Mã độc tấn công TPBank có 'mã nguồn tương tự vụ tấn công Sony'

Theo các chuyên gia bảo mật Anh, mã độc được sử dụng tấn công Sony hồi năm 2014 và ngân hàng TPBank, ngân hàng trung ương Bangladesh có mã nguồn tương tự.

Trong thông cáo đăng trên website chính thức của hệ thống chuyển tiền toàn cầu SWIFT, vụ tấn công cố cướp gần 1 tỷ đô la của ngân hàng Bangladesh ;không phải là một sự vụ đơn lẻ mà là một chiến dịch rộng lớn nhắm vào các ngân hàng. Mã độc sử dụng trong vụ cướp tiền ngân hàng Bangladesh cũng được tìm thấy trong một vụ tấn công ngân hàng khác.

Thông tin về mã độc này được các chuyên gia bảo mật của hãng BEA Systems (Anh) cung cấp. Cả SWIFT và BEA không nêu rõ tên ngân hàng thương mại thứ hai bị mã độc tấn công nhưng ngay sau đó, Ngân hàng thương mại cổ phần TPBank của Việt Nam đã thừa nhận mình chính là ngân hàng được đề cập đến. Rất may, theo TPBank, ngân hàng này đã kịp thời phát hiện và ngăn chặn được một lệnh chuyển tiền giả mạo trị giá hơn 1 triệu euro. Giao dịch này được thực hiện để chuyển tới một ngân hàng của Slovenia.

Trả lời phóng viên VnReview qua điện thoại, ông Lê Mạnh Hùng, Cục trưởng Cục Tin học Ngân hàng (Ngân hàng Nhà nước) cho biết sự việc này xảy ra hôm 8/12 năm ngoái, TPBank đã báo cáo cho Cục và các cơ quan chức năng xử lý ngay sau đó. Vụ việc này cũng đã được thông báo cho cảnh sát quốc tế Interpol.

Hồi tháng Hai năm nay, các tin tặc – đến nay chưa xác định được nguồn gốc, danh tính – đã đột nhập vào ngân hàng trung ương Bangladesh và gần chiếm đoạt được 1 tỷ đô la. Bọn chúng đã giao dịch trót lọt được 81 triệu đô la. Nhưng sau đó, các giao dịch còn lại đã bị phát hiện và ngăn chặn do một lỗi đánh máy tên người nhận. Kết quả điều tra sơ bộ vụ việc được công bố tháng Tư tiết lộ ngân hàng trung ương Bangladesh sử dụng bộ chuyển mạnh cũ, rẻ tiền và không có tường lửa là hai nguyên nhân giúp sức cho hacker dễ dàng thực hiện cuộc tấn công.

Tổ chức SWIFT thuộc sở hữu của 3.000 hãng tài chính và vận hành một mạng lưới giao dịch chuyển tiền giữa các định chế tài chính. Mạng lưới của SWIFT được sử dụng để chuyển tiền đánh cắp trong cả vụ ngân hàng Bangladesh và TPBank.

Theo bài phân tích đăng trên blog của mình, hãng bảo mật BAE cho biết mã độc được sử dụng trong cả hai vụ tấn công ngân hàng có nhiều chi tiết giống nhau, như tên của file thực thi độc hại, cấu trúc nội bộ của mã nguồn và đặc biệt một khối của mã nguồn được sử dụng để xoá sạch các file và che đậy dấu vết của vụ tấn công một cách tinh vi.

BAE đã tìm thấy một sự giống nhau đáng ngạc nhiên về thói quen xoá và các tính năng mã nguồn khác giữa vụ tấn công ngân hàng nói trên với vụ tấn công Sony Pictures hồi năm 2014. Cục điều tra liên bang Mỹ (FBI) khẳng định thủ phạm tấn công Sony là từ Triều Tiên. Trong khi đó, một nhóm hacker có tên Guardians of Peace công khai nhận trách nhiệm, với lý do phản đối Sony Pictures sản xuất bộ phim hài The Interview nói về vụ ám sát nhà lãnh đạo Kim Jong-un.

Bản thân thói quen xoá dữ liệu được sử dụng trong các vụ tấn công Sony có mối liên hệ với các vụ tấn công nhắm vào các ngân hàng, cơ quan truyền thông Hàn Quốc hồi năm 2013.

Các chuyên gia BAE nhấn mạnh rằng những dấu hiệu đó chưa phải là khoa học chính xác. Tuy nhiên, trong khi việc tái sử dụng mã nguồn sẵn có ngụ ý rằng nhóm hacker tương tự, thậm chí là cùng một nhà phát triển, chịu trách nhiệm tạo ra mã độc, thì còn có khả năng những kẻ tấn công cố tình chế ra mã độc chỉ để tạo vỏ bọc có liên quan.

Theo trang Arstechnica thông báo trên trang của SWIFT cũng mô tả một số tính năng mới của vụ tấn công ngân hàng TPBank. Trong vụ Bangladesh, mã độc phải nỗ lực đáng kể để che đậy dấu vết và giấu các giao dịch giả mạo, chỉnh sửa cơ sở dữ liệu và xoá cơ sở dữ liệu là cơ sở để buộc tội. Khả năng che đậy này cho thấy hacker có hiểu biết sâu rộng về phần mềm và hệ thống được sử dụng để chuyển tiền và kiến thức sâu rộng như vậy cũng xuất hiện ở trong trường hợp tấn công TPBank. Nhân viên ở Việt Nam đã sử dụng các báo cáo định dạng file PDF để kiểm tra xác nhận thanh toán. Những kẻ tấn công đã tạo ra một bản PDF reader độc hại trông giống như phần mềm thông thường, nhưng thay vì phát hiện khi các giao dịch gian lận đang được kiểm tra thì nó lại cho nhân viên ngân hàng thấy dữ liệu khác để che giấu gian lận.

Hồng Hà