CyRadar: Một chiến dịch mã độc gián điệp mới đang nhắm tới ngân hàng của Việt Nam

Ngân hàng và các tổ chức tài chính luôn là mục tiêu hấp dẫn của giới tội phạm (Ảnh minh họa. Nguồn: Internet)

Công ty cổ phần An toàn tin tức CyRadar cho biết, ngày 22/8/2018, hệ thống quan sát của CyRadar đã phát giác ra cuộc tiến công gián điệp mới nhắm vào một ngân hàng lớn của Việt Nam. Ngay sau đó không lâu, CyRadar liên tục phát hiện ra một số tổ chức khác cũng đã biết thành tấn công với hình thức tương tự.

Cũng theo CyRadar, tại thời điểm tấn công, đa số các hệ thống an ninh mạng đều đã bị đánh bại. Các phần mềm diệt virus trên ngoài nước đều không kịp nhận diện được mã độc này cũng giống các tường lửa chưa thể ngăn chặn được các kết nối tới máy server điều khiển của mã độc. Còn đến thời điểm hiện tại, có 22/66 phần mềm diệt virus đã kịp lúc cập nhật nhận diện loại mã độc mới nguy hiểm này.

“Tại hệ thống được CyRadar giám sát, ngay sau khi được phát hiện, mã độc đã mau chóng được loại bỏ khỏi hệ thống. Hầu như không có thiệt hại đáng kể nào xảy ra. Tuy nhiên, rất cũng đều có thể nhiều tổ chức tài chính khác tại Việt Nam cũng đã và đang đón nhận cuộc tấn công như thế mà chưa kịp thời xử lý”, đại diện CyRadar nhận định.

Một kết nối lạ được phát giác bởi hệ thống CyRadar Advanced Threat Detection (Nguồn ảnh: CyRadar)

Theo phân tích của chuyên gia CyRadar, cuộc tấn công khởi điểm bằng 1 email chứa file văn bản pdf đính kèm, được gửi tới 1 số nhân vật quan trọng của ngân hàng. Do mã độc hoàn toàn mới, nên phần mềm diệt virus trên các máy tính của ngân hàng chưa thể phát giác và xoá bỏ. Khi người sử dụng bị đánh lừa để mở file pdf lên, tức thì mã độc hại được nhúng trong file thực hành 1 loạt các hành động thầm lặng để khéo léo tải xuống máy tính của nạn nhân 1 phần mềm gián điệp. Phần mềm gián điệp này còn có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép hacker điều khiển được máy tính bị truyền nhiễm từ xa. Không những thế, nó còn cũng có thể có thể nghe lén được các cuộc gọi bằng âm thanh trên máy tính, cũng giống sử dụng máy tính đó làm bàn đạp để tấn công sang các máy tính xung quanh.

Tóm tắt các giai đoạn tiến công của mã độc gián độc mới từ khi nạn nhân mở file PDF (Nguồn ảnh: CyRadar)

Phần mềm gián điệp này, theo phân tích của CyRadar, là biến thể mới của FlawedAmmyy RAT (Remote Access Tool). Đây vốn là phần mềm gián điệp đang được nhắc đến nhiều trong các cuộc tấn công có chủ đính nhằm vào các ngân hàng trên thế giới từ một tháng trở lại đây. Đứng đằng sau nó là nhóm tội phạm mạng bài bản chuyên tấn công vào các ngân hàng.

Cũng trong thông tin cảnh báo phát ra hôm nay, ngày 26/8/2018 về chiến dịch mã độc gián điệp mới đang nhắm tới ngân hàng của Việt Nam, trên cơ sở phân tích kỹ thuật mã độc tấn công thành đạt vào một ngân hàng lớn tại Việt Nam, các chuyên gia CyRadar cũng từng rút ra một số nhận định mà các ngân hàng, tổ chức cũng giống người dùng cần lưu tâm.

Cụ thể, phân tích kỹ thuật tấn công của loại mã độc mới, các chuyên gia CyRadar đã phần nào “giải mã” lý do tại sao một ngân hàng lớn đã chuẩn bị nhiều giải pháp bảo vệ ở nhiều lớp khác nhau nhưng mã độc gián điệp mới vẫn làm xâm nhập thành đạt và hệ thống.

Theo CyRadar, trước hết là file mã độc được đầu tư để tấn công có chủ đích: tất cả các file pdf, pub, exe đều được tạo ra vào ngày tấn công (ngày 22/8/2018) mà hầu hết các AV đều không nhận diện được ở thời điểm đó; và thậm chí là file cài đặt còn có chữ ký số. Domain, IP server điều khiển khá mới: domain “g50e[.]com” để tải file thực thi xuống và IP “185[.]99[.]132[.]12” để điều khiển từ xa được dùng chưa lâu, không có trong blacklist của nhiều hãng.

Server điều khiển cuộc tiến công và những tên miền liên quan (Nguồn ảnh: CyRadar)

Và quan trọng hơn cả, các chuyên gia CyRadar cho rằng, tấn công nhắm vào nhận thức người dùng hơn là lỗ hổng phần mềm. Ở cả hai bước đầu của quá trình mã độc xâm nhập (mở PDF và mở PUB file) đều cần người dùng cho phép chạy thì sau đó mã độc mới có thể thực thi, và kết quả thực tế là mã độc đã được thực thi. “Một hệ thống có thể được trang bị giải pháp, thiết bị đồng đều để bịt hoặc sớm phát hiện các cuộc tấn công nhắm vào lỗ hổng của hệ thống, nhưng điểm yếu cố hữu là con người vẫn luôn có thể phá vỡ tính chặt chẽ của hệ thống”, chuyên gia CyRadar nhấn mạnh.

CyRadar khuyến nghị, các ngân hàng cần chú trọng nâng cao nhận thức an ninh mạng cho người dùng thông qua các kênh truyền thông nội bộ hoặc tổ chức các lớp đào tạo. Bên cạnh đó, các ngân hàng cũng cần ý thức được, các giải pháp truyền thống là chưa đủ để chống lại các cuộc tấn công mạng ngày càng tinh vi, cần sử dụng thêm các giải pháp tiên tiến, sáng dạ có khả năng phát hiện bất thường. Ngoài ra các ngân hàng, tổ chức cũng nên thực hiện chủ động rà soát mã độc toàn hệ thống, đặc biệt là trong thời điểm các cuộc tấn công đang nở rộ như hiện nay.

Đối với các cán bộ, chuyên viên của tổ chức, doanh nghiệp, khi nghi ngờ máy tính của mình bị nhiễm mã độc, cần nhanh chóng báo cho bộ phận chuyên trách về an ninh bảo mật.

Riêng với chiến dịch mã độc gián điệp mới đang nhắm đến ngân hàng tại Việt Nam, CyRadar khuyến cáo các chuyên viên ngân hàng cần hết sức lưu ý trước khi mở một file văn bản được gửi đến mà mình không thực sự hiểu lý do xuất hiện của nó, đặc biệt là trong những ngày này – khi thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính.

Các ngân hàng tại Việt Nam, theo khuyến nghị của CyRadar, cần nâng lên cảnh giác, mau chóng rà soát hệ thống mạng để phát hiện ra các kết nối và file nghi ngờ. Các quản trị viên hệ thống cần nhanh chóng kiểm tra xem có kết nối nào tới domain/IP độc hại hay không, cũng giống truy tìm các file có hash: PDF file “17d3e70a13cb54adbe15ce05f2ec1640”; PUB “filee535449010a9977ec919ba0dc6544f0c”; Setup file “471555caf8dbb9d30fac3014172515f”; FlawedAmmyy RAT file “73964f92d3e5e142047574afa78726e3”; domain phát tán “g50e[.]com”; và Server điều khiển là “185[.]99[.]132[.]12”.

Công ty cổ phần An toàn tin tức CyRadar được đầu tư bởi FPT Ventures, là một đơn vị tiên phong trong việc phát triển hệ thống ngăn chặn và phát hiện tấn công mạng sử dụng phân tích dữ liệu lớn và học máy. Giải pháp của CyRadar đã đạt danh hiệu Sản phẩm an toàn thông tin chất lượng cao các năm 2015, 2017 do Hiệp hội An toàn tin tức Việt Nam – VNISA bầu chọn và chứng nhận. Mới đây, Google đã chứng nhận CyRadar trở thành đối tác về an toàn thông tin tại cổng dịch vụ VirusTotal.