(QNO) - Hãng bảo mật Kaspersky vừa phát hiện ra một loại malware hồ hết "vô hình" đang tiến công hàng loạt ngân hàng trên thế giới để rút tiền từ chính các máy ATM.
 |
Cách đây 2 năm, các chuyên gia bảo mật của Kaspersky Lab (trụ sở tại Moscow - Nga) phát hình thành rằng, mạng đơn vị của họ bị nhiễm 1 loại ứng dụng độc hại chưa từng được biết đến trước đây. Rất nhiều toàn cục malware nằm bên trong bộ nhớ của các máy tính bị thâm nhập, giúp chúng không hề bị phát hiện trong chí ít 6 tháng hoặc lâu hơn. Cuối cùng, Kaspersky phát hiện ra dấu vết rằng, Duqu 2.0 (tên họ gọi cho malware) có nguồn gốc từ Stuxnet, sâu máy tính siêu tinh xảo được cho là do Mỹ và Israel phát hành để phá hoại chương trình hạt nhân của Iran.
Giờ đây, loại malware "ma quái", vô hình này đang có nguy cơ lan rộng khi được dùng bởi các hacker có nhu cầu ăn cắp tiền từ các ngân hàng. Theo phân tích của Kaspersky Labs, các mạng thuộc ít nhất 140 ngân hàng và các doanh nghiệp khác đã bị lây nhiễm bởi loại malware vô hình - malware được thiết kế để cư trú trong bộ nhớ của máy tính. Do việc phát hiện rất gian truân, con số thực tế có thể còn lớn hơn phổ thông. Một đặc điểm gây gian nan cho việc phát hiện này đó là, hacker sử dụng các dụng cụ bảo mật và quản trị hệ thống phù hợp lệ - như PowerShell, Metasploit, và Mimikatz - để lây truyền malware tham gia bộ nhớ máy tính.
"Vấn đề lôi cuốn ở đây là các cuộc tấn công này đang được bắt đầu trên thế giới và nhằm tham gia bản thân các nhà băng. Nhà băng không có sự sẵn sàng toàn diện trong phổ thông trường phù hợp để đối phó với hacker" - chuyên gia Kurt Baumgartner của Kaspersky Labs cho nhân thức. Ông nói thêm rằng, hacker đứng đằng sau các cuộc tấn công "đang rút tiền khỏi ngân hàng ngay bên trong ngân hàng" bằng cách thức cấy malware vào các máy tính đang điều hành máy rút tiền không người điều khiển (ATM).
140 công ty (không được nêu tên chi tiết) bị tác động bởi malware nằm ở 40 đất nước khác biệt. Trong số này, Mỹ, Pháp, Ecuador, Kenya, và Anh là top 5 nước bị ảnh hưởng nặng nhất. Các nhà tìm hiểu của Kaspersky Lab hiện chưa rõ liệu hacker cá nhân độc thân hay 1 đội ngũ hacker có công ty, đứng đằng sau vụ tấn công. Việc sử dụng loại malware không tồn tại dưới dạng tập tin, cũng như dùng tên miền command-server không liên kết với bất kỳ tổ chức nào khiến cho các nhà tìm hiểu khó có thể quy kết người nào là kẻ đứng sau.
Tích lũy mật khẩu
Các nhà tìm hiểu lần trước tiên phát sinh ra malware là hồi cuối năm ngoái, khi đội bảo mật của 1 nhà băng tậu thấy 1 phiên bản copy của Meterpreter— một yếu tố trong bộ nhớ của Metasploit—residing - nằm trong bộ nhớ vật lý của 1 bộ vấn đề khiển tên miền Microsoft (Microsoft domain controller). Sau khi bắt đầu phân tách, các nhà phân tích mua thấy rằng, mã Meterpreter được tải và 'tiêm' vào bộ nhớ bằng các lệnh PowerShell. Máy tính bị nhiễm malware cũng dùng dụng cụ mạng NETSH của Microsoft để chuyển dữ liệu đến các máy chủ mà hacker kiểm soát. Để có được các đặc quyền quản trị nhằm làm được mục đích, kẻ tấn công dùng công cụ Mimikatz. Nhằm khiến giảm khả năng để lại chứng cớ tiến công trong nhật ký hoạt động (log) hay ổ cứng, hacker giấu các lệnh PowerShell bên trong registry của Windows.
 |
| Danh sách một số các đất nước bị malware tấn công. |
Dĩ nhiên, rất may là bằng chứng trên bộ yếu tố khiển tên miền còn nguyên vẹn, và cội nguồn có nhẽ là bởi nó đã không được khởi động lại trước khi các chuyên gia của Kaspersky Lab mở đầu cuộc điều tra. Sau khi tiến hành phân tách các nội dung bộ nhớ bị xoá, cũng như xem lại các Windows registry, Kaspersky đã có thể khôi cu lịc mã Meterpreter và Mimikatz. Về sau, hãng bảo mật này khẳng định rằng, hacker đã sử dụng các khí cụ để tích lũy mật khẩu của admin hệ thống. Các công cụ cũng được sử dụng cho việc quản trị từ xa các PC bị lây nhiễm.
"Chúng tôi đang nói về phần lớn vụ tiến công với những cơ chế thực hiện khác nhau" - chuyên gia Baumgartner cho nhân thức khi nói về các truyền nhiễm mà Kaspersky tậu ra được sau những nhận thấy ban đầu. "Chúng tôi đang đi sắm mẫu số phổ biến của toàn bộ các cuộc tiến công này, khi mà hacker bắt đầu nhúng PowerShell tham gia registry để vận chuyển Meterpretor và chấp hành hành động của chúng trong khoảng đó bằng các công cụ quản trị Windows chính thống".
Lực lượng chuyên gia bảo mật hiện vẫn chưa biết malware này lúc đầu được xây dựng như thế nào, đương nhiên, có thể hacker đã dùng tới các cuộc tiến công SQL-injection cũng như khai thác các plugin cho Áp dụng quản lý nội dung WordPress. Kaspersky Lab dự tính cung cấp thêm cụ thể về malware này tham gia tháng 4, như cách thức malware được sử dụng để rút tiền trong khoảng máy ATM; còn hiện nay, những tổ chức và ngân hàng thân mật có thể mày mò các nguy cơ và chi tiết công nghệ về malware tại đây.
Theo ictnews.Việt Nam
.
Đọc thêm: váy ngủ lụa tphcm
0 nhận xét:
Đăng nhận xét