Các nhà nghiên cứu của Kaspersky Lab vừa công bố thông tin về một loạt các cuộc tấn công nhắm vào ít nhất 10 tổ chức tài chính ở Nga, Armenia và Malaysia. Các cuộc tấn công này được thực hiện bởi một nhóm tin tặc mới gọi là Silence (tạm dịch: Khoảng lặng). Khi ăn cắp tiền từ các nạn nhân, Silence thực hiện các kỹ thuật cụ thể tương tự như nhóm hacker khét tiếng Carbanak. Hiện, các cuộc tấn công vẫn chưa có dấu hiệu dừng lại.
Trong quá trình thực hiện cuộc tấn công, hacker sẽ âm thầm quay phim màn hình của nạn nhân.
Theo Kaspersky Lab, Silence tham gia vào các hoạt động phá hoại nghiêm trọng và phức tạp tương tự như các nhóm Metel, GCMAN và Carbanak, vốn đã thành công trong việc đánh cắp hàng triệu đô la từ các tổ chức tài chính. Hầu hết các hoạt động này diễn ra như sau: Chúng tiếp cận thường xuyên với các mạng lưới ngân hàng nội bộ trong một thời gian dài, theo dõi hoạt động hàng ngày, kiểm tra chi tiết của từng mạng lưới ngân hàng riêng, đến thời điểm chín muồi thì chúng sẽ sử dụng kiến thức đó để "hốt" càng nhiều tiền càng tốt.
Mặc dù nguy hiểm và tác hại là khó lường, nhưng Silence tiếp cận cở sở hạ tầng của nạn nhân theo cách rất truyền thống là sử dụng email lừa đảo. Các tập tin độc hại đính kèm trong các email là khá tinh vi. Khi nạn nhân mở chúng, chỉ cần một cú nhấp chuột là sẽ có một loạt lượt tải xuống và quá trình thăm dò sẽ bắt đầu. Trong quá trình trên, chương trình độc hại giữ liên lạc với máy chủ của bọn tin tặc ở xa để gửi mã định danh của máy tính bị nhiễm, tải và thực hiện các tác vụ độc hại khác nhằm mục đích ghi màn hình, tải dữ liệu, trộm cắp các thông tin, điều khiển từ xa,...
Mục tiêu của Silence là tiền.
Sau khi kiểm soát được máy tính của một nạn nhân nào đó trong hệ thống, hacker sẽ gửi email từ địa chỉ của chính nhân viên này tới các nạn nhân khác với yêu cầu mở một tài khoản ngân hàng. Sử dụng thủ thuật này, bọn tội phạm khiến người nhận không có nghi ngờ gì.
Nhóm Silence có khả năng giám sát hoạt động của nạn nhân, bao gồm chụp nhiều màn hình hoạt động, thu lại video theo thời gian thực tất cả các hoạt động của nạn nhân,… Tất cả các yếu tố trên nhằm phục vụ một mục đích là hiểu hoạt động hàng ngày của nạn nhân và có đủ thông tin để cuối cùng ăn cắp tiền.
Dựa trên các bằng chứng đáng tin cậy, Kaspersky Lab kết luận, nhóm tội phạm mạng đứng sau các cuộc tấn công của nhóm Silence là những hacker nói tiếng Nga.
Ông Sergey Lozhkin, chuyên gia bảo mật của Kaspersky Lab cho biết: “Trojan Silence là một ví dụ mới về tội phạm mạng, chúng chuyển hướng các cuộc tấn công vào người dùng cuối đến tấn công trực tiếp vào các ngân hàng. Chúng tôi đã thấy xu hướng này phát triển gần đây, khi ngày càng có nhiều vụ cướp mạng theo kiểu APT (tấn công có chủ đích - PV) tài tình, chuyên nghiệp nổi lên và thành công. Điều đáng lo ngại nhất ở đây là do phương pháp tiếp cận âm thầm của chúng, các cuộc tấn công có thể thành công bất kể tính đặc thù kiến trúc an ninh của các ngân hàng khác nhau”.
Các nhà nghiên cứu tại Kaspersky Lab khuyến cáo các tổ chức thực hiện các biện pháp sau đây để bảo vệ họ khỏi các cuộc tấn công mạng có thể xảy ra:
- Sử dụng một giải pháp chuyên biệt để chống lại các mối đe dọa tiên tiến.
- Chỉnh sửa ngay những sai sót do cấu hình hệ thống hoặc trong các ứng dụng.
- Cấu hình các quy tắc xử lý email nghiêm ngặt, và kích hoạt các giải pháp bảo mật nhằm phát hiện lừa đảo, tập đính kèm độc hại và thư rác.
Trong trường hợp một mạng botnet có 1.000 máy tính bị nhiễm, số tiền bọn tội phạm mạng thu được có thể lên đến...