Ngân hàng toàn cầu trước nguy cơ “mất triệu đô” bởi nhóm hacker nguy hiểm

Là một nhóm hacker cực kỳ nguy hiểm, Silence APT từng tấn công vào ít nhất 10 tổ chức tài chính thuộc liên bang Xô Viết cũ và các nước láng giềng và hiện đang nhắm mục tiêu mạnh mẽ vào hệ thống ngân hàng tại hơn 30 quốc gia trên thế giới

Nhóm hacker “khoảng lặng” bắt đầu hoạt động từ tháng 9 năm 2016, trong đó phi vụ thành công nhất cho đến nay là chiến dịch tấn công nhắm vào Ngân hàng Hà Lan – Bangla có trụ sở tại Bangladesh, thu về hơn 3 triệu đô la trong mỗi chuỗi rút tiền mặt ATM chỉ trong một vài ngày.

Nâng cao kỹ thuật tấn công và mở rộng địa bàn hoạt động

Một báo cáo mới đây của công ty Group – IB có trụ sở tại Singapore đã chia sẻ, nhóm hacker đã mở rộng đáng kể vị trí hoạt động của họ trong những tháng gần đây, tăng tần suất các chiến dịch tấn công của họ, cũng như đẩy mạnh các trang thiết bị.

Từ một nhóm hacker “trẻ và hiếu chiến” nay có dấu hiệu cho thấy nhóm Silence đã “tiến hóa” và trở thành một trong những nhóm nguy hiểm (APT) tinh vi nhất, nhắm mục tiêu vào các hệ thống ngân hàng trên toàn thế giới.

Silence APT đã cập nhật chiến thuật, nâng cao kỹ thuật tấn công, thay đổi bảng chữ cái mã hóa (encrytion alphabet), mã hóa chuỗi (string encryption) và sử dụng các lệnh cho bot và mô-đun chính để tránh sự phát hiện của các công cụ bảo mật.

Ngoài ra, các nhà nghiên cứu bảo mật còn phát hiện ra rằng, nhóm hacker này còn có thể viết lại hoàn toàn trình tải TrueBot, mô-đun giai đoạn đầu dựa trên sự thành công của toàn bộ cuộc tấn công trước đây và nhóm này đã bắt đầu sử dụng Ivoke, một trình tải không có mã và tác nhân EDA, được viết bằng PowerShell.


Nhóm hacker nâng cao kỹ thuật tấn công và sử dụng chiến thuật tấn công độc đáo

EDA là một tác nhân PowerShell, được thiết kế để kiểm soát các hệ thống bị xâm nhập bằng cách thực hiện các tác vụ thông qua command shell và tunneling traffic bằng giao thức DNS và dựa trên các dự án Empire và dnscat2.

Email giả mạo là công cụ tấn công chính

Cũng giống như hầu hết các nhóm hacker khác, nhóm tin tặc Silence cũng sử dụng email giả mạo để khai thác thông tin nạn nhân hoặc macro Docs, tệp CHM và phím tắt .LNK cũng như tệp đính kèm độc hại để xâm nhập vào hệ thống mạng của nạn nhân.

Cụ thể, khi người dùng nhận được email giả mạo được gửi đến từ một địa chỉ email gần như quen biết thì “vô tình” click vào thư hoặc tải tệp đính kèm về máy, kể từ đây hệ thống mạng của nạn nhân đã bị xâm nhập.

Vượt qua bước đầu tiên thành công, nhóm bắt đầu tiến hành các kỹ thuật nâng cao hơn như là tận dụng các TTP tinh vi hơn và triển khai phần mềm độc hại bổ sung, TrueBot hoặc trình tải PowerShell không có mã mới có tên Ivoke. Tất cả đều được thiết kế để thu thập thông tin từ hệ thống của nạn nhân, sau đó gửi đến máy chủ CnC trung gian.

Trước khi tiến hành, nhóm đã chuẩn bị kỹ lưỡng về mục tiêu tấn công của mình bằng cách lên một “danh sách mục tiêu” (target list) bao gồm các địa chỉ email đang hoạt động, đã được kiểm tra bởi các “email trinh thám” (recon email) trước đó.

Theo nghiên cứu của các nhà bảo mật, họ đã phát hiện hơn 170.000 email trinh thám của nhóm hacker nguy hiểm Silence tính tới thời điểm hiện tại, đã được gửi đến các ngân hàng ở Nga, Liên Xô cũ, Châu Á và Châu Âu.

Thiệt hại từ các cuộc tấn công của Silence APT

Với các chiến dịch tấn công mới nhất của nhóm Silence APT, cụ thể từ tháng 5 năm 2018 đến ngày 1 tháng 8 năm 2019, các nhà nghiên cứu đã mô tả sự gia tăng thiệt hại từ hoạt động của họ và xác nhận rằng số tiền bị đánh cắp bởi Silence đã tăng gấp năm lần kể từ giai đoạn đầu, ước tính tổng thiệt hại là 4.2 triệu đô la.


Số lượng "email trinh thám" được gửi từ nhóm Silence tại Châu Á

Ngoài ra, các nhà nghiên cứu thuộc công ty Group-IB còn nghi ngờ rằng TrueBot (Silence.Doader) và trình tải FlawedAmmyy đã được phát triển bởi cùng một người bới cả hai phần mềm độc hại đều được ký cùng một chứng chỉ kỹ thuật số.

Trong đó, trình tải FlawesAmmyy là một trojan truy cập từ xa được liên kết với TA505, một nhóm đe dọa nói tiếng Nga riêng biệt chịu trách nhiệm cho nhiều cuộc tấn công email nhắm mục tiêu cũng như hàng triệu chiến dịch tin nhắn quy mô lớn, đã hoạt động ít nhất từ năm 2014.

Theo đó, các nhà nghiên xưu của nhóm IB cũng tiết lộ rằng, Silence APT đã nhắm mục tiêu thành công vào các ngân hàng ở Ấn Độ (vào tháng 8 năm 2018), Nga (vào tháng 2 năm 2019), Kyrgyzstan (vào tháng 5 năm 2019) và Chile, Ghana, Costa Rica và Bulgaria (vào tháng 7 năm 2019).

Ngân hàng và tổ chức tài chính là xu hướng tấn công của hầu hết tin tặc. Nhờ vào lỗ hổng bảo mật của hệ thống mà hacker có thể dễ dàng nhắm tới hoặc thậm chí nhân viên bình thường cũng có thể là “bàn đạp”, giúp họ dễ dàng truy cập được vào máy chủ nội bộ sau đó tiền hành các hành vi trộm cắp, thu thập thông tin.

Có thể thấy vấn đề an ninh mạng là vô cùng quan trọng trong thời đại công nghệ hiện nay. Tất cả các doanh nghiệp, đặc biệt với ngân hàng và tổ chức tài chính cần phải chú trọng hơn về vấn đề bảo mật, trang bị giải pháp bảo mật có thể ngăn chặn sự tấn công từ hacker và triển khai các chương trình đạo tạo nhân viên nhằm nâng cao kiến thức bảo mật an toàn thông tin.

Tổng hợp​