Vào tháng 4/2018, một nhóm hacker đã tiến hành hàng loạt các đợt tấn công online và trộm được số tiền trị giá khoảng 15-20 triệu đôla từ các ngân hàng Mexico. Người ta cho rằng đó có thể là nhóm hacker Lazarus do Bắc Hàn chống lưng. Dưới đây là cách chúng đã thực hiện vụ trộm tinh vi và táo bạo này.
Cố vấn an ninh mạng Josu Loza là một trong những chuyên gia được mời đến sau vụ trộm ngân hàng Mexico, và vào ngày 8/3/2019 ông đã trình bày các phát hiện của mình tại hội nghị Bảo mật RSA ở San Francisco.
Phân tích của ông cho thấy, ngân hàng trung ương Mexico đã không bảo mật đầy đủ tiền của các khách hàng. Nhưng các tổ chức tài chính khác có thể tránh khỏi vết xe đổ đó nếu họ chịu hợp tác với nhau.
Phi vụ dễ dàng
Nhờ vào các lỗ hổng bảo mật ở hệ thống của ngân hàng mà các hacker nhắm tới, họ có thể đã truy cập được vào máy chủ nội bộ từ mạng internet công cộng hoặc tiến hành tấn công giả mạo (phishing) tới các giám đốc hoặc thậm chí nhân viên bình thường nhằm có được bàn đạp.
Nhiều mạng máy tính (network) không hề có kiểm soát truy cập kỹ càng, do đó hacker có thể khai thác được rất nhiều từ các tài khoản nhân viên đã bị bẻ khóa này. Các mạng này cũng không được phân vùng tốt, giúp cho hacker có thể dùng tài khoản ban đầu mà xâm nhập sâu vào các kết nối của ngân hàng với Hệ thống thanh toán điện tử liên ngân hàng (SPEI), và rốt cuộc là máy chủ giao dịch của SPEI, thậm chí cả mã nguồn.
Tệ hơn nữa, các dữ liệu giao dịch trong mạng nội bộ của ngân hàng không phải lúc nào cũng được bảo vệ đúng mức, nghĩa là hacker nằm vùng trong đó có thể theo dõi và chỉnh sửa dữ liệu. Và tuy rằng các kênh giao tiếp giữa người dùng cá nhân và ngân hàng được mã hóa, Loza cũng cho rằng bản thân ứng dụng SPEI cũng có lỗi và thiếu kiểm tra xác minh kỹ càng, do đó hacker có thể đưa vào các giao dịch bất minh. Ứng dụng có thể bị can thiệp trực tiếp do hacker xâm nhập vào chuỗi cung ứng, như vậy chúng có thể tạo ra các giao dịch mờ ám trong hệ thống.
Tất cả những lổ hổng này tựu chung lại, đã giúp hacker có thể tạo “căn cứ” rộng lớn, thiết lập nền tảng chúng cần để chuyển tiền ra ngoài. Khi đã lập cơ sở xong, việc chuyển tiền diễn ra nhanh chóng.
Các hacker lợi dụng sơ hở trong cách SPEI xác minh tài khoản người gửi để tạo ra giao dịch từ tài khoản không tồn tại, ví dụ “Sam Blacks, tài khoản: 12345678.” Chúng sẽ ra lệnh chuyển tiền từ tài khoản ảo này tới tài khoản thật nhưng ẩn danh do chúng kiểm soát và gửi những lao động phổ thông đi rút thay chúng trước khi ngân hàng nhận ra vấn đề.
Mỗi giao dịch mờ ám có giá trị khá nhỏ, khoảng vài chục nghìn peso. “SPEI gửi và nhận hàng triệu triệu peso mỗi ngày, số tiền bị mất chỉ chiếm tỷ lệ cực kỳ nhỏ trong đó,” Loza cho biết.
Những kẻ chủ mưu hẳn phải cần tới hàng trăm lao động chuyển tiền trong một thời gian tương đối dài. Loza nói rằng phải mất rất nhiều nguồn lực để tuyển dụng và đào tạo một nhóm như thế, nhưng chi phí cũng không quá lớn để làm nản lòng kẻ chủ mưu. Có lẽ khoảng 5000 peso/người là đủ – tức khoảng 260 USD.
Lời cảnh tỉnh cho các ngân hàng Mexico
Các hacker lấy tiền của các ngân hàng Mexico vẫn đang nhởn nhơ, nhưng vụ trộm dường như mang đến tác dụng cảnh tỉnh cho hệ thống ngân hàng nước này.
“Từ năm ngoái tới hôm nay, họ đều tập trung vào tiến hành kiểm soát. Kiểm soát, kiểm soát, kiểm soát,” Lazo nói trong bài thuyết trình. “Tôi cho rằng các vụ tấn công không diễn ra nữa là bởi vì điều đó.”
Lazo cũng nhấn mạnh tầm quan trọng của việc phối hợp giữa các công ty để chống lại tấn công mạng.
“Người Mexico cần bắt đầu hợp tác với nhau. Tất cả các tổ chức đều cần phối hợp nhiều hơn,” ông nói. “Vấn đề chính trong an ninh mạng là việc chúng ta không chia sẻ đủ kiến thức và thông tin hay bàn luận nhiều về các vụ tấn công. Người ta không muốn nói rõ công khai về các vụ việc của họ.”