Bị tấn công lừa đảo tinh vi, một DN tại Nga có nguy cơ thất thoát 130.000 USD

Sau sự việc một doanh nghiệp (DN) bị tội phạm mạng tấn công tài chính và ăn cắp khoản tiền đáng kể từ tài khoản của DN thông qua hệ thống ngân hàng. Các chuyên gia đã vào cuộc điều tra, rất nhiều mã độc được phát hiện, điều này gióng lên hồi chuông cảnh tỉnh cho những DN còn chủ quan với việc bảo mật thông tin.

Ảnh minh họa.Ảnh minh họa.

Thời gian vừa qua, một công ty ở Nga đã liên hệ với Kaspersky Lab để yêu cầu điều tra về việc hơn 130.000 USD bị đánh cắp từ chính tài khoản công ty. Các phần mềm độc hại bị nghi ngờ đứng sau vụ việc và điều này gần như đã được khẳng định trong những bằng chứng đầu tiên của cuộc điều tra. 

Theo đó, tội phạm mạng đã lây nhiễm hệ thống máy tính của DN này bằng cách gửi email mạo danh cơ quan thuế nhà nước với mã độc đính kèm.

Cụ thể, những kẻ tấn công đã sử dụng phiên bản sửa đổi của một chương trình hợp pháp để có được quyền truy cập từ xa vào máy tính của kế toán trong công ty; Có một chương trình độc hại bao gồm các phần tử của Trojan ngân hàng Carberp với mã nguồn có sẵn đã được sử dụng để ăn cắp tiền.

Mặc dù ngân hàng đã cố gắng chặn giao dịch ăn cắp 130.000 USD sau khi phát hiện DN này chính là mục tiêu của tội phạm mạng. Tuy nhiên, bọn tội phạm đã tẩu tán thành công 8.000 USD, việc phải thanh toán khoản tiền 8.000 USD là quá nhỏ để phát sinh một báo động đến các ngân hàng cũng như yêu cầu bổ sung xác thực từ kế toán công ty. Chính sự chủ quan này là cơ hội để bọn tội phạm mạng lộng hành.

Các chuyên gia tại nhóm phản hồi khẩn cấp trên toàn cầu của Kaspersky Lab (Gert) đã nhận được hình ảnh ổ đĩa cứng của máy tính bị tấn công. Họ nghiên cứu và phát hiện ra nội dung email khả nghi gửi theo tên của cơ quan thuế nhà nước yêu cầu cung cấp một số tài liệu ngay lập tức theo tệp tin MS Word đính kèm. Tuy nhiên, khi tài liệu được mở, nó sẽ tự động tải về một chương trình độc hại vào máy tính nạn nhân để khai thác lỗ hổng CVE-2012-0158.

Ngoài ra, trên ổ đĩa cứng mà các chuyên gia của Gert nhận được, họ cũng phát hiện ra bản sửa đổi của một chương trình hợp pháp được thiết kế để truy cập vào máy tính từ xa. Các chương trình này thường được sử dụng bởi kế toán, người quản trị hệ thống. Tuy nhiên, phiên bản phát hiện trên máy tính của nạn nhân đã được thay đổi để che giấu sự hiện diện của nó trong hệ thống bị nhiễm như: biểu tượng trong Windows Taskbars bị ẩn, các khóa registry bị thay đổi cài đặt, và các giao diện hiển thị đã bị vô hiệu hóa.

Tuy nhiên, đây không phải là chương trình độc hại duy nhất được phát hiện, điều tra sau đó cho thấy với sự giúp đỡ của Backdoor.Win32.RMS, tội phạm mạng đã tải về Trojan Backdoor.Win32.Agent vào máy tính nạn nhân. Với Backdoor.Win32.Agent, chúng đã chiếm quyền kiểm soát máy tính, tạo ra một lệnh thanh toán từ xa bất hợp pháp trong hệ thống ngân hàng và xác nhận nó với địa chỉ IP của máy tính của kế toán được ngân hàng tin cậy.

Vậy câu hỏi được đặt ra là làm thế nào mà tội phạm mạng có mật khẩu của kế toán viên để thực hiện giao dịch? Các chuyên gia tiếp tục điều tra và phát hiện một chương trình độc hại khác mang tên Trojan-Spy.Win32.Delf. Đó là key logger ngăn chặn dữ liệu nhập vào từ bàn phím, bằng cách này, tội phạm mạng có thể đánh cắp mật khẩu của kế toán và thực hiện giao dịch bất hợp pháp.

Khi cuộc điều tra gần hoàn tất, các chuyên gia phát hiện thêm một thực tế đáng ngạc nhiên: Tội phạm mạng đã mắc lỗi trong cấu hình máy chủ C&C của chúng, điều này cho phép các chuyên gia của Kaspersky Lab phát hiện ra địa chỉ IP của máy tính bị nhiễm Trojan-Spy.Win32.Delf và cảnh báo về mối đe dọa đến người dùng.

“Mặc dù câu chuyện này xảy ra tại Nga, nhưng thực tế, nó sẽ là nguy cơ cho tất cả quốc gia. Trên thế giới, hầu hết các công ty đang sử dụng các phiên bản của Windows và Microsoft Office có thể chứa các lỗ hổng chưa được vá. Ngoài ra, có rất ít sự khác biệt giữa cách mà những phòng ban tài chính của các công ty tương tác với ngân hàng thông qua dịch vụ ngân hàng. Điều này tạo cơ hội cho tội phạm mạng ăn cắp tiền qua hệ thống ngân hàng từ xa một cách dễ dàng”, Mikhail Prokhorenko, chuyên gia nghiên cức mã độc tại nhóm phản hồi khẩn cấp của Kaspersky Lab (Gert) nhận định.

Chính vì vậy, ông này cho rằng, các tổ chức sử dụng hệ thống ngân hàng từ xa nên thiết lập xác thực nhiều bước đáng tin cậy (bao gồm thẻ, mật khẩu một lần được cung cấp bởi các ngân hàng,…) đảm bảo rằng các phần mềm cài đặt trên máy tính của công ty được cập nhật kịp thời (đặc biệt là máy tính được sử dụng trong bộ phận tài chính), bảo vệ máy tính với một giải pháp bảo mật, đào tạo nhân viên để nhận ra và phản ứng nhanh nhạy với những dấu hiệu của cuộc tấn công...

(GN)