Sự kiện đe dọa ATTT đối với các tổ chức tài chính năm 2019

Vượt qua các hệ thống chống gian lận quy mô lớn: Thị trường dấu vân tay kỹ thuật số Genesis được phát hiện

Trong vài năm qua, tội phạm mạng đã đầu tư rất nhiều vào các phương pháp để vượt qua hệ thống chống gian lận, bởi việc đánh cắp thông tin đăng nhập, mật khẩu là chưa đủ. Giờ đây, đối với thông tin nhận dạng cá nhân, tội phạm mạng cần dấu vân tay kỹ thuật số để vượt qua các hệ thống chống lừa đảo, từ đó có thể rút tiền từ ngân hàng. Trong năm 2019, Hãng bảo mật Kaspersky đã phát hiện một thị trường ngầm khổng lồ có tên Genesis, nơi bán dấu vân tay kỹ thuật số của người dùng ngân hàng trực tuyến trên toàn cầu.

Từ góc độ hệ thống chống gian lận, định danh kỹ thuật số của người dùng là dấu vân tay kỹ thuật số. Đây là sự kết hợp các thuộc tính hệ thống mang tính duy nhất cho mỗi thiết bị và thuộc tính hành vi cá nhân của người dùng. Nó bao gồm 100 thuộc tính được sử dụng để duyệt, như: địa chỉ IP (bên ngoài và cục bộ), thông tin màn hình (độ phân giải màn hình, kích thước cửa sổ), phiên bản firmware, phiên bản hệ điều hành, plug-in trình duyệt được cài đặt, múi giờ, ID thiết bị, thông tin pin, phông chữ.... Phần thứ hai của định danh kỹ thuật số là phân tích hành vi cá nhân của người dùng.

Tội phạm mạng liên tục tìm cách vượt qua các biện pháp bảo vệ chống gian lận. Chúng cố gắng thay thế dấu vân tay thật của hệ thống bằng dấu vân tay giả, hoặc bằng những vân tay hiện có đánh cắp từ máy tính của người khác.

Genesis Store là một thị trường tội phạm mạng trực tuyến riêng tư, chỉ dành cho những người được mời vào để mua bán dấu vân tay kỹ thuật số bị đánh cắp. Tại thời điểm nghiên cứu của Kaspersky, thị trường này đã cung cấp hơn 60 nghìn hồ sơ bị đánh cắp. Các hồ sơ bao gồm dấu vân tay của trình duyệt, thông tin đăng nhập, mật khẩu của người dùng trang web, cookie, thông tin thẻ tín dụng,... Bằng cách tải dấu vân tay này lên trình duyệt Tenebris Linken Sphere, tội phạm mạng có thể giả danh người dùng ngân hàng trực tuyến hợp pháp từ bất kỳ khu vực, quốc gia, tiểu bang, thành phố nào.

Kiểu tấn công này cho thấy, tội phạm mạng có kiến ​​thức chuyên sâu về cách thức hoạt động các hệ thống nội bộ trong ngân hàng và đó là một thách thức thực sự để chống lại các cuộc tấn công này. Do đó, biện pháp tốt nhất là luôn sử dụng xác thực đa yếu tố.

Xác thực đa yếu tố và các thách thức về sinh trắc học

Xác thực đa yếu tố (Multi Factor Authentication - MFA) là một thách thức đối với tội phạm mạng. Khi MFA được sử dụng, họ phải tạo ra các kỹ thuật để vượt qua kỹ thuật này. Các phương pháp phổ biến nhất được sử dụng trong năm 2019 là:

- Khai thác lỗ hổng bảo mật và lỗi trong cấu hình của hệ thống: Ví dụ, tội phạm có thể tìm và khai thác từ xa một số lỗ hổng trong hệ thống ngân hàng để vượt qua mật khẩu một lần;

- Sử dụng kỹ thuật xã hội: một phương pháp phổ biến đối với tội phạm mạng nói tiếng Nga và trong khu vực Châu Á - Thái Bình Dương;

- Trao đổi SIM: phương pháp này đặc biệt phổ biến ở các khu vực như Mỹ La-tinh và Châu Phi. Trên thực tế, mặc dù SMS không còn được coi là phương tiện xác thực 2 yếu tố an toàn, nhưng chi phí vận hành thấp làm cho phương pháp này trở nên phổ biến nhất, được các nhà cung cấp ưu tiên sử dụng.

Về lý thuyết, sinh trắc học cần giải quyết rất nhiều vấn đề liên quan đến xác thực 2 yếu tố, nhưng thực tế đã chỉ ra rằng nó không đơn giản như vậy. Trong năm qua, một số trường hợp đã được xác định cho thấy công nghệ sinh trắc học vẫn chưa hoàn thiện.

Thứ nhất, có khá nhiều vấn đề trong việc triển khai. Ví dụ: Google Pixel 4 không kiểm tra xem mắt bạn có mở trong quá trình mở khóa bằng các đặc điểm khuôn mặt hay không. Một ví dụ khác là khả năng vượt qua xác thực dấu vân tay bằng cảm biến dưới màn hình trên điện thoại thông minh kể cả các thương hiệu nổi tiếng như Samsung.

Có một kỹ thuật đã được khai thác tại khu vực Mỹ La-tinh là tấn công bắt hình ảnh. Tội phạm mạng đã cài đặt các camera quan sát lừa đảo và sử dụng chúng để ghi lại mã PIN mà mọi người sử dụng để mở khóa điện thoại của họ. Một kỹ thuật đơn giản này vẫn rất hiệu quả đối với cả hai kiểu nạn nhân: những người sử dụng sinh trắc học và những người thích mã PIN để lấy dấu vân tay hoặc nhận dạng khuôn mặt. Đối với những người sử dụng sinh trắc học, khi thiết bị hay ngón tay bị bụi bẩn hoặc dính dầu mỡ, thì cách tốt nhất để mở khóa điện thoại là sử dụng mã PIN.

Thứ hai, cơ sở dữ liệu sinh trắc học có thể bị rò rỉ. Nổi tiếng nhất là vụ rò rỉ cơ sở dữ liệu Biostar 2, làm thất thoát dữ liệu sinh trắc học của hơn 1 triệu người dùng. Công ty này đã lưu trữ dữ liệu không được mã hóa, bao gồm: tên, mật khẩu, địa chỉ nhà, địa chỉ email và quan trọng nhất là dữ liệu sinh trắc học không được mã hóa (bao gồm: dấu vân tay, các mẫu nhận dạng khuôn mặt, hình ảnh thực tế của khuôn mặt). Một vụ rò rỉ tương tự đã xảy ra tại một nhà thầu của Cơ quan Hải quan và Biên phòng Hoa Kỳ, nơi thông tin sinh trắc học của hơn 100.000 người đã bị rò rỉ.

Đã có một số cuộc tấn công sử dụng dữ liệu sinh trắc học để vượt qua kiểm soát bảo mật. Những cuộc tấn công đó có thể không thành công đối với các hệ thống đã được cập nhật. Mặt khác, với những rò rỉ sinh trắc học, việc cập nhật sẽ không hiệu quả vì dữ liệu sinh trắc học mãi mãi không thể thay đổi đối với người dùng.

Với các trường hợp được đề cập ở trên, kết hợp với việc nghiên cứu nâng cao của tội phạm mạng nhằm có được dấu vân tay kỹ thuật số hoàn chỉnh của người dùng để vượt qua các hệ thống chống gian lận, cho thấy rằng chỉ dựa vào dữ liệu sinh trắc học sẽ không giải quyết được các vấn đề hiện tại. Việc triển khai ngày nay cần rất nhiều nỗ lực và nghiên cứu để khiến xác thực đa yếu tố thực sự an toàn.

Nhắm mục tiêu vào các tổ chức tài chính: Sự chia tách và toàn cầu hóa

Năm 2018, Europol và Bộ Tư pháp Hoa Kỳ tuyên bố bắt giữ thủ lĩnh nhóm tội phạm mạng FIN7 và Carbanak/CobaltGoblin. Một số người cho rằng, vụ bắt giữ sẽ có tác động đến hoạt động của nhóm, nhưng điều này không đúng với trường hợp này. Trên thực tế, số lượng các nhóm hoạt động dưới sự bảo trợ của CobaltGoblin và FIN7 đã tăng lên: một số nhóm được liên hệ với nhau với các bộ công cụ rất giống nhau và cùng một cơ sở hạ tầng để thực hiện các cuộc tấn công mạng.

Hoạt động đầu tiên dưới cái mạng lưới này là nhóm FIN7 khét tiếng, hiện chuyên tấn công các công ty khác nhau để có quyền truy cập vào dữ liệu tài chính hoặc cơ sở hạ tầng điểm truy cập (PoS). Nhóm này dựa vào cửa hậu Griffon JScript và Cobalt/Meterpreter và trong các cuộc tấn công gần đây là PowerShell Empire.

Tổ chức thứ hai là CobaltGoblin/Carbanak EmpireMonkey, cùng sử dụng bộ công cụ, kỹ thuật và cơ sở hạ tầng tương tự, nhưng chỉ nhắm mục tiêu đến các tổ chức tài chính, các nhà cung cấp phần mềm và dịch vụ liên quan.

Nhóm cuối cùng là nhóm CopyPaste mới được phát hiện gần đây, nhắm mục tiêu vào các tổ chức tài chính và công ty ở một quốc gia châu Phi. Điều này khiến Kaspersky tin rằng nhóm này được liên kết với tin tặc thuê ngoài hoặc một trung tâm đào tạo. Các liên hệ giữa CopyPaste và FIN7 vẫn còn chưa rõ ràng. Có thể nhóm này bị ảnh hưởng bởi các công cụ nguồn mở và thực sự không có bất kỳ mối quan hệ nào với nhóm FIN7.

Tất cả các nhóm này được hưởng lợi rất nhiều từ các hệ thống chưa được cập nhật bản vá trong môi trường doanh nghiệp và tiếp tục sử dụng các chiến dịch lừa đảo hiệu quả kết hợp với các khai thác lỗ hổng bảo mật của Microsoft Office. Cho đến nay, các nhóm này chưa sử dụng bất kỳ lỗ hổng zero-day nào. Các tài liệu về tấn công của FIN7/Cobalt có vẻ là cơ bản, nhưng khi kết hợp với kỹ thuật xã hội mở rộng và nhắm mục tiêu tập trung, nhóm này đã chứng tỏ sự thành công từ các chiến dịch tấn công.

Vào giữa năm 2019, hoạt động của nhóm FIN7 rơi vào trạng thái "im lặng", nhưng đã trở lại vào cuối năm với các cuộc tấn công và các công cụ mới. Kasperksy nghi ngờ rằng, thời gian im lặng được liên hệ với việc đóng cửa cơ sở hạ tầng của nhóm, xảy ra sau khi đóng cửa một công ty lưu trữ chống đạn ở Đông Âu.

Sử dụng mã độc tấn công ATM

Khi nói đến mã độc tấn công ATM, Kaspersky đã phát hiện ra một số chủng loại hoàn toàn mới vào năm 2019. Trong đó, đáng chú ý nhất là ATMJadi và ATMDtrack.

ATMJadi là một mã độc khá đặc biệt, vì nó không sử dụng các thư viện XFS, JXFS hoặc CSC tiêu chuẩn. Thay vào đó, nó sử dụng các lớp thuộc tính Java phần mềm ATM của ngân hàng nạn nhân: có nghĩa là mã độc sẽ chỉ hoạt động trên một tập hợp nhỏ các ATM. Mã độc này được nhắm tới các mục tiêu định trước là một ngân hàng cụ thể nào đó.

Mã độc này có thể liên hệ đến mã độc FASTCach năm 2018, khi tội phạm mạng nhắm vào các máy chủ chạy hệ điều hành AIX. Với việc giảm số lượng, có thể nói rằng mã độc tấn công ATM được phát triển ít loại nhưng với mục tiêu cụ thể hơn.

Một mã độc khác có tên là ATMDtrack, lần đầu tiên được phát hiện tại các tổ chức tài chính ở Ấn Độ và được lập trình để rút tiền từ ATM. Sử dụng công cụ Kaspersky Targeted Attack Attribution Engine, Kaspersky có thể liên hệ các cuộc tấn công này với nhóm Lazarus được dự đoán từ năm 2018 rằng sẽ có thêm các cuộc tấn công do chính phủ tài trợ chống lại các tổ chức tài chính. Hơn nữa, phần mềm gián điệp tương tự đã được tìm thấy trong các trung tâm nghiên cứu sử dụng giống các công cụ để đánh cắp kết quả nghiên cứu từ các viện khoa học của nhóm Lazarus APT.

Thông tin thẻ bị lấy cắp và tái sử dụng

Trong năm 2019, Kasperksy đã quan sát được rất nhiều mã độc nhắm mục tiêu người dùng cuối và doanh nghiệp để tìm kiếm dữ liệu thẻ tín dụng. Đặc biệt, một vài chủng mã độc đã chiến đấu với nhau để duy trì quyền kiểm soát các thiết bị bị lây nhiễm tại Brazil. Mã độc HydraPOS và ShieldPOS đã hoạt động rất tích cực trong năm 2019, với các phiên bản mới và mục tiêu mới. Trong khi đó, mã độc Prilex đã giảm các hoạt động trong nửa cuối năm 2019.

Mã độc ShieldPOS đã hoạt động từ 2017. Từ một mã độc thông thường, nó đã phát triển thành mã độc như một dịch vụ (MaaS). Thực tế này cho thấy, có sự quan tâm rất lớn từ tội phạm mạng Mỹ La-tinh trong việc kinh doanh từ mục tiêu đánh cắp thẻ tín dụng. Mã độc HydraPOS chủ yếu tập trung vào việc đánh cắp tiền từ các hệ thống POS trong nhà hàng, máy đánh bạc và các cửa hàng bán lẻ khác nhau.

Dự báo các mối đe dọa về an toàn mạng đối với các tổ chức tài chính năm 2020

Tấn công chống lại tiền điện tử Libra và TON/Gram

Sự ra mắt thành công của các loại tiền điện tử như Libra và Gram có thể mang tới việc sử dụng rộng rãi trên toàn thế giới. Điều này đương nhiên sẽ thu hút sự chú ý của bọn tội phạm. Với sự gia tăng nghiêm trọng các hoạt động tội phạm mạng trong sự tăng trưởng nhanh chóng của Bitcoin và altcoin vào năm 2018, Kaspersky dự đoán rằng một tình huống tương tự rất có thể sẽ xảy ra với Gram và Libra. Những người hoạt động trong thị trường này cần đặc biệt cẩn thận, vì có một số nhóm tấn công APT như WildNeutron và Lazarus, có mối quan tâm đặc biệt đến tiền điện tử. Họ rất có khả năng sẽ cố gắng khai thác các loại tiền điện tử này.

Bán lại quyền truy cập ngân hàng

Trong năm 2019, xuất hiện việc các nhóm chuyên tấn công nhắm mục tiêu vào các tổ chức tài chính sẽ tấn công sau khi các nhóm khác đã bán quyền truy cập máy tính từ xa (rdp/vnc), như nhóm FXMSP và TA505. Việc mua bán quyền truy cập này được căn cứ vào các diễn đàn ngầm và công cụ giám sát trò chuyện.

Vào năm 2020, hãng Kaspersky đã dự đoán có sự gia tăng hoạt động của các nhóm chuyên bán quyền truy cập mạng ở khu vực châu Phi và châu Á, cũng như ở Đông Âu. Mục tiêu hàng đầu của họ là các ngân hàng nhỏ, cũng như các tổ chức tài chính gần đây được mua bởi các tổ chức lớn hơn đang xây dựng lại hệ thống an ninh mạng theo tiêu chuẩn của các công ty mẹ.

Mã độc tống tiền tấn công ngân hàng

Như đã đề cập ở trên, các tổ chức tài chính nhỏ thường trở thành nạn nhân của tội phạm mạng. Nếu tội phạm mạng không thể bán lại quyền truy cập, hoặc thậm chí nếu chúng có khả năng rút tiền không lớn, thì cách kiếm tiền hợp lý nhất của việc chiếm quyền truy cập đó là sử dụng mã độc tống tiền. Các ngân hàng đánh giá là có khả năng chấp nhận trả tiền chuộc hơn là để mất dữ liệu. Do đó, Kasperksy dự đoán số vụ tấn công mã độc tống tiền nhắm mục tiêu sẽ tiếp tục tăng vào năm 2020.

Sự trở lại của công cụ tùy chỉnh

Các biện pháp được thực hiện bởi các sản phẩm chống mã độc nhằm phát hiện các công cụ nguồn mở được sử dụng cho mục đích xâm nhập và việc áp dụng các công nghệ bảo mật mạng mới nhất đã trở nên hiệu quả. Điều này sẽ khiến tội phạm mạng quay trở lại công cụ tùy chỉnh vào năm 2020, cũng như đầu tư vào Trojan và các phương pháp khai thác mới.

Mở rộng Trojan di động nhắm vào ngân hàng

Nghiên cứu và giám sát của Kasperksy trên các diễn đàn ngầm cho thấy, mã nguồn của một số Trojan di động nhắm vào ngân hàng đã bị rò rỉ công khai. Với sự phổ biến của các Trojan như vậy, hãng dự đoán khi mã nguồn của mã độc ZeuS và SpyEye Trojan bị rò rỉ, thì số tấn công sử dụng loại Trojan này sẽ tăng lên và phạm vi địa lý của các cuộc tấn công sẽ mở rộng ra tới hầu hết mọi quốc gia trên thế giới.

Nhắm mục tiêu vào các ứng dụng di động

Các ứng dụng trên di động đang trở nên phổ biến hơn đối với người dùng trên toàn cầu. Xu hướng này sẽ khiến tội phạm mạng không thể bỏ qua vào năm 2020. Với sự phổ biến của một số công ty Fintech và sàn giao dịch (cả tiền thật và tiền ảo), tội phạm mạng sẽ nhận ra rằng không phải tất cả các công ty và sàn giao dịch đều sẵn sàng đối phó với các cuộc tấn công mạng lớn, vì một số ứng dụng vẫn còn thiếu các biện pháp bảo vệ cơ bản cho tài khoản khách hàng và không cung cấp xác thực hai yếu tố hay sử dụng chứng chỉ để bảo vệ truyền tải dữ liệu trên ứng dụng. Một số chính phủ đang gỡ bỏ quy định cấm kinh doanh trong lĩnh vực này và những nhà đầu tư mới đang xuất hiện thêm mỗi ngày, khiến chúng trở nên phổ biến rất nhanh. Thực tế đã cho thấy, nhiều nỗ lực của tội phạm mạng để thay thế giao diện của các ứng dụng này bằng các phiên bản độc hại.

Bất ổn chính trị dẫn đến phát triển tội phạm mạng ở các khu vực cụ thể

Một số quốc gia đang trải qua biến động chính trị và xã hội, dẫn đến hàng loạt người tìm kiếm tị nạn ở các quốc gia khác. Những làn sóng nhập cư này bao gồm tất cả các loại người, bao gồm cả tội phạm mạng. Hiện tượng này sẽ dẫn đến sự phát triển của các cuộc tấn công địa phương tại các quốc gia mà trước đây không bị ảnh hưởng.