Nhóm hacker Nga tấn công mạnh mẽ vào các ngân hàng thế giới

0

Silence APT , một nhóm tội phạm mạng nguy hiểm, được biết đến với mục tiêu là các tổ chức tài chính chủ yếu ở các nước thuộc Liên Xô cũ và các nước láng giềng hiện đang nhắm mục tiêu mạnh mẽ vào các ngân hàng tại hơn 30 quốc gia trên khắp Châu Mỹ, Châu Âu, Châu Phi và Châu Á.

Bắt đầu hoạt động từ tháng 9 năm 2016, phi vụ thành công nhất của nhóm hacker cho đến nay là chiến dịch tấn công nhắm vào Ngân hàng Hà Lan – Bangla có trụ sở tại Bangladesh, thu về hơn 3 triệu đô la trong mỗi chuỗi rút tiền mặt ATM trong một vài ngày.

Nhóm hacker đẩy mạnh tấn công trên mọi phương diện

Theo một báo cáo mới nhất của công ty an ninh mạng Group-IB có trụ sợ tại Singapore đã chia sẻ, Silence đã mở rộng đáng kể địa bàn hoạt động của họ trong những tháng gần đây, cũng như sự gia tăng đáng kể về tấn suất chiến dịch tấn công của họ và nâng cao kỹ thuật tấn công.

Từ một nhóm hacker “trẻ và hiếu chiến” nay có dấu hiệu cho thấy nhóm Silence đã “tiến hóa” và trở thành một trong những nhóm nguy hiểm (APT) tinh vi nhất, nhắm mục tiêu vào các hệ thống ngân hàng trên toàn thế giới.

Nhóm tội phạm mạng Silence APT đã cập nhật từ chiến thuật, kỹ thuật cho đến quy trình một cách độc đáo, cũng như thay đổi bảng chữ cái mã hóa, mã hóa chuỗi và các lệnh cho bot và mô-đun chính để tránh sự phát hiện của các công cụ bảo mật.

Các nhà nghiên cứu cho biết “kẻ tấn công đã viết lại hoàn toàn trình tải TrueBot, mô-đun giai đoạn đầu, dựa trên sự thành công của toàn bộ cuộc tấn công của nhóm. Các tin tặc cũng bắt đầu sử dụng Ivoke, một trình tải không có mã và tác nhân EDA, được viết bằng PowerShell”.

Nhóm hacker Nga tấn công mạnh mẽ vào hệ thống Ngân hàng toàn cầu
Nhóm hacker Nga tấn công mạnh mẽ vào hệ thống Ngân hàng toàn cầu

EDA là một tác nhân PowerShell, được thiết kế để kiểm soát các hệ thống bị xâm nhập bằng cách thực hiện các tác vụ thông qua vỏ lệnh và lưu lượng đường hầm bằng giao thức DNS và dựa trên các dự án Empire và dnscat2.

Nhóm hacker sử dụng email giả mạo để tấn công nạn nhân

Cũng giống như hầu hết các nhóm hacker khác, nhóm Silence APT cũng dựa vào email lừa đảo bằng macro Docs, tệp CHM và phím tắt .LNK và tệp đính kèm độc hại để xâm nhập và khai thác hệ thống mạng của nạn nhân.

Sau đó, nhóm tận dụng các TTP tinh vi hơn và triển khai phần mềm độc hại bổ sung, TrueBot hoặc trình tải PowerShell không tên mới có tên Ivoke, cả hai được thiết kế để thu thập thông tin về hệ thống bị nhiễm và gửi đến máy chủ CnC trung gian.

Trước đó, nhóm đã tạo một “danh sách mục tiêu” được cập nhật các địa chỉ email đang hoạt động, bằng cách gửi email trinh thám có chứa một hình ảnh hoặc một liên kết mà không có tải trọng độc hại.

Theo báo cáo mới nhất ghi nhận được, Silence đã gửi hơn 170.000 email điều chỉnh đến các ngân hàng từ Nga, Liên Xô cũ, Châu Á và Châu Âu. Điều này cho thấy, nhóm đã không còn chỉ tập trung vào Nga hay các nước Liên Xe nữa mà đã lan rộng toàn cầu.

Mức thiệt hại nặng nè từ các cuộc tấn công của Silence APT

Với các chiến dịch mới nhất của nhóm Silence APT, kể từ tháng 5 năm 2018 đến hết tháng 7 năm 2019, các nhà nghiên cứu đã mô tả sự gia tăng về mức thiệt hại từ các hoạt động của nhóm hacker và xác nhận rằng số tiền đã bị đánh cắp tăng gấp năm lân kể từ giai đoạn đầu, con số ước tính đã lên đến 4,2 triệu đô la.

Số lượng "email trinh thám" được gửi từ Silence APT tại Châu Á.
Số lượng “email trinh thám” được gửi từ Silence APT tại Châu Á.

Tuy không đề cập đến tên của các ngân hàng mà Silence APT nhắm đến nhưng các nhà nghiên cứu đã cho biết nhóm đã tấn công thành công vào các ngân hàng ở Ấn Độ ( vào tháng 8 năm 2018), Nga (tháng 2 năm 2019, “Ngân hàng CNTT” của Nga), Kyrgyzstan (tháng 5 năm 2019), Nga (tháng 6 năm 2019) và Chile, Ghana, Costa Rica và Bulgaria (vào tháng 7 năm 2019).

Ngân hàng và tổ chức tài chính là xu hướng tấn công của hầu hết tin tặc. Nhờ vào lỗ hổng bảo mật của hệ thống mà hacker có thể dễ dàng nhắm tới hoặc thậm chí nhân viên bình thường cũng có thể là “bàn đạp”, giúp họ dễ dàng truy cập được vào máy chủ nội bộ sau đó tiền hành các hành vi trộm cắp, thu thập thông tin.

Có thể thấy vấn đề an ninh mạng là vô cùng quan trọng trong thời đại công nghệ hiện nay. Tất cả các doanh nghiệp, đặc biệt với ngân hàng và tổ chức tài chính cần phải chú trọng hơn về vấn đề bảo mật, trang bị giải pháp bảo mật có thể ngăn chặn sự tấn công từ hacker và triển khai các chương trình đạo tạo nhân viên nhằm nâng cao kiến thức bảo mật an toàn thông tin.

Tổng hợp

Bài viết liên quan Bài viết cùng tác giả