Malware có khả năng ép máy ATM phải 'phun' hết tiền ra đang trên đà lây lan

Lúc 10 giờ của một buổi sớm cuối tháng Mười một, nhân viên ngân hàng tại Freiburg, Đức phát giác thấy hệ thống báo cây ATM đã gặp lỗi. Vụ việc được trình báo lên cơ quan chức năng, và theo lời người trong cuộc, cái máy ATM đã trở nên nhiễm một loại malware mang tên “Cutlet Maker”, có khả năng ép máy ATM “phun” ra tất cả tiền có trong máy.

Màn hình máy ATM hiện dòng chữ “ Ho-ho-ho! Hãy bắt tay vào làm món cutlet nào! – Ho-ho-ho! Let's make some cutlets today! ”, cạnh bên kia là hình ảnh hoạt họa của 1 ông đầu bếp cùng một miếng thịt trông vui ra mặt. Từ “cutlet” tại đây mang hai nghĩa, một là đồ ăn làm từ thịt, hai là tiếng lóng của người Nga có tức là “một cục tiền”. 

Phương đồ ăn cắp tiền mới này được coi là “jackpotting”, bắt đầu xuất hiện tại các máy ATM ở Đức từ 2017; tổng thiệt hại trong thời kì này lên tới hơn một triệu Euro. Jackpotting tiên tiến hơn hẳn những phương pháp ăn cắp trước đây, bởi theo nó chẳng cần tới sự hiện diện của thẻ ngân hàng, hacker chỉ cần dùng USB để cài malware vào ATM, tất cả tiền trong máy sẽ tuôn ra; và nếu bạn chưa biết, thì nếu bóc đúng chỗ, một cổng USB kết nối thẳng với máy ATM sẽ hiện ra.

Trang tin Motherboard cộng tác với phóng viên Bayerischer Rundfunk tới từ Đức vừa khám phá ra thêm những diễn biến mới trong những vụ jackpotting đang xuất hiện ngày 1 nhiều.

Trong một số trường hợp, nhóm phóng viên có thân xác định được chính xác những ngân hàng nào bị tấn công, những mẫu máy ATM nào dễ dẫn đến tấn công. Mặc dù đã có một tổ chức tại Châu Âu khẳng định rằng con số các vụ jackpotting đã giảm nhiều trong nửa đầu năm nay, thế nhưng họ chỉ tuyên bố thay mặt khu vực Châu Âu thôi; nhiều nguồn tin khẳng định rằng jackpotting đang lây lan ra nhiều khu vực khác. Thứ malware này đã xuất hiện tại Mỹ, Mỹ Latinh và Đông Nam Á, ảnh hưởng nặng nề tới ngân hàng kể riêng và nền kinh tế nói chung.

Nhiều người trong chúng ta biết tới cách thức hack này lần trước mắt là hồi năm 2010, tại hội nghị an ninh số Black Hat được tổ chức thường niên, cố nhà nghiên cứu bảo mật Barnaby Jack đã triển khai hack máy ATM ngay trên sân khấu, bằng một loại malware mình tự tạo ra. Màn hình máy ATM hiện chữ “JACKPOT”, một tràng tiền tuôn ra trước những tràng pháo tay của người xem.

Và giờ, “loài” malware này đã lây truyền ra “thế giới tự nhiên”.

Trong vụ việc xảy ra ở Freiburg đã nêu ở đầu bài viết, kẻ gian dường như không lấy được đồng nào. Thế nhưng có những thông tin khác đáng lo ngại hơn: Christoph Hebbecker, một luật sư Đức nói rằng văn phòng của ông đang theo sát 1 loạt vụ tương tự; từ thời điểm tháng Hai tới tháng Mười một năm 2017, đã có tổng cộng 10 vụ jackpotting diễn ra. Tổng số chi phí hacker đã lấy được chạm mốc 1,4 triệu Euro.

Luật sư Hebbecker nói thêm rằng những vụ đánh cắp tiền này đều giống nhau, ông tin rằng chúng đều có liên quan tới chỉ một tổ chức duy nhất. Bên thanh tra có nhận được một vài video về hành động của kẻ gian, tuy vậy họ chưa tìm ra được nghi phạm.

Nhiều nguồn tin khác bảo rằng các vụ tiến công máy ATM trong năm 2017 ảnh hưởng trực tiếp tới ngân hàng Santander; có hai nguồn tin nói cụ thể rằng phương pháp jackpotting ảnh hưởng tới các máy ATM mẫu Wincor 2000xe, do công ty Diebold Nixdorf sản xuất.

“ Chúng tôi sẽ không mang ra bình luận cho mỗi vụ việc nhỏ lẻ ”, Bernd Redecker, giám đốc bảo mật và khống chế những vụ việc lừa đảo cho Diebold Nixdorf nói. “ Tuy nhiên, chúng tôi có đang giải quyết uẩn khúc cho các khách hàng đã bị jackpotting, và chúng tôi có biết đến phương pháp ăn cắp này ”.

Ngân hàng Santander cũng có thể có tuyên bố chính thức, trấn an khách hàng về những vụ việc jackpotting đang diễn ra ngày 1 nhiều.

Chính quyền thành thị Berlin nói rằng họ đã phát hiện tổng số 36 vụ jackpotting tính từ mùa Xuân năm 2018, vài ngàn Euro đã bị đánh cắp từ các máy ATM. Tuy nhiên họ không lên tiếng rõ thứ malware gì đã gây nên các vụ jackpotting. Tính từ ngày cách thức ăn cắp tiền này xuất hiện, nước Đức đã chứng kiến 82 vụ việc xuất hiện, tuy vậy không phải vụ nào cũng thành công.

Có một điều quan trọng cần phải nhấn mạnh: đó là cách thức jackpotting không bị giới hạn bởi ngân hàng hay mẫu máy ATM. Chắc chắn có những ngân hàng khác ngoài Santander bị ảnh hưởng, và những máy ATM khác ngoài đồ của Diebold Nixdorf, chẳng qua đó là những cái tên được nhắc tới trong những vụ điều tra.

Chưa hết, cách thức này (và cũng rất cũng có thể có thể là malware Cutlet Maker) đã và đang tìm đường tới những ngóc ngách khác của thế giới.

Một phần lỗi thuộc về ứng dụng có trên những chiếc ATM đang dãi nắng dầm sương ngoài kia. Nhiều cỗ máy đã cũ, chạy ứng dụng cổ lỗ, chậm chạp. Các công ty sản xuất máy ATM khẳng định về những cải tiến bảo mật họ đã cài đặt, nhưng ngoài kia, vẫn còn quá độ cỗ máy ATM cũ đang “hớ hênh” trước con mắt nhòm ngó của hacker. Bên cạnh đó, chẳng những người làm máy chịu trách nhiệm bảo quản gia sản của mình, các ngân hàng cũng phải chung tay giữ số tiền trong các chiếc máy kia. 

Giám đốc Redecker nói rằng ông đã thấy những vụ việc tiến công máy ATK từ hồi 2012, lần đầu tiên nước Đức thấy jackpotting là tại Berlin vào năm 2014. Cùng thời điểm những vụ jackpotting diễn ra năm 2017, các nhà nghiên cứu bảo mật tại Kaspersky công bố một báo cáo cho thấy ứng dụng Cutlet Maker đã được rao bán trên các forum từ hồi tháng Năm năm đó. Có vẻ chỉ cần chi ra vài ngàn USD, một người đã có thể tự mang malware đi hack cây ATM. Điều này cùng nghĩa với việc Cutlet Maker cũng có thể phát tán đi bất cứ bản địa nào, không riêng gì tại Châu Âu.

Nhóm phóng viên của Motherboard đã thử liên hệ với một tài khoản forum đăng tin bán Cutlet Maker.

“ Đúng, tôi đang bán đây. Giá 1000 USD nhé ”, người bán viết mail cho phóng viên, nói thêm rằng họ cũng đều có thể hướng dẫn cách sử dụng luôn. Họ cung cấp ảnh chụp màn hình chỉ dẫn sử dụng bằng tiếng Nga và tiếng Anh, chỉ ra từng bước cần thực hành để rút ruột một máy ATM. Trong hướng dẫn, có cả phần kiểm tra máy có bao nhiêu tiền và cách cài cắm malware vào máy.

Hiệp hội Giao dịch Bảo mật Châu Âu (EAST), tổ chức phi doanh thu chuyên theo dõi các giao dịch lừa đảo, công bố rằng các vụ việc jackpotting đã giảm 43% tính từ năm ngoái tới nay. Thế nhưng phải nhấn mạnh rằng EAST chỉ có số liệu tại Châu Âu.

“ Những vụ vấn đề này xảy ra ở các khu vực khác nữa nhưng họ không nhận trách nhiệm làm khảo sát ở đó ”, một nguồn tin hiểu rõ bản chất của các vụ jackpotting cho hay. “Các vụ việc hack này đang ngày 1 gia tăng, có điều không có ai muốn ban bố tin về nó”. 

Việc malware ngày càng dễ tiếp cận, với mức giá “bèo” so với các gì chúng mang lại sẽ làm malware lây truyền dễ dàng hơn trước nhiều. Tháng Giêng năm 2018, Mật vụ Hoa Kỳ cảnh báo các bộ phận tài chính nội địa về vụ việc jackpotting đầu tiên xuất ngày nay Mỹ, với một malware mang tên Ploutus.D, chưa rõ này là biến thể của Cutlet Maker hay là một malware tận gốc mới, thuộc một tổ chức jackpotting khác.

“ Theo khảo sát thế giới của chúng tôi, con số các vụ jackpotting đang này một tăng ”, David N. Tente, tổng giám đốc của Hiệp hội Ngành công nghiệp ATM cho hay.