Phát hiện nhóm hacker mới chuyên săn lùng các tổ chức tài chính

Các chuyên gia bảo mật Kaspersky Lab cách đây không lâu đã phát hiện những cuộc tấn công bảo mật nhằm vào các tổ chức tài chính ở nhiều khu vực khác nhau trên thế giới. Cụ thể, Kaspersky Lab đã phát hiện ít nhất 10 tổ chức tài chính ở nhiều khu vực bao gồm Nga, Armenia và Malaysia bị ảnh hưởng bởi các cuộc tấn công thực hiện bởi một nhóm hacker mới tên Silence.

Trong khi ăn cắp tiền từ các nạn nhân, Silence thực hiện các kỹ thuật cụ thể tương tự như nhóm hacker nguy hiểm khét tiếng, Carbanak. Theo các chuyên gia bảo mật, những cuộc tấn công vẫn đang tiếp diễn.

Phát hiện từ các chuyên gia bảo mật cho thấy nhóm hacker chuyên tấn công các tổ chức tài chính nói tiếng Nga.

Qua quá trình nghiên cứu, nhóm chuyên gia bảo mật phát hiện rằng Silence tham gia vào các hoạt động phá hoại nghiêm trọng và phức tạp nhất như như các nhóm hacker vốn đã thành công trong việc đánh cắp hàng triệu USD từ các tổ chức tài chính. Hầu hết hoạt động này bao gồm quá trình tiếp cận thường xuyên với các mạng lưới ngân hàng nội bộ trong một thời gian dài, theo dõi hoạt động hàng ngày, kiểm tra chi tiết của từng mạng lưới ngân hàng riêng và sau đó, khi đến đúng thời điểm, hacker sử dụng kiến thức đó để ăn cắp càng nhiều tiền càng tốt.

Cũng theo Kaspersky Lab, các đính kèm độc hại cho các email khá tinh vi. Khi nạn nhân mở file đính kèm, chỉ cần một cú nhấp chuột để bắt đầu một loạt lượt tải xuống, máy tính nạn nhân đã liên lạc với máy chủ ra lệnh và kiểm soát, gửi ID của nạn nhân, tải và thực hiện các payload độc hại, chịu trách nhiệm về các nhiệm vụ khác nhau như ghi màn hình, tải dữ liệu, trộm cắp các thông tin, điều khiển từ xa...

Điều thú vị là, tội phạm mang khai thác cơ sở hạ tầng của các tổ chức tài chính đã bị lây nhiễm cho các cuộc tấn công mới, bằng cách gửi email từ các địa chỉ của nhân viên thực tới nạn nhân mới cùng với yêu cầu mở một tài khoản ngân hàng. Nhờ thủ thuật này, nhóm tội phạm mạng đương nhiên sẽ không hề bị nghi ngờ từ phía người nhận.

Nhóm Silence có khả năng giám sát hoạt động của nạn nhân, bao gồm chụp nhiều màn hình màn hình hoạt động của nạn nhân, cung cấp video theo thời gian thực cho tất cả các hoạt động của nạn nhân… Tất cả tính năng này nhằm phục vụ mục đích duy nhất đó là để hiểu hoạt động hàng ngày của nạn nhân và có đủ thông tin để cuối cùng là chôm tiền. Quy trình và phong cách này rất giống với các kỹ thuật của nhóm Carbanak.

Dựa trên những kết quả được tìm thấy trong quá trình nghiên cứu của họ về các thành phần độc hại của cuộc tấn công này, các nhà nghiên cứu bảo mật của Kaspersky Lab đã kết luận rằng tội phạm mạng đứng sau các cuộc tấn công của nhóm Silence là các hacker nói tiếng Nga.

Hiện vật ngôn ngữ được Kaspersky Lab tìm thấy trong quá trình nghiên cứu.

Các nhà nghiên cứu của Kaspersky Lab khuyến cáo các tổ chức nên thực hiện các biện pháp sau đây để bảo vệ họ khỏi các cuộc tấn công mạng có thể xảy ra: