Hacker Triều Tiên lấy cắp hàng chục triệu USD từ các máy ATM trên toàn cầu

Hồi đầu tháng 10 vừa qua, Trung tâm ứng cứu máy tính khẩn cấp Hoa Kỳ (US-CERT), Bộ Ngân khố Hoa Kỳ và Cục điều tra Liên bang (FBI) đã đồng loạt đưa ra những cảnh báo về một nhóm tin tặc có tên gọi Hidden Cobra đã sử dụng hình thức tấn công với tên gọi FASTCast để lấy cắp tiền từ các máy rút tiền tự động (ATM) trên toàn cầu.

Lời cảnh báo cho biết nhóm tin tặc này đã hoạt động ít nhất từ năm 2016 cho đến nay và chủ yếu nhắm đến máy ATM của các ngân hàng tại châu Á và châu Phi.

Sau lời cảnh báo được đưa ra, hãng bảo mật Symantec đã thực hiện một cuộc điều tra độc lập và phát hiện thấy Hidden Cobra chính là nhóm tin tặc có tên gọi Lazarus, một nhóm tin tặc được cho là hậu thuẫn bởi chính phủ Triền Tiên và đã thực hiện nhiều “phi vụ” tấn công mạng nổi tiếng trong thời gian qua.

Theo Symantec, với hình thứ tấn công FASTCash, Lazarus có thể rút sạch tiền từ các máy ATM mà các ngân hàng không hay biết. Để thực hiện điều này, Lazarus sẽ tấn công vào hệ thống của các ngân hàng mục tiêu, sau đó chiếm quyền điều khiển máy chủ xử lý chuyển tiền trên máy ATM của ngân hàng.

Sau khi các máy chủ bị xâm phạm, tin tặc sẽ triển khai một loại mã độc có tên gọi Trojan.Fastcast. Loại mã độc này sẽ tạo ra các yêu cầu rút tiền và gửi phản hồi giả mạo phê duyệt những yêu cầu rút tiền này, cho phép tin tặc lấy cắp tiền mặt từ máy ATM.

Theo Symantec, hình thức tấn công tương tự đã từng được triển khai từ năm 2017 giúp tin tặc có thể lấy cắp tiền từ máy ATM tại hơn 30 quốc gia trên toàn cầu. Một vụ tấn công khác cũng diễn ra vào đầu năm nay giúp tin tặc lấy cắp tiền từ máy ATM tại 23 quốc gia. Còn trong vụ việc mới nhất này, Lazarus đã đánh cắp được hàng chục triệu USD từ các máy ATM trên toàn cầu.

Lazarus - Nhóm tin tặc đứng sau loại mã độc nguy hiểm nhất lịch sử WannaCry

Lazarus có thể là cái tên không quá xa lạ trong giới bảo mật khi đây là nhóm tin tặc đã thực hiện nhiều vụ tấn công mạng khiến dư luận chú ý.

Trước đó vào năm 2014, Lazarus được cho là thủ phạm đứng sau vụ tấn công mạng nhằm vào hãng phim Sony Pictures, khi hãng phim này phát hành bộ phim “The Interview” với nội dung châm biếm nhà lãnh đạo Kim Jong Un của Triều Tiên.

Năm 2016, Lazarus cũng đã khiến giới công nghệ phải chú ý đến mình khi được cho là thủ phạm đứng sau vụ tấn công mạng vào Ngân hàng Trung ương Bangladesh để lấy đi số tiền 81 triệu USD.

Lazarus cũng được cho là thủ phạm đứng sau WannaCry, loại mã độc tống tiền nguy hiểm nhất lịch sử, được phát hiện lần đầu tiên vào tháng 5/2017 và lây nhiễm nhanh chóng trên toàn cầu. Đây là loại mã độc khai thác lỗ hổng bảo mật trên Windows để mã hóa dữ liệu trên máy tính và yêu cầu nạn nhân phải trả tiền chuộc để khôi phục lại dữ liệu. WannaCry đã khiến người dùng cá nhân lẫn các doanh nghiệp lớn phải “điêu đứng” vì tốc độ lan truyền nhanh chóng của mình.

Những báo cáo của các hãng nghiên cứu bảo mật chỉ ra rằng Lazarus là nhóm tin tặc do chính phủ Triều Tiên hậu thuẫn, tuy nhiên Triều Tiên đã nhiều lần lên tiếng phủ nhận điều này.

T.Thủy