Hacker Trung Quốc rao bán quyền truy cập hệ thống ngân hàng toàn cầu

Hôm 8/6, tờ Epoch Times cho biết các tin tặc làm việc cho chính phủ Trung Quốc đang rao bán quyền truy cập trái phép vào các ngân hàng trên thế giới trên Darknet.

Một nhóm tội phạm mạng đã thâm nhập và lập sơ đồ hệ thống ngân hàng toàn cầu. Cho đến nay các cuộc tấn công đã lấy đi 81 triệu USD từ ngân hàng trung ương của Bangladesh.

Các chuyên gia tin rằng các cuộc tấn công này được thực hiện thông qua một lỗ hổng trong hệ thống ngân hàng SWIFT, kết nối hơn 11.000 tổ chức tài chính trên toàn thế giới. SWIFT là mã định danh dành cho từng ngân hàng để phục vụ cho các giao dịch liên ngân hàng. Mã định danh này sẽ đảm bảo cho việc tiền của người gửi có thể đến đúng tài khoản người nhận ở trong hệ thống liên ngân hàng.

Việc điều tra các cuộc tấn công vẫn đang được tiến hành, và những cuộc tấn công liên quan đến những ngân hàng khác vẫn đang được tìm kiếm.

Một người từng tham gia vào những vụ tấn công gần đây cho biết: Thủ phạm đằng sau các vụ cướp ngân hàng kỹ thuật số này lớn hơn rất nhiều. Người này yêu cầu được giấu tên vì lo ngại đến an toàn bản thân.

Chính phủ Trung Quốc đang điều hành một mạng lưới tin tặc rộng lớn thuộc Cục Tham mưu, bộ thứ ba thuộc quân đội. Nhóm tin tặc thực hiện các yêu cầu từ Bắc Kinh, và cũng thường xuyên thực hiện thêm các hoạt động khác hoặc bán dữ liệu để kiếm thêm tiền. Epoch Times đã phát hiện ra hệ thống này trong một loạt điều tra trước đó.

Ngay khi kết thúc hợp đồng với chính quyền Trung Quốc vào năm 2015, nhóm hacker đã bán lỗ hổng này cho các nhóm tội phạm mạng trên thị trường tư nhân trong darknet nhằm phân tán sự chú ý để tránh bị phát hiện.

Darknet là những hệ thống mạng lưới trang web bí mật, nó không thể truy cập bằng mạng Internet thông thường. Nó được tạo ra như là một mạng lưới an toàn cho các cơ quan chính phủ cũng như những người bất đồng chính kiến chống lại các chế độ áp bức, cũng như là một công cụ bảo vệ tính riêng tư. Tuy nhiên, mạng lưới này cũng được xem là nơi ẩn náu của giới tội phạm mạng.

Các nhóm tội phạm mạng đã mua lỗ hổng này đang bị cáo buộc thực hiện các cuộc tấn công gần đây và chuyển tiền bất hợp pháp.

Quá trình tấn công

Các tin tặc Trung Quốc đã phát hiện ra lỗ hổng này, sau đó chúng xâm nhập và phát tán mã độc vào hệ thống tài chính toàn cầu.

Các mã độc được đưa vào lỗ hổng từ nhiều nguồn khác nhau, điều này làm cho các nhà điều tra chỉ thấy được những vi phạm trên bề mặt và đưa ra những phán đoán sai lầm. Theo nguồn tin, một số mã thì được phát triển ngay tại nhà riêng của các tin tặc Trung Quốc, còn một số mã thì được mua từ các trường đại học Nga.

“Người Trung Quốc đã có được quyền truy cập thường xuyên vào các mạng lưới tài chính và lấy tất cả các dữ liệu mà họ muốn theo yêu cầu của nhà tài trợ“, nguồn tin cho hay. “Khi họ đã có lỗ hổng này, họ có thể tiếp tục kiếm tiền, và giờ đây họ tiếp tục rao bán nó cho các mạng lưới tội phạm“.

Theo người này, tin tặc Trung Quốc cũng không hẳn bán lỗ hổng cho nhóm tội phạm mạng cụ thể nào mà “họ bán một ngân hàng cho một nhóm“, và điều đáng chú ý nhất là các tin tặc thực hiện những cuộc tấn công gần đây có tay nghề tương đối thấp. “Họ không phải lập trình viên. Họ chỉ biết làm thế nào để chạy và triển khai chúng“, ông nhận xét.

Nguồn tin trên có thể cung cấp dữ liệu pháp lý và ảnh chụp màn hình để hỗ trợ thưa kiện. Ông cũng có thể cung cấp một danh sách các ngân hàng mục tiêu, theo ông thì danh sách này ngày càng tăng, và nó bao gồm một danh sách dài các ngân hàng và hệ thống tài chính được kết nối với mạng lưới ngân hàng ở Mỹ, một số nước châu Mỹ Latinh, và Châu Á, đã bị hacker xâm nhập.

Trong khi các cuộc xâm nhập vào SWIFT đã được công bố, người này cho biết, các tin tặc Trung Quốc cũng xâm nhập một mạng lưới chuyển tiền, được điều hành bởi một ngân hàng Mexico ở New Jersey. Ông đã cung cấp một ảnh chụp màn hình cho thấy chứng chỉ bảo mật của một mạng lưới chuyển tiền ngân hàng này đã bị rò rỉ.

Điều này khá nguy hiểm vì tin tặc có thể sử dụng chứng chỉ này để gửi đi các yêu cầu thông qua mạng lưới ngân hàng mà những người nhận sẽ tự động xác nhận.

Theo nguồn tin này, các tin tặc Trung Quốc bắt đầu tấn công vào các mạng lưới ngân hàng từ đầu năm 2006, và họ bắt đầu tải các mã độc lên mạng lưới ngân hàng năm 2013.

“Cơ bản mà nói thì những cơ sở hạ tầng quan trọng của Mexico được sở hữu bởi các nhóm APT“, người này nói tin tặc Trung Quốc đang có quyền truy cập vào các mạng quan trọng ở Mexico.

APT được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào một đối tượng. Kẻ tấn công có thể được hỗ trợ bởi Chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ khác. Tuy nhiên, không loại trừ mục tiêu tấn công có thể chỉ là một tổ chức tư nhân.

Mãi cho đến khoảng tháng 6/2015, tin tặc Trung Quốc bán lỗ hổng cho các tổ chức tội phạm mạng, và các tổ chức này ngay lập tức sử dụng nó để lập sơ đồ, thử nghiệm, và phát tán mã độc vào hệ thống tài chính và ngân hàng.

Người này cho biết, các tin tặc khai thác một lỗ hổng bằng mã độc được tìm thấy trên nền tảng web Apache Struts v2. Nó được phát hiện vào đầu năm 2006 và sau đó đã có bản vá vào năm 2013. Người này cũng lưu ý rằng sau khi có được quyền truy cập, các tin tặc sẽ phát tán tới nhiều mạng lưới tài chính mà họ đang nhắm tới.

Khi các tin tặc Trung Quốc bán quyền truy cập vào các mạng lưới ngân hàng thì chúng cũng lập sơ đồ và cho lây nhiễm hệ thống ngân hàng toàn cầu trong 8 năm qua. Và khi quyết định bán lỗ hổng này, họ không hề mất đi quyền truy cập các mạng lưới.

Người này cho rằng, khi chúng bán nó thì chúng đã đạt được mục đích rồi. Nói cách khác, tin tặc Trung Quốc vẫn có quyền truy cập vào các mạng lưới và không chỉ là một vài ngân hàng, mà thay vào đó là hầu hết hệ thống ngân hàng toàn cầu.

Ông suy đoán rằng, tin tặc Trung Quốc đang rao bán các lỗ hổng gốc một mặt là để kiếm tiền, mặt khác dùng các băng nhóm tội phạm mạng này nhằm phân tán sự chú ý cho mục đích xâm nhập to lớn hơn ở đằng sau. Ông tuyến bố đây có thể là giai đoạn đầu của một cuộc khủng hoảng ngân hàng toàn cầu.

Zhengyi, dịch từ Epoch Times