“Mổ xẻ” kiểu tấn công nhắm tới các hệ thống điểm thanh toán

Những cuộc tấn công nhắm tới các hệ thống điểm thanh toán (POS) trong các môi trường phát triển thường được chia thành nhiều giai đoạn. Đầu tiên, những kẻ tấn công phải đạt được quyền truy nhập tới mạng của nạn nhân. Thông thường, kẻ tấn công sẽ tìm cách truy nhập vào một mạng liên kết, không trực tiếp tiếp xúc với môi trường dữ liệu của chủ thẻ (cardholder data environment  - CDE).

Ảnh minh họa.Ảnh minh họa.

Sau đó, những kẻ tấn công sẽ phải tìm kiếm khắp mạng đó để có được quyền truy nhập tới hệ thống POS. Tiếp theo, chúng sẽ cài đặt mã độc để lấy cắp dữ liệu từ hệ thống bị kiểm soát. Bởi vì hệ thống POS hầu như không có truy nhập mạng bên ngoài, dữ liệu bị lấy cắp sau đó thường sẽ được gửi tới một máy chủ nội bộ (internal staging server) và cuối cùng sẽ được trích xuất từ mạng của nhà bán lẻ để gửi tới kẻ tấn công.    

Quá trình xâm nhập

Có nhiều phương pháp mà một kẻ tấn công có thể sử dụng để giành được quyền truy nhập tới một mạng doanh nghiệp. Chúng có thể tìm những điểm yếu tồn tại trong hệ thống bên ngoài, chẳng hạn như sử dụng thủ thuật SQL injection trên một máy chủ Web (Web server) hoặc tìm kiếm một thiết bị ngoại vi vẫn sử dụng mật khẩu mặc định của nhà sản xuất.

Hoặc, chúng có thể tấn công mạng doanh nghiệp từ bên trong bằng cách gửi ra một email lừa đảo dạng spear phishing tới một cá nhân nằm trong tổ chức. Email lừa đảo này có thể chứa nội dung đính kèm độc hại hoặc một liên kết tới một trang web cho phép cài đặt một chương trình cửa hậu vào máy tính của nạn nhân.   

Dịch chuyển trong mạng

Một khi đã thâm nhập được vào mạng doanh nghiệp, những kẻ tấn công sẽ cần phải giành được quyền truy nhập tới những mục tiêu quan trọng nhất của chúng - đó là hệ thống điểm thanh toán (POS). Những kẻ tấn công thường sử dụng hàng loạt những công cụ để nắm rõ hệ thống mạng, định vị các hệ thống bên trong môi trường dữ liệu của chủ sở hữu.

Mặc dù chúng có thể sử dụng những lỗ hổng bảo mật hoặc những kỹ thuật khác để giành quyền truy nhập tới những hệ thống này, nhưng phương pháp đơn giản nhất và lại hiệu quả nhất đó là sử dụng thông tin truy nhập của chính người dùng. Thông tin người dùng có thể thu được thông qua những chương trình Trojan keylogg (lưu giữ các thao tác của người dùng trên máy), những chương trình khai thác mật khẩu, bẻ khóa, hoặc chương trình hiển thị lại nội dung người dùng truy nhập, hoặc thậm chí sử dụng bạo lực. Và cuối cùng, những thông tin truy nhập cấp độ quản trị sau đó có thể được tội phạm nắm giữ. Từ đây, tội phạm mạng thậm chí có thể giành quyền kiểm soát bộ quản lý tên miền - cho phép chúng truy nhập với đủ quyền hành tới tất cả các máy tính trong một mạng.

Một khi kiểm soát được mạng, những kẻ tấn công có thể tiếp cận tới môi trường dữ liệu của chủ thẻ, thậm chí ngay cả khi nó nằm trong một hệ mạng phân lập (segmented-network), bằng cách sử dụng mạng và các đường truyền dữ liệu được thiết lập cho những yêu cầu kinh doanh xác định trước. Khi đã vào được môi trường dữ liệu của chủ thẻ, tội phạm mạng sau đó sẽ cài đặt mã độc cho phép chúng lấy cắp dữ liệu thẻ từ các hệ thống POS này.

Những công cụ lấy cắp dữ liệu

Theo các chuyên gia an toàn bảo mật Symantec, mã độc mà được chủ đích phát triển để lấy cắp dữ liệu từ các hệ thống POS hiện có rất nhiều trên thị trường chợ đen. Trong một số cuộc tấn công, các công cụ dò tìm mạng (network sniffing tool) được sử dụng để thu thập số thẻ tín dụng khi chúng lưu thông qua các mạng nội bộ không được mã hóa.

Ở một số kiểu tấn công khác, mã độc lọc bộ nhớ (RAM scraping malware) được sử dụng để thu thập số thẻ tín dụng khi chúng được lưu vào bộ nhớ máy tính. Bất kỳ dữ liệu nào thu thập được sau đó sẽ được lưu trữ trong một tệp tin tại chính khu vực đó cho tới khi dữ liệu được trích xuất.

« Thông thường, tệp tin dữ liệu thu thập được này sẽ được gửi tới nhiều máy tính khác nhau trong hệ thống mạng nội bộ cho tới khi nó tìm thấy một hệ thống có quyền truy nhập ra bên ngoài », các chuyên gia an toàn bảo mật Symantec cho biết.

Kiên trì và ẩn mình

Bởi vì kẻ tấn công đang nhắm tới một hệ thống POS và những cuộc tấn công kiểu này sẽ cần thời gian để thu thập dữ liệu, do vậy, chúng cần những đoạn mã này tồn tại lâu dài. Không giống như những lỗ hổng về dữ liệu khi hàng triệu bản ghi đều có thể được truy nhập ngay lập tức, các lỗ hổng ở hệ thống POS đòi hỏi những kẻ tấn công phải chờ đợi cho tới khi giao dịch xảy ra và từ đó chúng mới có thể thu thập dữ liệu theo thời gian thực, khi mỗi thẻ tín dụng được sử dụng.

Chính vì điều này, việc phát hiện tấn công từ sớm có thể hạn chế mức độ thiệt hại. Việc duy trì mã độc thường xuyên có thể dễ dàng thực hiện bằng cách sử dụng những kỹ thuật đơn giản để đảm bảo nó luôn hoạt động và tự khởi động lại bất cứ khi nào hệ thống khởi động.

Thủ thuật ẩn mình được sử dụng khá linh hoạt, từ việc thay đổi tên file, tên quy trình (process) tới những kỹ thuật qua mặt các phần mềm bảo mật. Trong một số môi trường bảo mật tốt, để thành công, những kẻ tấn công hầu hết đều cần có quyền truy nhập cấp độ quản trị và từ đó chúng có thể sử dụng để lưu trữ các thông tin nhập vào, tắt các phần mềm và hệ thống giám sát, thậm chí thay đổi cấu hình của phần mềm bảo mật (chẳng hạn như thay đổi yêu cầu chữ ký tệp tin hoặc chỉnh sửa danh sách bạch whitelist) nhằm tránh bị phát hiện.

Trích xuất dữ liệu

Những kẻ tấn công có thể chiếm quyền điều khiển một hệ thống nội bộ để hoạt động như máy chủ staging của chúng (staging server). Chúng sẽ tìm cách xác định một máy chủ thường xuyên liên lạc với các hệ thống POS và trà trộn vào các giao tiếp thông thường của máy chủ đó nhằm tránh bị phát hiện.

Bất kỳ dữ liệu nào được thu thập bởi mã độc lọc bộ nhớ (RAM scarping malware) sẽ được gửi tới máy chủ staging này để lưu trữ và tổng hợp cho tới thời điểm thích hợp để gửi về cho kẻ tấn công. Tại thời điểm thích hợp, những kẻ tấn công có thể sẽ truyền dữ liệu thu thập được thông qua hệ thống nội bộ bất kỳ khác trước khi chúng tới một hệ thống bên ngoài, chẳng hạn như một máy chủ FTP bị kiểm soát thuộc một bên thứ ba. Bằng cách tận dụng các máy chủ bị kiểm soát thuộc các trang web chính thống để nhận dữ liệu lấy cắp, lưu thông dữ liệu tới những trang web này sẽ hiếm khi gây nghi ngờ cho nhà bán lẻ bị lợi dụng, đặc biệt là khi những trang web này thường được người dùng trong tổ chức của họ truy nhập…

(GN)