MoneyTaker vừa đánh cắp khoảng 10 triệu USD từ ít nhất 20 công ty trong mạng lưới chuyển tiền liên ngân hàng, theo thông tin từ công ty bảo mật Group-IB có trụ sở tại Moscow.
Lấy theo tên phần mềm độc hại từng sử dụng, nhóm MoneyTaker gây chú ý từ tháng 5/2016 khi xâm nhập vào một ngân hàng giấu tên của Mỹ.
Khi đó, các tin tặc đã sử dụng quyền truy cập trái phép kiểm soát một máy trạm được ngân hàng sử dụng để kết nối với mạng dữ liệu First Data STAR Network.
Mạng dữ liệu này được hơn 5.000 ngân hàng trên khắp thế giới sử dụng để thanh toán các khoản liên quan tới thẻ tín dụng.
Các thành viên của MoneyTaker từng nhắm vào mạng lưới liên ngân hàng AWS CBR có quan hệ mật thiết với ngân hàng trung ương Nga.
Tin tặc của nhóm này cũng từng đánh cắp tài liệu nội bộ liên quan tới hệ thống ngân hàng SWIFT, tuy không có bằng chứng cho thấy thông tin này được sử dụng cho các vụ xâm nhập.
Năm ngoái, các nhóm tội phạm mạng đã sử dụng thông tin tài khoản SWIFT bị đánh cắp để chuyển bất hợp pháp 81 triệu USD từ một ngân hàng ở Bangladesh.
Theo báo cáo của Group-IB, MoneyTaker nắm giữ nhiều thông tin về mạng lưới Star, SWIFT và AWS CBR nên nhiều khả năng nhóm này sẽ nhắm tới các hệ thống thanh toán liên ngân hàng.
Group-IB đang điều tra nhiều tài liệu sao chép về cách thức chuyển tiền qua SWIFT. Nội dung này cho thấy mục tiêu tiếp theo của MoneyTaker có thể là các ngân hàng Mỹ Latinh.
Trong 18 tháng qua, Group-IB phát hiện nhiều bằng chứng cho thấy MoneyTaker đã xâm nhập thành công vào hệ thống máy tính của 18 ngân hàng và tổ chức tín dụng, hai tập đoàn tài chính và một công ty luật.
Hai trong số các mục tiêu này tại Nga, một mục tiêu tại Anh và số còn lại tại Mỹ. Tổng số tiền đánh cắp của mỗi vụ hack là 500.000 USD.
Các tin tặc đã sử dụng phần mềm độc hại cài trong bộ nhớ máy tính rất khó bị phần mềm diệt virus phát hiện.
Dạng phần mềm độc hại này khiến nạn nhân khó có thể biết hệ thống của mình có bị hack hay không bởi tất cả dấu vết sẽ bị xóa sạch khi máy tính khởi động lại.
Group-IB cho biết MoneyTaker đã khai thác một lỗi lập trình để giấu mã độc vô cùng tinh vi trong hệ thống. Nhóm này sử dụng Metasploit Framework để khai thác lỗ hổng.
Sau khi tiếp cập hệ thống đích, kẻ tấn công sẽ do thám kỹ lưỡng để chiếm quyền quản trị tên miền và cuối cùng là kiểm soát toàn bộ hệ thống mạng.
Tin tặc cũng mã hóa liên lạc sử dụng các chứng nhận hợp pháp của Bank of America, Ngân hàng Dự trữ Liên bang (Mỹ), Microsoft và Yahoo.
https://news.zing.vn/tin-tac-danh-cap-10-trieu-usd-tu-mang-luoi-atm-post803512.html