Cảnh báo: Hacker đã tấn công được phần mềm SWIFT

Theo các nhà nghiên cứu bảo mật Anh, kẻ tấn công đánh cắp 81 triệu USD từ Bangladesh Bank có thể đã hack được vào phần mềm của nền tảng tài chính SWIFT – trung tâm của hệ thống tài chính toàn cầu.

Hãng tin Reuters vừa đưa tin SWIFT, Hiệp hội viễn thông liên ngân hàng và tài chính quốc tế thuộc sở hữu của 3.000 định chế tài chính, xác nhận rằng họ đã nhận thức được có phần mềm độc hại nhắm vào phần mềm khách hàng của mình. Người phát ngôn Natasha Deteran cho biết SWIFT hôm nay (ngày 25/4) sẽ phát hành phần mềm cập nhật để ngăn chặn mã độc cùng với ban hành một cảnh báo đặc biệt gửi các định chế tài chính rà soát lại các biện pháp an ninh của họ.

Những phát triển mới này đến sau một vụ hacker cướp tiền nhà băng chưa từng có xảy ra hồi đầu tháng Hai vừa qua, dấy lên cảnh báo hệ thống tài chính toàn cầu có thể dễ bị tổn thương trước các vụ tấn công mạng hơn người ta nghĩ rất nhiều, do các lỗ hổng có thể cho phép những kẻ tấn công điều chỉnh phần mềm khách hàng của SWIFT.

Ông Deteran hôm qua nói với phóng viên Reuters rằng SWIFT đang phát hành bản cập nhật phần mềm để "hỗ trợ khách hàng nâng cấp bảo mật và phát hiện sự thiếu nhất quán trong các bản ghi cơ sở dữ liệu địa phương của họ".

Bản cập nhật phần mềm và cảnh báo từ trụ sở của SWIFT ở Brussels ra đời sau khi các nhà nghiên cứu của hãng bảo mật Anh BEA Systems cho phóng viên Reuters biết họ phát hiện mã độc mà những kẻ tấn công Ngân hàng trung ương Bangladesh (Bangladesh Bank) sử dụng để điều khiển phần mềm khách hàng SWIFT. Phần mềm này có tên là Alliance Access.

BAE cho biết họ dự định công bố phát hiện này hôm thứ Hai (25/4) trong một bài viết trên blog.

Những tên tội phạm mạng đã cố thực hiện các lệnh chuyển tiền giả với tổng số tiền lên đến 951 triệu USD từ một tài khoản của Bangladesh Bank ở Ngân hàng dự trữ liên bang New York (thuộc Cục dự trữ liên bang Mỹ ) hồi tháng Hai vừa qua.

Hầu hết các thanh toán đều đã bị chặn, nhưng trước đó 81 triệu USD đã bị hướng đến các tài khoản ở; Philippines và chuyển tới các sòng bài ở đó. Hầu hết các khoản tiền này cho đến nay vẫn bị mất tích.

Các nhà điều tra đang điều tra vụ cướp tiền này trước đó nói rằng những kẻ tấn công (đến nay chưa xác định được) đã đột nhập vào máy tính của Bangladesh Bank và chiếm được quyền điều khiển chứng thực được dùng để đăng nhập vào hệ thống của SWIFT. Tuy nhiên, nghiên cứu của hãng bảo mật BAE cho thấy phần mềm của SWIFT trên máy tính của ngân hàng có thể đã bị thâm nhập để xoá các bản ghi của các giao dịch bất hợp pháp.

Hôm qua, ông Deteran đã tái khẳng định "hệ thống hoặc dịch vụ nhắn tin lõi của SWIFT không bị mã độc xâm hại".

Nền tảng SWIFT messaging platform được 11.000 ngân hàng và các định chế tài chính khác trên toàn thế giới sử dụng, mặc dù chỉ có một số sử dụng phần mềm Alliance Access, theo ông Deteran.

Ông cho biết thêm SWIFT có thể phát hành các bản cập nhật phần mềm bổ sung khi họ biết thêm thông tin về vụ tấn công ở Bangladesh và các mối đe doạ tiềm tàng khác.

SWIFT cũng tái khẳng định các ngân hàng nên đánh giá lại các biện pháp an ninh nội bộ.

Adrian Nish, phụ trách bộ phận mối đe doạ tình báo của BAE cho hay ông chưa bao giờ chứng kiến một phương thức tấn công phức tạp như vậy từ các hacker tội phạm.

Còn người phát ngôn Bangladesh Bank từ chối bình luận về các phát hiện của BAE.

Như tin đã đưa, cuối tuần trước, các nhà điều tra của cảnh sát Bangladesh đã tuyên bố Bangladesh Bank đã không áp dụng các biện pháp an ninh tối thiểu như không có tường lửa và các bộ định tuyến ngân hàng này đang sử dụng là hàng cũ, rẻ tiền, chưa đến 10 USD/ chiếc. Họ cũng cho rằng cả SWIFT và  Bangladesh Bank đều nên có trách nhiệm về sự sơ sài trong bảo mật này.

Một quan chức của Cục điều tra tội phạm Bangladesh cho biết các nhà điều tra không tìm thấy mã độc cụ thể mà BAE mô tả, nhưng các chuyên gia điều tra an ninh mạng vẫn chưa kết thúc điều tra.

Cảnh báo của BAE sẽ được công bố hôm nay bao gồm một số chỉ số kỹ thuật mà hãng cho biết hy vọng các ngân hàng có thể sử dụng để ngăn chặn các cuộc tấn công tương tự. Những chỉ số này bao gồm IPaddress của một máy chủ ở Ai Cập các hacker đã sử dụng để giám sát việc nhân viên Bangladesh Bank sử dụng hệ thống SWIFT.

Theo BEA, mã độc có tên là evtdiag.exe, được thiết kế để che giấu dấu vết kẻ tấn công bằng cách thay đổi thông tin trên một database của SWIFT ở Bangladesh Bank dùng để theo dõi thông tin về các yêu cầu chuyển tiền.

BAE cho biết evtdiag.exe có thể là một phần của một  toolkit tấn công quy mô lớn hơn được cài đặt sau khi kẻ tấn công giành được chứng chỉ quản trị.

Đến nay, vẫn chưa rõ chính xác hacker ra lệnh chuyển tiền như thế nào.

Hồng Hà