Saconbank đã bị hacker tấn công lấy 1 triệu USD như thế nào?
Như tin đã đưa, đêm hôm qua rạng sáng nay, hệ thống thanh toán trực tuyến của Ngân hàng Sài gòn Thương tím - SaconBank (SCB) đã bị hacker chiếm quyền điều khiển, tấn công và lấy đi số tiền trị giá 1 triệu USD. Ngay sau khi sự cố xảy ra, các cơ quan chức năng đã tích cực phối hợp điều tra nhằm sớm xác định thủ phạm. Tuy chưa công bố kết quả chính thức, nhưng thông tin nội bộ cho thấy: Quá trình tấn công sơ bộ diễn ra như sau...Chim mồiNgày 12-8, trong quá trình kiểm tra nhật ký các máy chủ, quản trị viên của SCB vô tình phát hiện 1 cuộc kết nối từ bên ngoài vào qua con đường chat hết sức phức tạp. Dù chỉ là 1 cuộc chat chit bình thường, nhưng bạn chat của nhân viên SCB sử dụng những công nghệ tinh vi nhất về mạng máy tính nhằm tìm kiếm một điều gì đó mà quản trị viên vẫn chưa rõ? Ngay lập tức, máy tính của nhân viên SCB kia bị đưa vào tình trạng theo dõi.Ngày 13-8, toàn bộ nội dung chat của nhân viên SCB kia (tạm gọi là nhân viên X) được chuyển hướng về 1 máy chủ an toàn của SCB và tự động ghi lại tất cả dưới dạng plain text. Quá trình sử dụng thuật toán để dò tìm những nội dung nhạy cảm cho thấy: đây là một cuộc chat hoàn toàn thông thường. Có vẻ như nhân viên X và bạn chat vừa mới quen nhau. Mọi chuyện vẫn được "treo" ở mức an ninh số 2.Ngày 19-8, qua đúng 1 tuần không phát hiện được gì thêm, các chính sách hệ thống (group policy) được áp dụng cho nhân viên X bị gỡ bỏ theo quy định của SCB. Tuy nhiên, lúc này một số server và router của SCB lại liên tục ghi nhận các cuộc càn quét dải cổng từ 5000 đến 5100 (dùng cho chat) và 1 loạt các gói tin broadcast ra toàn mạng nội bộ. Có vẻ như có kẻ nào đó, đang muốn "dựng" lại sơ đồ hệ thống mạng của SCB.Ngày 20-8, chính sách hệ thống (GP) lại được tái áp dụng cho nhân viên X. Kết quả cho thấy, hacker đúng là có nhằm vào máy tính của nhân viên X. Nhưng không làm gì, ngoài mục đích trêu đùa và "quảng cáo" trình độ IT của bản thân. Nội dung cuộc chat cho thấy, họ thẳng thắn trao đổi về vấn đề này và thậm chí còn thách đố nhau nữa. Các câu lệnh hoàn toàn tường minh và đều không gây nguy hiểm...Hacker giăng bẫy23-8, Phòng IT của SCB quyết định hủy các "chính sách hệ thống" áp dụng cho máy tính của nhân viên X, đồng thời cũng không theo dõi các bản ghi log về tình trạng kết nối của nhân viên này nữa. Tuy nhiên, có 1 quản trị viên trong quá trình thử kết nối ngược lại với anh chàng kia để kiểm tra đã phát hiện 1 chi tiết quan trọng: Anh ta sử dụng NAT liên tục để che dấu nguồn gốc của mình. Sau 2 lần NAT ngược qua proxy server của VDC và 1 lần NAT qua Viettel thì anh ta mất dấu. Rất tiếc là chi tiết này đã không được admin của SCB báo cáo và lưu ý.24-8, hacker vẫn miệt mài send các request tới máy của nhân viên X. Ít ai ngờ được rằng, câu lệnh tracert mà hacker sử dụng... không nhằm mục địch "dựng" lại sơ đồ mạng của SCB mà nhằm phát hiện: Khi nào thì nhân viên X sử dụng laptop cá nhân? Tại sao lại như vậy? Là bởi vì chính sách bảo mật của 1 laptop thì sơ sài, đơn giản và kém hơn rất nhiều so với 1 máy tính nằm trong 1 mạng LAN có bộ phận IT.25-8, sau 1 hồi IN – OUT liên tục trên Yahoo và ngắt kết nối giả tạo, hacker đã dụ được nhân viên X sử dụng một đường truyền khác để chat. Hắn nhanh chóng xác định, X đang dùng wifi qua 1 kết nối ADSL công cộng của FPT. Không những vậy, hắn còn dụ được nạn nhân truy cập vào 1 cái bẫy (1 đường link giả trên Internet), qua đó thu thập được phiên bản hệ điều hành và trình duyệt của X.Mọi thứ quả là như trong mơ! Nhân viên X vẫn sử dụng Windows và Internet Explore với cả 1 đống lỗ hổng an ninh chưa hề được patch. Và quả là chẳng khó khăn gì, hắn sử dụng tool thích hợp, chèn thêm 1 user có quyền cao nhất (admin) lên máy nạn nhân. Sau đó là tuồn vào hàng đống phần mềm mà mã nguồn đã được chỉnh sửa đôi chút với hành vi chỉ nhắm vào SCB – hầu qua mặt tất cả các trình AV và diệt spy, keylog hiện nay. Trước khi out, hắn không quên xóa đi tài khoản quản trị vừa tạo – đằng nào thì tạo lại cũng chỉ mất 1 câu lệnh command!Dính chưởng04-9, sau 10 ngày liên tục tỏ vẻ rất bình thường với những câu chuyện không đâu vào đâu. Hacker thử kích hoạt 1 phần mềm nói trên bằng cách dụ nhân viên X click vào 1 đường link trên cửa sổ Yahoo Messenger. Không có phản hồi !!! Hoặc là AV của SCB quá tốt, hoặc là firewall của SCB quá mạnh! Hacker tạm nghỉ, hầu tìm thêm con đường khác. Trước khi rút lui, hắn không quên nói thẳng vài câu giống như đùa cợt về hành vi vừa rồi. Một hành động hết sức khôn ngoan hòng đánh lừa admin SCB khi kiểm tra bản log (nếu có). Kiểu như đi thẳng vào nhà và nói rằng: Tôi đến để ăn trộm đây (sau khi tìm cách ăn trộm không thành).06-9, đang ăn trưa hắn bật ra 1 ý nghĩ: không phải nhân viên X ngày nào cũng dùng laptop như mình. Có thể cô ấy chưa hề mang laptop trở lại và kết nối vào SCB. Ngay lập tức, hắn online và nói có chuyện cực kỳ quan trọng muốn nói. Câu chuyện cứ chập chà chập chờn lúc được lúc mất vì hắn cố tình như vậy. Lại dở chiêu bài cũ... Cuối cùng thì cũng toại nguyện: nhân viên X đã dùng đến laptop và kết nối vào LAN của SCB.Như đã được lập trình trước, một loạt phần mềm gián điệp, virus, spy, trojan, keylog được chỉ định "leo" lên và nằm im mai phục trên ổ cứng PC của X tại văn phòng. Giai đoạn 1 coi như thành công tốt đẹp! Thử kích hoạt 1 chú. Kết quả mỹ mãn! Sau 20 phút "chạy thử" mà không bị phát hiện, hacker quyết định "tắt nó đi" và lên kế hoạch bước 2.Càn quétVậy là coi như đã có nội gián bên trong. Kết hợp với 1 loạt câu lệnh được ngụy trang hết sức an toàn để vượt qua tường lửa. Hacker tiến hành khởi tạo 1 tài khoản cục bộ trên máy PC trong văn phòng nạn nhân (PC thuộc domain của SCB). Kết quả quá khiêm tốn. Một tài khoản với quyền hạn cực kỳ hạn chế được tạo ra! Hic... Tuy nhiên, không vào hang cọp sao bắt được cọp! Hắn hì hụi tấn công leo thang đặc quyền để nâng quyền cho chính tài khoản vừa tạo. Cuối cùng thì cũng xong nhưng đúng lúc đó thì nạn nhân hết giờ làm việc. Thậm chí, hắn còn suýt thì không kịp xóa tài khoản đó đi !!!22-9, hôm nay nhân viên X ở lại làm ngoài giờ. Thật là cơ hội vài năm có một, khi mà tự do "lang thang" trong hệ thống lúc quản trị viên của SCB đã nghỉ ! Kích hoạt keylog, rồi khởi động lại PC của nạn nhân từ xa. Chỉ chưa đầy 2 phút sau, hắn đã có username và password truy cập vào domain của tài khoản mang tên X. Lặp lại các thao tác đã rất thành thục, hacker tạo tài khoản trên máy nạn nhân, nâng quyền lên thành admin cục bộ và bắt đầu càn quét.Vừa sử dụng tài khoản local, vừa sử dụng tài khoản domain, hắn bắt đầu lang thang khắp nơi. Phải nói chính sách phân quyền (miền, vùng, OU, nhóm,..) của SCB khá là lỏng lẻo – hậu quả của sự thiết lập kế thừa chồng chéo quá phức tạp. Nhiều máy tính không cho truy cập vào thư mục gốc nhưng lại cho truy cập vào các thư mục con. Vì vậy, chỉ cần gõ thêm vài cái đuôi kiểu: \Windows, \System, \Programs Files, \Documents and Setting và vào bên trong được!Sau một hồi càn quét, hacker đã có trong tay thêm 1 cơ số tài khoản thuộc domain. Và một điều cực kỳ bất ngờ xảy ra: Trên một PC có vẻ như của một admin thiếu kinh nghiệm, hacker đã tìm thấy 1 file script dùng để khởi tạo hàng loạt tài khoản người dùng. Như vậy, chắc chắn sẽ có 1 file TXT hoặc XLS chứa thông tin về các tài khoản này!Tiếp tục mò mẫm trong bóng tối, cuối cùng hacker cũng tìm thấy 1 cái file như thế! Rất hớ hênh! Download toàn bộ những file trong thư mục D:\Tuan** về máy của mình, hacker mở lần lượt xem và... Woa... Không thể tin vào mắt mắt: hàng trăm tài khoản domain của SCB vẫn còn nguyên password mặc định – Trong đó có cả tài khoản của nhân viên X kia!Thử nghiệm & ra đòn...30-9, thử nghiệm lần đầu với các tài khoản tìm được. Qua hơn 60 tài khoản, tất cả vẫn access denied! Có vẻ chính sách về password của SCB quá đơn giản nên không có quy tắc nào mà lần mò ra được! Hãy suy nghĩ xem nào: Ai là người lười đổi password nhất? Lãnh đạo! Đúng, các sếp cực kỳ chủ quan trong cái việc đổi mật khẩu này.Dò ngược lại danh sách hôm trước, lọc ra các user từ Trưởng phòng trở lên. Lại tiếp tục thử. Eureka... Tài khoản của 1 sếp Phó chủ tịch Hội đồng Quản trị đã được chấp nhận! Vừng ơi, mở cửa ra! Vậy là kết quả đến đây thành công gần như mỹ mãn. Trong đó có phần đóng góp không nhỏ của 2 nhân viên SCB: nhân viên X và quản trị viên tên Tuấn** kia.12-10, đường hoàng đăng nhập từ cửa chính của SCB, hacker (lúc này trong "vai" vị Phó chủ tịch kia) thực hiện 1 loạt các giao dịch trực tuyến với các đối tác nước ngoài. Hàng loạt các yêu cầu chuyển tiền được gửi đi từ Hội sở làm hệ thống giám sát của SCB lúng túng. Tuy nhiên, các giao dịch này rất nhỏ, chỉ 1 vài chục đến gần trăm ngàn đô lại dưới tên Phó chủ tịch HĐQT nên hầu như không ai có thắc mắc hay biện pháp ngăn chặn gì...... Trở về hiện tạiNow!Các chuyên gia của Bộ công an (C15), VNCERT, BKIS, VNS,.. đang miệt mài làm việc, tranh thủ từng phút để định danh hacker và lần theo dấu vết số tiền đã chuyển ra nước ngoài. Các khoản thanh toán kia thì gần như tuyệt vọng vì nó đã được chuyển rất lòng vòng qua nhiều ngân hàng và nó quá nhỏ để được các ngân hàng quốc tế lưu tâm.Các bản ghi trong cơ sở dữ liệu của SCB cho thấy, hacker tiến hành tấn công bằng tài khoản của Phó chủ tịch HĐQT. Dĩ nhiên, dễ dàng chứng minh ông này không phải là người trực tiếp thực hiện vì thời điểm đó ông đang chủ trì một cuộc họp triển khai kế hoạch với sự chứng kiến của hơn 40 người. Tuy nhiên, các dấu vết khác cho thấy, cứ 5 phút địa chỉ IP của hacker lại thay đổi 1 lần!Rõ ràng hắn đã sử dụng phần mềm thay đổi IP. Với tốc độ nhanh chóng và độ rủi ro thấp như vậy, có thể nói chính xác hắn đã dùng phần mềm Hide IP Platium phiên bản mới nhất. Cảnh sát Việt Nam phối hợp với Interpol nhanh chóng có câu trả lời: Trong 1 tháng qua, chỉ có 2 trường hợp đặt mua Hide IP Platium từ Việt Nam. Đồng thời, 2 IP đã đặt mua phần mềm đó cũng nhanh chóng nằm trên bàn của các điều tra viên đầy kinh nghiệm.Lần tìm theo địa chỉ IP thứ nhất, rà soát lại bản ghi cấp phát IP từ DHCP server của Viettel, chỉ chưa đầy 1h30' sau cảnh sát đã lần ra 1 cậu sinh viên chuyên ngành CNTT đang học tại TP Hồ Chí Minh. Khám xét khẩn cấp cộng với lấy khẩu cung, cảnh sát kết luận: Sinh viên này chỉ mua phần mềm đó nhằm mục đích học tập và nghiên cứu.Địa chỉ IP thứ 2 dẫn đến Hà Nội. Tra cứu lịch sử cấp phát IP, địa chỉ đó dẫn đến proxy server VNN-HN01 của VDC, sau đó NAT tiếp qua VNN-HN05, rồi chuyển qua đường GPRS kết nối di động sử dụng 10 line đồng thời, có thiết bị cân bằng tải, của Viettel đặt tại quận Ba Đình. Tiếp tục cô lập 10 SIM di động kia, kích hoạt tính năng định vị, phát hiện chúng cùng nằm ngay gần Trung tâm Hội nghị Quốc Gia. Khi cảnh sát ập đến và khám xét thì phát hiện tại đó chỉ có 10 máy di động rẻ tiền và đúng 1 PC + 1 router không dây băng rộng!Xung quanh khu vực đó là hàng trăm văn phòng, công sở, khu dân cư. Có thể nói hacker đã rất khôn ngoan và tính toán kỹ càng. Việc đưa thiết bị kia về cơ quan điều tra để tiến hành phân tích và nghiên cứu sẽ tốn rất nhiều thời gian mà kết quả thì gần như vô ích. Hiện tại, hệ thống mạng nội bộ của SCB đã được hạ xuống offline và đang được tiến hành rà soát toàn bộ một cách hết sức kỹ càng.Theo tin chúng tôi mới nhận được, nhân viên X bị nghi ngờ có tham gia vào quá trình tấn công này. Hiện, cô đang bị tạm giữ để thẩm vấn vì có tin: cô đã đặt 1 vé máy bay đi Hongkong trong khi lịch công tác của cô chỉ đến Hà Nội. Chúng tôi sẽ tiếp tục cung cấp đến quý vị những tin tức mới nhất của quá trình điều tra. Có thể nói, đây là vụ án li kỳ và thiệt hại lớn nhất trong lĩnh vực này ở Việt Nam từ trước đến nay...
Còn tiếp...
Không có nhận xét nào:
Đăng nhận xét