Tinh Hoa

Chuyên viên tình báo tố cáo quân đội Trung Quốc tấn công hệ thống ngân hàng toàn cầu

Hệ thống ngân hàng toàn cầu đang bị xâm nhập bởi các tội phạm internet. Những hacker này được xác định là thuộc 1 tổ chức do quân đội Trung Quốc điều hành.

1 tổ chức do quân đội Trung Quốc đứng đằng sau tấn công hệ thống ngân hàng toàn cầu.

Hệ thống ngân hàng toàn cầu đang bị xâm nhập bởi các tội phạm internet, những hacker này chiếm quyền truy xuất cao cấp, điều này gần như cho họ toàn quyền điều khiển, sửa đổi những dữ liệu và lấy trộm từ các ngân hàng“, theo một chuyên gia đang điều tra về những tội phạm này trên trang mạng Darknet.

Ed Alexander là một chuyên viên tình báo trên internet (cyberHUMINT) và cũng là một chuyên gia chủ đề (SME) trên trang mạng Darknet – một diễn đàn riêng tư điều hành bởi giới hacker. Chỉ có thể truy cập được bằng một phần mềm đặc biệt, mạng Darknet, bên cạnh các ứng dụng hợp pháp, còn được sử dụng bởi các nhóm tội phạm để mưu đồ và bán các món hàng trái phép.

Trong lần phỏng vấn trước, Alexander đã cung cấp cho tờ Epoch Times những bằng chứng cho thấy hiện tại về tình trạng trộm cắp tại các ngân hàng trên toàn thế giới. Trước đây ông đã đề nghị được ẩn danh để bảo vệ cho những điều tra của mình, nhưng hiện tại đã công khai danh tính nhằm đưa ra ánh sáng 2 nhóm hacker đứng phía sau các vụ tấn công.

Các vụ tấn công trên internet liên quan đến một chuỗi những vụ trộm từ các ngân hàng hiện đã bị xâm phạm bởi các hacker, bao gồm vụ cướp 81 triệu USD từ Ngân hàng Trung ương Bangladesh.

Alexander đã cung cấp các chứng cứ cho thấy những ngân hàng này chỉ là phần nổi của tảng băng trôi, và các hacker đã tìm thấy một lỗ hổng cho phép chúng truy xuất đến hàng ngàn ngân hàng trên thế giới và cả nước Mỹ.

Trong bài viết trước, chứng cứ cung cấp bởi Alexander đã cho thấy những cuộc tấn công bắt đầu từ năm 2006, khi các hacker làm việc cho quân đội Trung Quốc thực thi theo lệnh của chính quyền để chọc thủng các hệ thống mạng quan trọng của Mexico. Từ đó, các hacker có thể tăng quyền truy xuất đến các hệ thống máy tính của một ngân hàng chủ chốt, rồi sau đó thâm nhập vào mạng lưới giao dịch tiền tệ chính mà ngân hàng này – và nhiều trụ sở ngân hàng khác – kết nối đến.

Các hacker Trung Quốc đã hoàn thành nhiệm vụ của mình, và vào khoảng tháng 6/2015 họ đã bán đi thông tin về lỗ hổng mà họ đã khai thác cho bọn tội phạm mạng trên Darknet. Alexander có thể cung cấp các ảnh chụp màn hình lấy từ các bài viết đăng tải trên một chợ giao dịch của Darknet dành để bán các quyền truy xuất đến các hệ thống tài chính của Mexico.

Bọn tội phạm trên internet đã mua thông tin về lỗ hổng này từ các hacker Trung Quốc. Alexander đã đưa ra các bằng chứng mới cho thấy bọn chúng đã có được quyền truy xuất mức độ cao đến các mạng ngân hàng và chúng đang dùng những quyền đó để sửa đổi dữ liệu.

Thời báo Đại Kỷ Nguyên (Epoch Times) đã trò chuyện với 3 chuyên gia về tội phạm thông tin (2 người có thể tiết lộ công khai và 1 người không thể tiết lộ công khai), là những người có thể khảo sát các ảnh chụp màn hình từ các vụ tấn công, đã được cung cấp như các bằng chứng trước đó. Theo ý kiến của các chuyên gia, những ảnh chụp màn hình này đều xác thực và nội dung của chúng đã củng cố cho lời khẳng định của Alexander.

Theo James Scott, thành viên cao cấp của Viện Công nghệ Cơ sở hạ tầng Xung yếu Mỹ (ICIT), những ảnh chụp màn hình này “chỉ ra rằng những kẻ tấn công có lẽ đã khai thác một lỗ hổng trong hệ thống để thiết lập một sự hiện hữu liên tục và phá hủy các tập tin”.

Nếu lỗ hổng chưa được vá và những kẻ tấn công chưa bị loại khỏi hệ thống”, Scott nói, “chúng có thể tiếp tục lợi dụng lỗ hổng này hoặc bán nó cho những kẻ tấn công khác”.

ICIT là một nhóm chuyên gia cố vấn về bảo mật mạng tại Washington chuyên về các mối đe dọa đến cơ sở hạ tầng chủ yếu, như là các hệ thống tài chính.

Dựa trên ảnh chụp màn hình mà Alexander cung cấp, Scott suy luận rằng những tội phạm internet có lẽ đã biến quyền truy xuất đến mạng lưới, thành một cổng kết nối đến các mạng giao dịch tiền bạc hoặc giả mạo các yêu cầu giao dịch tới các ngân hàng khác, để cho phép các hacker lấy trộm tiền.

Keith Furst, người sáng lập Data Detectives (Thám tử Dữ liệu), một công ty chuyên về tội phạm tài chính mạng, đã lưu ý những ảnh chụp màn hình cho thấy bọn tội phạm có được quyền truy xuất rất cao đến các mạng lưới ngân hàng. Đối với ngân hàng, ông nói, chỉ có sự cấp phép ở mức cao nhất mới có thể sửa đổi những dữ liệu như đã hiển thị trên các hình ảnh. Điều này rất nguy hiểm, ví dụ như, một người nào đó sẽ có thể bỏ đi khoản nợ của mình hoặc chuyển nhượng tiền phi pháp.

Nếu họ có thể thay đổi thông tin ở cấp độ này, thì có nghĩa là họ có quyền truy xuất đến các thông tin khác nữa”, Furst khẳng định.

Cái nhìn chi tiết

Những ảnh chụp màn hình được cung cấp cho báo Epoch Times từ Alexander, đã cho thấy những tội phạm internet đang tích cực truy xuất và chỉnh sửa các dữ liệu trên mạng lưới của UniTeller, một mạng chuyển tiền được sở hữu bởi Banorte, ngân hàng lớn thứ 3 Mexico.

Ông đánh dấu vòng tròn màu đỏ trên các ảnh chụp màn hình cho thấy thời gian tấn công tương ứng với những tấn công gần đây vào các ngân hàng toàn cầu.

Một ảnh chụp màn hình cho thấy các hacker lấy cắp dữ liệu từ một mạng ngân hàng. Các hacker này đã xâm nhập hệ thống ngân hàng toàn cầu và hiện đang nắm giữ quyền truy cập mức độ cao. (Ảnh được cung cấp bởi Ed Alexander)

Ảnh chụp bên trên cho thấy tội phạm internet đang lấy cắp dữ liệu từ một mạng ngân hàng. Alexander cho biết bọn hacker thực thi một lệnh từ một máy kết nối từ xa nằm ngoài vùng bảo mật của ngân hàng, và đưa ra giả thiết bọn hacker truy xuất dữ liệu mà không đăng nhập trực tiếp bằng tài khoản vào hệ thống mạng.

Lỗ hổng cũng cho phép các hacker gửi lệnh đến máy chủ từ xa. “Các mã thực thi từ xa cho phép các hacker chạy bất cứ lệnh nào trên hệ thống”, Alexander nói. “Nó cũng hỗ trợ việc tải lên hệ thống các tập tin độc hại khác, mà có thể cung cấp các quyền cho phép truy cập mạnh và lâu dài hơn”.

Ông cũng lưu ý rằng ảnh chụp này chỉ chụp được một thời điểm trong vụ tấn công. Ông giải thích sau khi các hacker thực thi dòng lệnh mà ảnh chụp đã hiển thị các thông tin, họ còn thực thi thêm một lệnh khác cho phép họ can thiệp được vào các tập tin và trộm dữ liệu từ hệ thống.

Một ảnh chụp màn hình cho thấy bọn tội phạm đã thao túng hệ cơ sở dữ liệu ở server của một mạng ngân hàng. (Ảnh được cung cấp bởi Ed Alexander)

Ảnh chụp bên trên cho thấy kết quả từ việc bọn tội phạm cố gắng chứng tỏ họ có thể thao túng hệ cơ sở dữ liệu ở server của mạng ngân hàng, điều này cho phép họ, theo Alexander, “thực sự thay đổi hạn mức tín dụng trên nhiều loại thẻ”.

Bằng cách thay đổi những hạn mức này trên thẻ tín dụng, những tội phạm internet có thể cướp đi một lượng tiền lớn từ các giao dịch tín dụng phi pháp.

Điều quan trọng là những kẻ tấn công đã có quyền truy xuất vào cơ cở dữ liệu của server và có thể thao túng, chỉnh sửa và phá hủy một cách dễ dàng theo ý muốn những hồ sơ chứa dữ liệu và các thiết lập của UniTeller”, ông khẳng định.

Ông cũng cho biết bức ảnh này được chụp ngày 26/5, nhưng nếu chú ý đến thời điểm được đánh dấu đỏ là 2/3 thì điều này cho thấy bọn tội phạm đã bắt đầu thay đổi hệ thống từ gần 3 tháng trước.

Một ảnh chụp cho thấy thời điểm của cuộc tấn công mạng trên hệ thống ngân hàng chủ chốt, và cho thấy các hacker đã thực thi thành công một hành động khai thác thông tin trên hệ thống mạng. (Ảnh được cung cấp bởi Ed Alexander)

Alexander nói rằng ảnh chụp bên trên là kết quả mà những tội phạm muốn thể hiện các chứng cứ về thời gian, ngày tháng và mức độ truy xuất của họ vào hệ thống ngân hàng.

Ông lưu ý rằng “bên cạnh thông tin về ngày tháng, còn có một ảnh chụp kết quả trả lại của một chuỗi tên hệ thống (thực thi bằng lệnh uname –a), thông tin cấu hình địa chỉ IP (thực thi bằng lệnhifconfig) và một bản sao (copy) của tập tin chứa mật khẩu nội bộ đến một server cụ thể (thông qua lệnh /etc/passwd).”

Một ảnh chụp cho thấy bọn tội phạm sử dụng quyền truy xuất “root” vào hệ thống tài chính chủ chốt. (Ảnh được cung cấp bởi Ed Alexander)

Ảnh chụp màn hình trên thể hiện bọn tội phạm đã truy xuất với quyền “root” (ND: được phép truy xuất đến tất cả các tập tin và thực thi tất cả các lệnh) vào máy chủ của ngân hàng. Nó còn hiển thị các file và thư mục, được cho là đã bị chỉnh sửa bởi bọn tội phạm khi bức ảnh này được chụp.

“Ngoài ra, rất quan trong để ghi nhớ một lần nữa, rằng lỗ hổng bị lợi dụng này được thực thi bên ngoài vùng bảo mật của UniTeller”, Alexander nhấn mạnh. “Do đó, những kẻ tấn công đang chạy các mã điều khiển từ xa đối với máy chủ này, theo chúng tuyên bố”.

Ảnh chụp trên đây cho thấy một cấu trúc thư mục và tập tin mà Alexander nói rằng được cung cấp bởi những tội phạm để chứng tỏ họ có thể di chuyển giữa các thư mục.

Bọn tội phạm internet bị hấp dẫn bởi thư mục đặc biệt này, ông nói, vì chúng tuyên bố nó cho phép chúng truy xuất đến một ngân hàng của Mỹ có liên hệ với UniTeller.

Ông cho rằng ảnh chụp này cũng có vai trò quan trọng, bởi vì những tội phạm internet đã chứng tỏ trước đó “rằng chúng có toàn quyền đối với các hệ thống và dịch vụ UniTeller, đồng thời cũng có khả năng thay đổi chúng tùy ý”.

Ông cũng khẳng định thêm rằng đây chỉ là một ảnh chụp nhanh trong thời điểm của một hành vi phạm tội nghiêm trọng trên internet hiện nay đang được xử lý.

Theo Vietdaikynguyen