tiền như thế nào. Nhưng BEA đã đưa ra những nhận định khá chi tiết về phi vụ này.

Cụ thể, Nish tiết lộ rằng, BAE đã tìm thấy evtdiag.exe trong thư viện mã độc (malware) và không trực tiếp quét các máy chủ bị lây nhiễm. Giống như một kho chứa thu thập hàng triệu mẫu mới mỗi ngày từ các nhà nghiên cứu, các doanh nghiệp, cơ quan chính phủ và các thành viên tải lên khi họ ghi nhận có mã độc và muốn ngăn chặn các nguy cơ tấn công trong tương lai.

Nish cho biết, ông tin chắc các phần mềm độc hại đã được sử dụng trong cuộc tấn công vì nó được tạo ra sát với ngày diễn ra vụ đánh cướp, chứa nhiều thông tin chi tiết về các hoạt động của ngân hàng và đã được tải lên từ Bangladesh.

Trong khi đó, malware đã được viết riêng để tấn công Ngân hàng Bangladesh Bank, "các công cụ, kỹ thuật và quy trình nói chung được sử dụng trong cuộc tấn công có thể cho phép các băng đảng sử dụng để tấn công một lần nữa", theo một cảnh báo của BAE gửi tới Reuters.

Cụ thể, malware đã được thiết kế để tạo ra một sự thay đổi nhẹ trong mã lệnh của phần mềm Access Alliance dùng để cài đặt tại Bangladesh Bank, cho phép những kẻ tấn công sửa đổi cơ sở dữ liệu được ghi lại trong quá trình đăng nhập của ngân hàng thông qua mạng SWIFT, Nish nhận định.

Một khi đã thiết lập được "chân rết" bên trong, mã độc có thể xóa hoàn toàn các bản ghi của các lệnh chuyển khoản khỏi cơ sở dữ liệu cũng như ngăn chặn các tin nhắn xác nhận lệnh chuyển tiền của các hacker đưa ra. Nish said chia sẻ thêm.

Với kỹ thuật này, chúng có thể thao tác thoải mái với số dư tài khoản trong các bản ghi để ngăn chặn việc phát hiện các lệnh chuyển tiền trái phép cho tới khi số tiền này được "rửa sạch sẽ".  Không những vậy, những kẻ tấn công còn tạo ra một máy in "ảo" cho phép khống chế các bản in cứng (in bằng giấy) các yêu cầu chuyển tiền để các ngân hàng không xác định được cuộc tấn công thông qua các bản in.

Hồng Hà

Trang gốc:
Công nghệ
Tiêu điểm tuần