Một nhóm hacker đã tấn công ngân hàng Việt Nam, Bangladesh, Philippines?

Các nhà nghiên cứu bảo mật đã gắn một loạt vụ tấn công mã độc vào các ngân hàng ở châu Á, gồm cả TPBank của Việt Nam, với Triều Tiên.

Theo báo Mỹ New York Times, trong ba cuộc tấn công ngân hàng gần đây, các nhà nghiên cứu thuộc hãng bảo mật Mỹ Symantec cho biết tin tặc đã triển khai một mẩu mã nguồn hiếm thấy từng được phát hiện chỉ ở trong hai vụ trước đó: vụ tấn công hãng giải trí Sony Pictures hồi tháng 12/2014 và tấn công các ngân hàng, hãng tin ở Hàn Quốc năm 2013. Các quan chức chính phủ ở cả Mỹ và Hàn Quốc đều đổ trách nhiệm các vụ tấn công này cho Bắc Triều Tiên mặc dù họ không cung cấp các bằng chứng độc lập.

Vào hôm qua, ngày 26/5, các nhà nghiên cứu của Symantec cho biết họ đã phát hiện ra chứng cứ có sự liên quan giữa vụ tấn công một ngân hàng ở Philippines hồi tháng 10 năm ngoái với ngân hàng TPBank của Việt Nam tháng 12 cùng năm và vụ tấn công ngân hàng trung ương Bangladesh tháng Hai vừa qua khiến 81 triệu USD của ngân hàng này bốc hơi.

Các vụ tấn công đã dấy lên cảnh báo trong toàn ngành ngân hàng toàn cầu bởi vì kẻ gian đã giành được quyền truy cập vào tài khoản của hệ thống điện chuyển tiền toàn cầu SWIFT. Hệ thống SWIFT được hơn 11.000 ngân hàng và các công ty sử dụng để chuyển tiền từ nước này sang nước khác – là một lý do khiến SWIFT là mục tiêu cho những tội phạm mạng.

SWIFT mặc dù không được giao trách nhiệm nhưng đã cảnh báo công khai rằng các cuộc tấn công là một phần của một cuộc phối hợp tấn công vào các ngân hàng. Tổ chức này cũng nhấn mạnh rằng các điểm kết nối của ngân hàng với hệ thống của họ - chứ không phải mạng điện chuyển tiền lõi của SWIFT - là nơi mà tin tặc có thể đột nhập. Cũng như vậy, các nhà băng Mỹ đã lưu ý rằng tất cả các sai sót bảo mật đều xảy ra ở các ngân hàng ở các nước thuộc thế giới thứ ba – điều này có thể đem lại chút an tâm cho các khách hàng ngân hàng ở Mỹ.

Các nhà nghiên cứu bảo mật và quan chức chính phủ Mỹ đã kết nối hàng ngàn vụ tấn công vào các quốc gia trong quá khứ. Họ đã liên hệ Mỹ và Israel tới một vụ tấn công phá huỷ các máy ly tâm của Iran, và quân đội và nhà thầu Trung Quốc với các vụ tấn công đánh cắp bí mật quân sự, bí mật thương mại từ hàng ngàn thực thể nước ngoài.

Song loạt vụ tấn công vào các ngân hàng ở Bangladesh và Đông Nam Á, theo các nhà nghiên cứu bảo mật, sẽ là lần đầu tiên mà một quốc gia sử dụng mã độc để đánh cắp hoàn toàn vì lợi nhuận tài chính.

Ý tưởng Bình Nhưỡng đã trở thành kẻ trộm kỹ thuật số theo New York Times không phải là tin đáng ngạc nhiên. Nền kinh tế nước này đã bị kiệt quệ do cấm vận, thiếu thốn lương thực và nhiều thứ khác. Bình Nhưỡng không công khai dữ liệu kinh tế nhưng các dự đoán đã tính GDP nước này vào khoảng 12-40 tỷ USD, con số quá nhỏ so với sản lượng kinh tế 1,4 nghìn tỷ USD của Hàn Quốc.

Trong vụ tấn công ngân hàng trung ương Bangladesh, tin tặc đã cố chuyển 1 tỷ USD trong tài khoản của ngân hàng này ở ngân hàng dự trữ liên bang New York. Các quan chức ngân hàng New York đã tình nghi một số yêu cầu chuyển tiền và chỉ thực hiện yêu cầu chuyển 81 triệu USD tới các tài khoản ở Philippines.

"Nếu giả sử đó là Bắc Triều Tiên, 1 tỷ USD là gần 10% GDP của họ. Đây là một con số không nhỏ đối với họ", ông Eric Chien, Giám đốc kỹ thuật của Symantec Security Response nói.

Các nhà nghiên cứu Symantec cho biết có thể ngân hàng ở Philippines chứa mã nguồn Bắc Triều Tiên cũng liên quan đến vụ tấn công ngân hàng Bangladesh và nỗ lực tấn công vào ngân hàng Việt Nam TPBank. Các nhà nghiên cứu này không nêu tên ngân hàng Philippines và không nói liệu tin tặc đã cố đột nhập và cài đặt dãy mã nguồn tương tự vào hệ thống của ngân hàng này chưa – mã nguồn tương tự như họ đã phát hiện ra ở trường hợp ngân hàng Việt Nam, Bangladesh và hai vụ tấn công vào Sony năm 2014 và vào Hàn Quốc năm 2013.

Ông Chien nhấn mạnh những kẻ tấn công không chỉ sử dụng các con số tương tự mà viết mã nguồn trong chuỗi tương tự, bất thường ở cả ba vụ tấn công. Ông này cho biết bằng chứng cho thấy cả 3 vụ tấn công là sản phẩm của nhóm "Lazarus Group", một cái tên mà nhóm nghiên cứu của ông đặt cho những kẻ tấn công Sony và Hàn Quốc.

Các quan chức Mỹ đã cho rằng Bắc Triều Tiên đã đe doạ Sony sẽ có "các biện pháp đáp trả thích đáng" nếu hãng này phát hành bộ phim hài "The Interview". Các nhà phân tích của Cục điều tra liên bang Mỹ FBI cũng nhấn mạnh đến những sai lầm trọng yếu mà các tin tặc Triều Tiên mắc phải, như đăng nhập vào các máy chủ tấn công của họ từ các địa chỉ Internet Bắc Triều Tiên và thậm chí đăng nhập cả tài khoản Facebook của họ và các máy chủ Sony từ cùng máy tính.

Trong thời gian gần đây khi các chứng cứ về các vụ tấn công vào mạng SWIFT bắt đầu xuất hiện, các nhà điều tra đang tìm kiếm các điểm chung ở nhiều vụ đột nhập tiềm tàng khác nhau. Hiện vẫn chưa rõ liệu những vụ vi phạm này có liên quan đến các vụ ở Bangladesh và Việt Nam không nhưng có điểm chung là chúng đã xảy ra ở quanh Đông Nam Á.

Cho đến nay không có bằng chứng rằng tin tặc đã theo đuổi các mục tiêu là các ngân hàng châu Âu hoặc ngân hàng Mỹ lớn, mặc dù khả năng các cuộc tấn công mới được báo cáo hằng tuần. Tuần trước, xuất hiện bằng chứng rằng ngân hàng Ecuador là Banco del Austro đã bị hacker thâm nhập và ra các lệnh chuyển tiền bất hợp pháp qua mạng lưới SWIFT. Tin tặc đã chuyển vài triệu đô la tới các tài khoản trên toàn thế giới.

Các nhà nghiên cứu vẫn chưa tìm ra bất kỳ mã nguồn nào được sử dụng trong cuộc tấn công ngân hàng Ecuador nhưng các nhà phân tích nói có lẽ không phải ngẫu nhiên mà các cuộc tấn công ngân hàng đang xảy ra ở thế giới đang phát triển, nơi mà các biện pháp an ninh có xu hướng không chặt như ở các trung tâm tài chính như New York và London.

SWIFT đã phát đi nhiều cảnh báo trong những tuần gần đây, thúc giục các ngân hàng tăng cường các giao thức bảo mật của họ. Các nhà phân tích lo ngại rằng các hành vi tiêu cực này ảnh hưởng xấu tới tài chính toàn cầu; các ngân hàng lớn hơn có thể trở nên do dự hoặc thậm chí từ chối giao dịch với ngân hàng nhỏ hơn ở các nước đang phát triển trừ phi họ có thể có những bảo đảm rằng mạng lưới của mình không bị mã độc hoặc tin tặc thâm nhập.

Tại một cuộc họp hôm thứ Ba ở Brussels, CEO của SWIFT là ông Gottfried Leibbrandt nói rằng các vụ tấn công có thể làm ngành tài chính tổn hại nhiều hơn rất nhiều so với các vụ tấn công vào các công ty điện thoại hoặc bán lẻ. "Các ngân hàng bị thâm nhập như vậy có thể bị loại thải", ông Leibbrandt nói.

Thanh Xuân