Thời gian vừa qua, một công ty ở Nga đã liên hệ với Kaspersky Lab để yêu cầu điều tra về việc hơn 130..000 USD bị đánh cắp từ chính tài khoản công ty. Các phần mềm độc hại bị nghi ngờ đứng sau vụ việc và điều này gần như đã được khẳng định trong những bằng chứng đầu tiên của cuộc điều tra.
Ngân hàng đã cố gắng chặn giao dịch ăn cắp 130.000 USD sau khi phát hiện công ty này chính là mục tiêu của tội phạm mạng. Tuy nhiên, bọn tội phạm đã tẩu tán thành công 8.000 USD, việc phải thanh toán khoản tiền 8..000 USD là quá nhỏ để phát sinh một báo động đến các ngân hàng cũng như yêu cầu bổ sung xác thực từ kế toán công ty. Chính sự chủ quan này là cơ hội để bọn tội phạm mạng lộng hành.
Các chuyên gia tại nhóm phản hồi khẩn cấp trên toàn cầu của Kaspersky Lab (Gert) đã nhận được hình ảnh ổ đĩa cứng của máy tính bị tấn công. Họ nghiên cứu và phát hiện ra nội dung email khả nghi gửi theo tên của cơ quan thuế nhà nước yêu cầu cung cấp một số tài liệu ngay lập tức theo tệp tin MS Word đính kèm. Tuy nhiên, khi tài liệu được mở, nó sẽ tự động tải về một chương trình độc hại vào máy tính nạn nhân để khai thác lỗ hổng CVE-2012-0158.
Ngoài ra, trên ổ đĩa cứng mà các chuyên gia của Gert nhận được, họ cũng phát hiện ra bản sửa đổi của một chương trình hợp pháp được thiết kế để truy cập vào máy tính từ xa. Các chương trình này thường được sử dụng bởi kế toán, người quản trị hệ thống. Tuy nhiên, phiên bản phát hiện trên máy tính của nạn nhân đã được thay đổi để che giấu sự hiện diện của nó trong hệ thống bị nhiễm như: biểu tượng trong Windows Taskbars bị ẩn, các khóa registry bị thay đổi cài đặt, và các giao diện hiển thị đã bị vô hiệu hóa.
Đây không phải là chương trình độc hại duy nhất được phát hiện, điều tra sau đó cho thấy với sự giúp đỡ của Backdoor.Win32.RMS, tội phạm mạng đã tải về Trojan Backdoor.Win32.Agent vào máy tính nạn nhân. Với Backdoor.Win32.Agent, chúng đã chiếm quyền kiểm soát máy tính, tạo ra một lệnh thanh toán từ xa bất hợp pháp trong hệ thống ngân hàng và xác nhận nó với địa chỉ IP của máy tính của kế toán được ngân hàng tin cậy.
Vậy câu hỏi được đặt ra là làm thế nào mà tội phạm mạng có mật khẩu của kế toán viên để thực hiện giao dịch? Các chuyên gia tiếp tục điều tra và phát hiện một chương trình độc hại khác mang tên Trojan-Spy.Win32.Delf. Đó là key logger ngăn chặn dữ liệu nhập vào từ bàn phím, bằng cách này, tội phạm mạng có thể đánh cắp mật khẩu của kế toán và thực hiện giao dịch bất hợp pháp.
Khi cuộc điều tra gần hoàn tất, các chuyên gia phát hiện thêm một thực tế đáng ngạc nhiên: Tội phạm mạng đã mắc lỗi trong cấu hình máy chủ C&C của chúng, điều này cho phép các chuyên gia của Kaspersky Lab phát hiện ra địa chỉ IP của máy tính bị nhiễm Trojan-Spy.Win32.Delf và cảnh báo về mối đe dọa đến người dùng.
Chuyên gia của Kaspersky tư vấn cho các tổ chức sử dụng hệ thống ngân hàng từ xa nên thiết lập xác thực nhiều bước đáng tin cậy (bao gồm thẻ, mật khẩu một lần được cung cấp bởi các ngân hàng,…) đảm bảo rằng các phần mềm cài đặt trên máy tính của công ty được cập nhật kịp thời (đặc biệt là máy tính được sử dụng trong bộ phận tài chính), bảo vệ máy tính với một giải pháp bảo mật, đào tạo nhân viên để nhận ra và phản ứng nhanh nhạy với những dấu hiệu của cuộc tấn công.
Bình luận