Mã độc thửa riêng được sử dụng trong vụ đánh cắp $81 triệu đô la Mỹ tại ngân hàng Bangladesh.
Các nhà nghiên cứu tại công ty bảo vệ đa quốc gia, an ninh và hàng không vũ trụ BAE Systems của Anh quốc tin rằng họ đã tìm thấy các mã độc hại được sử dụng bởi tội phạm mạng để đánh cắp 81 triệu đô la Mỹ tại ngân hàng Trung Ương Bangladesh hồi đầu năm nay.
Vào đầu tháng hai, sau khi tiếp cận với hệ thống ngân hàng Bangladesh, các mã độc được sử dụng để chuyển $101 triệu đô từ tài khoản tại ngân hàng Dự trữ liên bang New York tới các tài khoản tại Sri Lanka và Philippines. Số tiền gửi tới Sri Lanka đang được lấy lại, nhưng $81 triệu đô được gửi tới Philippines vẫn đang mất tích. Những kẻ tấn công đã cố gắng để làm cho các giao dịch lừa đảo lên tới gần $1 tỉ đô, nhưng hành vi trộm cắp hoàn toàn bị ngăn chặn nhờ các hệ thống an ninh và lỗi chính tả trong một số yêu cầu chuyển tiền.
Ngân hàng Bangladesh thông báo rằng phải mất gần 4 ngày để ngăn chặn các khoản thanh toán trái phép do các vấn đề về máy tính và phần mềm. Hiện nay đã phát hiện nguyên nhân của những vấn đề này là do một mã độc được thiết kế để nhắm vào mục tiêu là các hệ thống tin nhắn liên ngân hàng SWIFT thường được dùng để theo dõi các yêu cầu chuyển tiền.
Các chuyên gia BEA System đã tìm thấy mã độc sau khi một người upload các mẫu từ Bangladesh. Các nhà nghiên cứu phát hiện ra một số thành phần được sử dụng trong các cuộc tấn công và tất cả các thành phần này dường như được tạo ra bởi cùng một người.
Một trong những phần quan trọng nhất của mã độc được ẩn trong một tập tin có tên “actdiag.exe,” được thiết kế để tương tác với SWIFT Alliance Access, một giao diện tin nhắn cho phép các ngân hàng và cơ sở hạ tầng của thị trường kết nối với nền tảng SWIFT. Theo các nhà cung cấp, có hơn 2000 Alliance Access được cài đặt trên toàn thế giới.
Những kẻ tấn công xâm nhập vào hệ thống ngân hàng Bangladesh và cài mã độc, trong đó liệt kê tất cả các quá trình trong tìm kiếm một module gọi là “liboradb.dll.” Module này có trách nhiệm khởi động cơ sở dữ liệu truy cập SWIFT Alliance, sao lưu và hồi phục chức năng và đọc đường dẫn dữ liệu từ khi đăng ký.
Nếu module này được tìm thấy, mã độc sẽ ghi đè 2 byte và kết quả kiểm tra tính hợp lệ sẽ được đánh dấu là thành công, cho phép kẻ tấn công thực hiện các giao dịch cơ sở dữ liệu.
Ngay khi kiểm tra tính hợp lệ hoàn tất, mã độc bắt đầu theo dõi các thông điệp trong SWIFT. Điều đáng chú ý rằng các chức năng nhắn tin chỉ hoạt động đến 6 giờ sáng ngày 06/02. Việc chuyển tiền trái phép đã diễn ra 2 ngày trước đó, điều này cũng chỉ ra rằng mã độc đã được thiết kế riêng cho việc đánh cắp này.
Bằng cách chụp lại các thông điệp trong SWIFT, mối đe dọa có khả năng xóa các giao dịch từ cơ sở dữ liệu và cập nhật số tiền giao dịch cho những kẻ tấn công xóa dấu vết của mình.
Các tin nhắn xác nhận được tạo ra bởi hệ thống SWIFT cũng được gửi bởi phần mềm tới máy in. Các tin nhắn được tạo ra cho các giao dịch gian lận có thể cảnh báo nhân viên ngân hàng, nhưng mã độc được sử dụng bởi những kẻ tấn công đảm bảo rằng các tập tin được chuẩn bị để gửi cho máy in đều được ghi đè.
“Mã độc này được viết riêng để tấn công một cơ sở hạ tầng là nạn nhân cụ thể, nhưng nói chung các công cụ, kỹ thuật và quy trình được sử dụng để tấn công có thể cho phép băng đảng tấn công lần nữa,” BEA System đăng trong một bài blog.
SWIFT phát hành một bản cập nhật phần mềm
SWIFT đã phát hành một bản cập nhật phần mềm để bảo vệ các khách hàng và giúp họ xác định các hành vi đáng ngờ.
Trong một tuyên bố hôm thứ hai, SWIFT làm rõ rằng mã độc được phát hiện bởi các nhà nghiên cứu không có tác động lên toàn bộ mạng lưới của mình hoặc các dịch vụ nhắn tin cốt lõi. Các tổ chức lưu ý rằng phần mềm độc hại chỉ có thể được triển khai nếu những kẻ tấn công bằng cách nào đó thỏa mãn mục tiêu của hệ thống bằng các khai thác lỗ hổng bảo mật.
“Chúng tôi đã phát triển một số cơ sở để hỗ trợ khách hàng trong việc tăng cường an ninh và phát hiện sự thiếu nhất quán trong các hồ sơ cơ sở dữ liệu địa phương,” SWIFT cho biết. “Tuy nhiên việc bảo vệ chủ chốt chống lại các kịch bản tấn công như vậy vẫn dành cho người dùng thực hiện các biện pháp an ninh thích hợp trong môi trường địa phương để bảo vệ hệ thống của mình, đặc biệt là những người sử dụng để truy cập SWIFT, chống lại các mối de dọa an ninh tiềm năng như vậy. Bảo vệ này nên được thực hiện bởi người dùng để ngăn chặn việc tiêm mã độc hoặc bất cứ chiếm dụng, giao diện và những hệ thống cốt lõi khác”.
