Bên trong tổ chức hacker đã bí mật ăn trộm hàng tỷ USD trên khắp thế giới

Thông qua 1 vài kỹ thuật lừa đảo và thâm nhập máy tính, nhóm hacker này đã ăn trộm hàng chục triệu số thẻ tín dụng từ hàng nghìn điểm phân phối hàng trên khắp địa cầu, rút đi hàng tỷ USD của 1 vài doanh nghiệp nạn nhân.

Theo 1 người ước tính, nhóm hacker Fin7 đã rút ruột ít nhất hơn 1 tỷ USD từ 1 vài doanh nghiệp trên khắp địa cầu. Riêng ở Mỹ, nhóm Fin7 đã ăn trộm hơn 15 triệu số thẻ tín dụng từ hơn 3.600 vị trí kinh doanh. Vào thứ Tư tuần trước, bộ Tư pháp tiết lộ rằng họ đã bắt được 3 nghi phạm của nhóm này – và quan trọng hơn, là nắm được chi tiết về biện pháp vận hành của nhóm.

Bản cáo trạng cáo buộc rằng 3 công dân Ukraina là thành viên của nhóm Fin7 – bao gồm Dmytro Fedorov, Fedir Hladyr, và Andrii Kopakov – đã góp phần làm nên 1 trong 1 vài tổ chức hacker tài chính tinh vi và hung hãn nhất trên địa cầu. Mỗi người đều bị buộc tội có 26 trọng tội, từ âm mưu cho tới gian lận, thâm nhập máy tính, và ăn trộm danh tính.

Bên trong tổ chức hacker đã bí mật ăn trộm hàng tỷ USD trên khắp địa cầu - Ảnh 1.

Ba người trên đều bị cáo buộc có 1 vài vai trò quan trọng trong Fin7: Hladyr là người quản trị hệ thống, còn Fedorov và Kopakov là giám sát viên của 1 vài nhóm hacker. Cho dù nhóm Fin7 vẫn tiếp tục vận hành sau khi ba người này bị tống giam, giữ vụ bắt giữ vẫn đánh dấu chiến thắng Thứ nhất của lực lượng thực thi pháp luật trước đế chế tội phạm mạng này.

Chưởng lý Mỹ Annette Hayes cho biết ở buổi họp báo rằng: “Cuộc điều tra vẫn đang tiếp tục. Chúng tôi không ảo tưởng rằng mình đã hạ gục nhóm này. Nhưng chúng tôi đã tạo ra 1 tác động đáng kể. Các hacker này nghĩ rằng chúng có thể ẩn giấu phía sau bàn phím ở các nơi xa xôi, và chúng có thể thoát khỏi cánh tay của luật pháp nước Mỹ. Tôi ở đây để nói có khách hàng, và tôi nghĩ thông báo này đã làm rõ rằng, chúng chẳng thể làm bởi thế.”

Cùng có thông báo của Bộ Tư pháp, 1 báo cáo mới từ hãng bảo mật FireEye cũng cho thấy 1 cái nhìn chưa từng thấy vào biện pháp và mức độ vận hành của Fin7. “Chúng dùng đến rất nhiều kỹ thuật thường thấy có liên quan đến 1 vài cuộc tấn công do chính phủ bảo trợ vào lĩnh vực tấn công tài chính.” Barry Vengerik, nhà đánh giá nguy cơ ở FireEye cho biết. “Chúng đang tiến hành có 1 mức độ tinh vi mà chúng ta không thường thấy trong 1 vài cuộc tấn công có động cơ tài chính.”

Lừa đảo Phishing

Vào dao động ngày 27 tháng Ba năm ngoái, 1 nhân viện ở Red Robin Gourmet Burgers and Brews nhận được 1 hòm thư từ ray.donovan84@yahoo.com. Email phàn nàn về 1 trải nghiệm khách hàng, và nó đề nghị người nhận mở phần file đính kèm để biết chi tiết. Người nhân viên đã làm theo chỉ dẫn.

Bên trong tổ chức hacker đã bí mật ăn trộm hàng tỷ USD trên khắp địa cầu - Ảnh 2.

Trong vòng vài ngày, Fin7 đã dựng được sơ đồ mạng nội bộ của Red Robin. Trong vòng 1 tuần, nhóm đã chiếm được username và mật khẩu của phần mềm quản lý điểm phân phối hàng (PoS) của nhà hàng. Theo Bộ tư pháp Mỹ, trong vòng 2 tuần, 1 thành viên Fin7 bị cáo buộc đã tải lên 1 file chứa hàng trăm username và mật khẩu của 798 vị trí của Red Robin, bên cạnh đây là “tài liệu mạng lưới, 1 vài cuộc gọi điện thoại, và vị trí 1 vài bảng báo động trong nhà hàng.”

Bản cáo trạng cho Fin7 còn cáo buộc 9 lần phạm tội khác ngoài Red Robin, và chúng đều theo cộng 1 kịch bản. Bắt đầu có 1 hòm thư nghiên cứu tưởng chừng như vô hại: 1 đề nghị đặt phòng gửi đến khách sạn, hay đơn đặt hàng gửi đến 1 doanh nghiệp. Nó thậm chí còn không có file đính kèm. Chỉ cần đủ tò mò để kích thích ai đây mở hòm thư.

Sau đây, có thể sau vài hòm thư thảo luận qua lại, nhóm hacker sẽ gửi đề nghị qua hòm thư: Hãy xem file Word đính kèm ở dưới, nó có mọi tài liệu phù hợp. Và nếu khách hàng không mở nó – hay thậm chí trước khi khách hàng nhận được nó – ai đây sẽ gọi cho khách hàng để nhắc nhở về nó.

Khi mục tiêu click vào file đính kèm, họ sẽ tải xuống máy tính của mình 1 malware. Cụ thể hơn, Fin7 tấn công họ bằng 1 phiên bản được chỉnh sửa của Carbanak, vốn từng xuất hiện trước đây trong 1 loạt cuộc tấn công nhắm vào ngân hàng.

Bên trong tổ chức hacker đã bí mật ăn trộm hàng tỷ USD trên khắp địa cầu - Ảnh 3.

Theo cáo trạng, 1 vài hacker sẽ đưa máy tính bị xâm phạm vào trong 1 mạng botnet, và thông qua trọng điểm điều khiển, chúng sẽ giải mã 1 vài tập tin, xâm nhập 1 vài máy tính khác trong cộng mạng lưới, hoặc thậm chí chụp ảnh màn hình của máy trạm để ăn trộm tài liệu chính xác cũng như 1 vài tài liệu giá trị khác.

Phần lớn trong số chúng là dữ liệu thẻ chi trả, thường có được bằng 1 vàih xâm nhập vào phần cứng của máy quẹt thẻ ở 1 vài doanh nghiệp như Chipotle, Chili’s, và Arby’s. Nhóm này bị cáo buộc đã ăn trộm hàng triệu số thẻ chi trả và sau đây có phân phối chúng trên 1 vài trang web chợ đen như Joker’s Stash.

Nếu so về diện tích, số lượng 1 vài tổ chức nạn nhân bị ảnh hưởng mà chúng tôi từng làm việc trước đây, đây đảm bảo là con số lớn nhất.” Ông Vengerik cho biết. Nhưng ấn tượng hơn cả là mức độ tinh vi của tổ chức này.

Mức độ tổ chức vượt xa 1 vài nhóm hacker bình thường

Các chi tiết đáng kinh ngạc nhất trong bản cáo trạng hôm thứ tư vừa qua, không chỉ xoay quanh kết quả 1 vài cuộc tấn công liên tục của Fin7, mà còn đáng kinh ngạc hơn là việc che giấu và duy trì vận hành trong thời gian dài của nhóm.

Bên trong tổ chức hacker đã bí mật ăn trộm hàng tỷ USD trên khắp địa cầu - Ảnh 4.

Fin7 sử dụng 1 doanh nghiệp bình phong, có tên Combi Security, có trụ sở ở Nga và Israel, để tạo ra vỏ bọc hợp pháp và tuyển dụng 1 vài hacker tham dự vào doanh nghiệp tội phạm này.” Thông cáo báo chí của Bộ Tư pháp Mỹ cho biết. “Trớ trêu thay, vô số nạn nhân là 1 vài doanh nghiệp Mỹ được liệt kê trên website của doanh nghiệp giả này như 1 vài khách hàng của nó.”

Tuy nhiên, theo 1 phiên bản lưu trữ của website này, giai đoạn này trang web đây đã được rao phân phối ít nhất từ tháng 3 năm nay.

Bản cáo trạng cũng chỉ ra cấu trúc và vận hành của Win 7. Các thành viên thường liên hệ thông qua máy chủ riêng tư HipChat, và 1 số phòng chat riêng tư của HipChat. Tại đây chúng có thể “hợp tác về malware và xâm nhập vào doanh nghiệp nạn nhân,” cũng như chia sẻ dữ liệu thẻ chi trả. Chúng còn bị cáo buộc sử dụng 1 chương trình của Atlassian, Jira, cho 1 vài mục đích quản trị dự án, theo dõi 1 vài chi tiết của việc xâm nhập, lập bản đồ mạng lưới và ăn trộm dữ liệu.

Trong khi vẫn chưa rõ có bao nhiêu người là nạn nhân của Fin7, bản cáo trạng tuyên bố “hàng chục thành viên có 1 vài kỹ năng phong phú” – năng lực của tổ chức này cho thấy sư tương đương hoặc thậm chí vượt qua 1 vài doanh nghiệp xa khác.

Bên trong tổ chức hacker đã bí mật ăn trộm hàng tỷ USD trên khắp địa cầu - Ảnh 5.

Chúng tôi đã tích cực ứng phó có 1 vài cuộc xâm nhập vào mạng lưới và điều tra vận hành trong quá khứ, cộng khi đây chúng tôi thấy chúng đang phát triển các hành vi mới.” Ông Nick Carr, quản lý cao cấp ở FireEye cho biết. “Để phát minh ra 1 vài kỹ thuật của riêng mình, nó phải ở 1 cấp độ cao hơn.”

Các kỹ thuật đây bao gồm 1 dạng mới của việc che giấu dòng lệnh, cho đến 1 biện pháp mới để duy trì truy cập. Trên hết, Fin7 dường như có khả năng 1 vàih tân biện pháp của mình thường ngày – và luân phiên 1 vài mục tiêu của nó vào 1 vài thời điểm phù hợp, chuyển từ ngân hàng sang khách sạn hoặc nhà hàng. Cáo trạng của Bộ Tư pháp cho biết gần đây 1 vài tin tặc nhắm đến nhân viên 1 vài doanh nghiệp xử lý hồ sơ của Ủy ban Chứng khoán và Sàn chuyển nhượng, 1 nơi có thể tiếp cận được 1 vài tài liệu quan trọng về chuyển động của phân khúc.

FireEye cũng cho biết họ cảm thấy nhóm này dường như đang chuyển trọng tâm của mình sang 1 vài tổ chức tài chính ở châu Âu và Trung Á. Hoặc cũng có thể đây là 1 nhóm tách riêng ra và sử dụng 1 vài kỹ thuật tương tự. Bất chấp sự chú tâm từ Bộ Tư pháp, cho đến nay, đây là toàn bộ 1 vài tài liệu về chúng.

Ba vụ bắt giữ trên sẽ không ngăn chặn được vận hành của nhóm hacker tinh vi này. Nhưng việc có 1 cái nhìn sâu hơn về 1 vài kỹ thuật của nhóm này ít nhất cũng có thể giúp 1 vài nạn nhân tương lai dự kiến đối đầu có Fin7 trước khi đợt tấn công thứ hai của nó bắt đầu.

Tham khảo Wired

Trí Thức Trẻ

Tìm hiểu thêm https://duanoriggarden.com/