-
06/07/2013
-
797
-
1.308 bài viết
Carbanak - vụ trộm ngân hàng nổi tiếng
Mã độc Carbanak đã thành công khi xâm nhập và lấy cắp được tiền của ngân hàng. Tuy các chương trình diệt virus hiện đã xử lý được nhưng những malware tương tự vẫn còn rất phức tạp và khó lường.
Từ cuối năm 2013, có vài ngân hàng và viện tài chính bị một nhóm tội phạm mạng tấn công, bằng một phương thức duy nhất. Theo số liệu từ các ngân hàng bị tấn công và các cơ quan hành pháp điều tra vụ việc này, tổn thất cộng lại có thể lên đến 1 tỉ USD. Vấn đề là kiểu tấn công này hiện nay vẫn còn diễn ra.
Cụ thể, hacker sử dụng kỹ thuật được cộng đồng công nghệ gọi là APT (Advanced Persistent Threats), tấn công qua email giả mạo, đính kèm theo email là các tập tin Microsoft Word 97-2003 (.doc) và .CPL (Control Panel Applet). Đồng thời, hacker cũng chuyển hướng nạn nhân để mở các trang web liên quan đến tài chính nhằm đánh cắp thông tin. Một khi máy tính nạn nhân đã bị xâm nhập, một file chứa dòng lệnh sẽ giải mã và chạy một phần mềm "gián điệp" được biết với tên là Carbanak.
Carbanak (ban đầu còn có tên là Carberp) là một phần mềm backdoor có thể điều khiển từ xa, chuyên thâm nhập và lấy cắp dữ liệu, và cho phép kẻ xấu có thể truy cập máy tính bị nhiễm từ xa. Một khi đã vào được máy bị nhiễm, kẻ tấn công có thể truy cập đến mạng nội bộ của máy tính bị nhiễm. Từ đó chúng có thể dùng những công cụ tấn công khác để truy cập những hệ thống quan trọng trong kiến trúc mạng của nạn nhân. Ví dụ như chúng có thể cài những phần mềm hỗ trợ như Ammyy Remote Administration Tool, hoặc thậm chí có thể truy cập được vào các máy chủ SSH. Về sau, những phiên bản malware Carbanak có vẻ như không dùng mã nguồn Carberp nữa.
Để giảm nghi ngờ là malware, Carbanak sử dụng chứng thực số giả trong file footprintcrsgn.dll (trên) và PAExec_Move0.dat (dưới).
Một khi hacker đã lọt được vào hệ thống mạng của nạn nhân thì những đích ngắm chúng hướng đến đầu tiên là các dịch vụ xử lý tiền, như máy ATM (Automated Teller Machines) và các tài khoản tài chính. Có vài trường hợp, kẻ trấn công đã sử dụng mạng SWIFT (Society for Worldwide Interbank Financial Telecommunication) để chuyển tiền vào tài khoản của chúng. Vài trường hợp khác, dữ liệu Oracle bị can thiệp để mở tài khoản thanh toán hoặc tài khoản ghi nợ (debit) ở cùng 1 ngân hàng, hoặc để chuyển tiền giữa các tài khoản với nhau sử dụng cùng hệ thống ngân hàng trực tuyến. Mạng ATM cũng bị tấn công và phải "nhả tiền mặt" từ những máy ATM cụ thể nào đó ở những thời điểm xác định do hacker định sẵn, trong khi đó đã có kẻ đứng sẵn để lấy tiền.
Trong quy trình nhận diện tội phạm, các băng ghi hình hoạt động của nhân viên ngân hàng, cụ thể là các nhà quản trị hệ thống, cũng đã được kiểm tra qua. Những video này cũng được chuyển đến máy chủ quản lý C2 (command and control).
Cần chú ý là kẻ tấn công đã tận dụng các dịch vụ nêu trên bằng cách giả mạo là người dùng hợp pháp, có quyền thực hiện các thao tác tài chính thông thường. Nhưng cho đến nay, chưa có dịch vụ nào nêu trên bị phát hiện là có xâm nhập trái phép.
Tính đến tháng 2/2015, có 30 ngân hàng đã bị tấn công, ít nhất 15 ngân hàng bị tổn thất tài chính, mà nặng nhất là các ngân hàng ở Nga, Mỹ, Đức, Trung Quốc và Ukraine. Tác động của vụ việc này rất lớn. Ví dụ, một ngân hàng bị mất khoảng 7,3 triệu USD qua đường ATM; ngân hàng khác bị mất 10 triệu USD vì lỗ hổng trong nền tảng thanh toán trực tuyến.
Lượng tiền bị mất được chuyển khoản ra khỏi các quốc gia của ngân hàng bị tấn công, đến các tài khoản nước ngoài, thường là ở Mỹ và Trung Quốc. Hơn nữa, vài máy chủ C2 ghi lại trên file log cho thấy có các kết nối đến những hệ thống tại Mỹ. Cũng có những dấu hiệu cho thấy kẻ tấn công đang mở rộng hoạt động ra các vùng khác, như châu Á, Trung Đông, châu Phi và châu Âu.
Phân tích ban đầu
Theo Kaspersky, suốt mùa xuân 2014, hãng bảo mật này đã tiến hành phân tích các máy ATM tự động nhả tiền cho những tài khoản ở gần máy nhưng lại không xuất hiện và tương tác với máy, dựa vào camera quan sát gắn ở ATM. Tuy vậy, Kaspersky không phát hiện máy ATM nào bị nhiễm virus. Nhưng malware Carberp được phát hiện trên một máy tính kết nối với hệ thống ATM thông qua mạng VPN.
Theo dấu điều tra, đến hè 2014, Kaspersky phát hiện thêm một malware cũng giống Carberp liên quan đến 1 ngân hàng, giúp cho kẻ tấn công có thể truy cập được vào các hệ thống ngân hàng trực tuyến. Kaspersky cố gắng phân tích để lần dò nguồn gốc của lây nhiễm này và cho rằng malware xâm nhập qua đường email giả mạo với kỹ thuật tấn công CPL qua file đính kèm.
Cũng có bằng chứng cho rằng hầu hết trường hợp các chuyên gia phát hiện malware này sau khi nó đã xâm nhập vào hệ thống từ 2 đến 4 tháng, và một tổ chức/doanh nghiệp tài chính có đến hàng trăm máy tính bị nhiễm. Kẻ tấn công trong hè 2014 đã truy cập được vào một số hệ thống tối quan trọng, biết được cách sử dụng công cụ nào, hệ thống nào để rút tiền.
Carbanak cũng có chứa một thành phần cho phép kẻ tấn công điều khiển cả video trên hệ thống bị nhiễm. Do đó, những biện pháp theo dõi nhận diện cũng có thể đã bị can thiệp.
Có vài dấu hiệu cho thấy rất có thể Carbanak xuất phát từ Trung Quốc. Những máy chủ C2 ở Trung Quốc đã nhận diện sớm malware này. Ngoài ra, có thông tin đăng ký tên miền khả nghi, có tên người đăng ký là người Trung Quốc. Đích ngắm của email giả mạo là các nhân viên cùng một tổ chức/doanh nghiệp.
Cabanak chiếm được tài khoản email của máy tính bị nhiễm và dùng email đó để gửi file đính kèm cho đồng nghiệp. Nhưng phần lớn nạn nhân lại là các doanh nghiệp tài chính Nga, vì nội dung file đính kèm đa phần ghi tiếng Nga.
Cách tấn công
Một khi đã thâm nhập được vào hệ thống, malware Carbanak liền chạy những tác vụ sau: Tự sao chép vào thư mục "%system32%com" với tên là "svchost.exe", có thuộc tính file là: system, hidden và read-only. Sau khi copy được, file gốc sẽ bị xoá.
Để đảm bảo Carbanak tự chạy trong máy tính đã xâm nhập mà không bị ngăn chặn hay phát hiện, malware này tạo ra một dịch vụ hệ thống (service) mới dựa trên một dịch vụ ngẫu nhiên, đang chạy nào đó. Ví dụ: dịch vụ hiện thời đang chạy trên hệ thống là "aspnet" và tên hiển thị dịch vụ là "Asp.net state service" thì dịch vụ mà malware tạo ra sẽ có tên là "aspnetSys" tên hiển thị sẽ là "Sp.net state service" (bỏ bớt ký tự đầu).
Nhưng trước khi tạo dịch vụ ác ý này, Carbanak sẽ kiểm tra xem có tiến trình avp.exe hay avpui.exe đang chạy hay không. Đây là tiến trình của công cụ quét virus Kaspersky Internet Security. Nếu phát hiện có, Carnabak sẽ cố tấn công vào một lỗ hổng đã được phát hiện, có trong Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 và Windows Server 2012, CVE-2013-3660 để chiếm quyền điều khiển trước.
Tiếp theo, Carbanak tạo một file có tên ngẫu nhiên, nhưng phần mở rộng là .bin trong %COMMON_APPDATA%Mozilla, là nơi nó chứa các lệnh sẽ chạy.
Sau đó, malware chỉnh cấu hình proxy trong registry, ở:
[HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
Và sửa file cấu hình Mozilla Firefox:
%AppData%MozillaFirefoxprefs.js
Hoạt động ngầm
Một khi hệ thống đã bị nhiễm thì Carbanak ghi lại nhật ký bàn phím và chụp ảnh màn hình cứ mỗi 20 giây (bằng cách can thiệp vào lệnh ResumeThread).
Để bật kết nối từ xa qua giao thức Remote Desktop Protocol (RDP), Carbanak chuyển chế độ thực thi dịch vụ Termservice sang chế độ Auto. Cũng vậy, sau khi chạy dịch vụ này xong, nó chỉnh lại mã thực thi trong bộ nhớ để thiết lập tiến trình chạy đồng thời cho người dùng từ xa và người dùng thông thường. Những module này gồm: termsrv.dll, csrsrv.dll, msgina.dll và winlogon.exe.
Nếu Carbanak phát hiện ứng dụng ngân hàng BLIZKO (phần mềm chuyển tiền) trong máy bị nhiễm thì nó sẽ gửi một thông báo đặc biệt đến máy chủ C2 của nó. Malware này cũng nhận diện ứng dụng ngân hàng IFOBS và có thể (không chạy tự động) thay đổi chi tiết tài liệu thanh toán trong hệ thống IFOBS.
Để liên lạc với máy chủ C2 của nó, Carbanak dùng giao thức HTTP với mã hoá RC2+Base64, thêm các ký tự bổ sung không có trong Base64. Nó cũng chèn thêm các chuỗi ký tự với đuôi file khác nhau (.gif, .htm...) ở những vị trí ngẫu nhiên trong request HTTP.
Carbanak gửi dữ liệu giám sát được đến máy chủ C2 của nó, đồng thời nó cũng có thể nhận lệnh từ xa, qua chuỗi hash, tương ứng với từng lệnh cụ thể bằng dòng lệnh.
Kết luận
Có thể nói malware Carbanak đã rất thành công khi xâm nhập và lấy cắp được tiền của ngân hàng trong thời gian qua. Tuy các chương trình diệt virus hiện đã "xử" được malware này nhưng những malware tương tự, dùng kỹ thuật tấn công APT vẫn còn rất phức tạp và khó lường.
Cho dù hiện thời nhiều ngân hàng đã nhận thức rõ và có bài học đau thương về tội phạm mạngnhưng kiểu lừa đảo rất "truyền thống", qua email giả mạo và kiểu tấn công vào những lỗ hổng cũ vẫn còn. Trong trường hợp của Carbanak này, rõ ràng kẻ tấn công hiểu rất rõ các phần mềm dịch vụ tài chính và mạng tài chính, vì nó kiểm tra trên hệ thống xâm nhập được những phần mềm chuyên thực hiện các tác vụ tài chính và can thiệp trực tiếp vào đó.
Từ cuối năm 2013, có vài ngân hàng và viện tài chính bị một nhóm tội phạm mạng tấn công, bằng một phương thức duy nhất. Theo số liệu từ các ngân hàng bị tấn công và các cơ quan hành pháp điều tra vụ việc này, tổn thất cộng lại có thể lên đến 1 tỉ USD. Vấn đề là kiểu tấn công này hiện nay vẫn còn diễn ra.
Cụ thể, hacker sử dụng kỹ thuật được cộng đồng công nghệ gọi là APT (Advanced Persistent Threats), tấn công qua email giả mạo, đính kèm theo email là các tập tin Microsoft Word 97-2003 (.doc) và .CPL (Control Panel Applet). Đồng thời, hacker cũng chuyển hướng nạn nhân để mở các trang web liên quan đến tài chính nhằm đánh cắp thông tin. Một khi máy tính nạn nhân đã bị xâm nhập, một file chứa dòng lệnh sẽ giải mã và chạy một phần mềm "gián điệp" được biết với tên là Carbanak.
Carbanak (ban đầu còn có tên là Carberp) là một phần mềm backdoor có thể điều khiển từ xa, chuyên thâm nhập và lấy cắp dữ liệu, và cho phép kẻ xấu có thể truy cập máy tính bị nhiễm từ xa. Một khi đã vào được máy bị nhiễm, kẻ tấn công có thể truy cập đến mạng nội bộ của máy tính bị nhiễm. Từ đó chúng có thể dùng những công cụ tấn công khác để truy cập những hệ thống quan trọng trong kiến trúc mạng của nạn nhân. Ví dụ như chúng có thể cài những phần mềm hỗ trợ như Ammyy Remote Administration Tool, hoặc thậm chí có thể truy cập được vào các máy chủ SSH. Về sau, những phiên bản malware Carbanak có vẻ như không dùng mã nguồn Carberp nữa.
Để giảm nghi ngờ là malware, Carbanak sử dụng chứng thực số giả trong file footprintcrsgn.dll (trên) và PAExec_Move0.dat (dưới).
Trong quy trình nhận diện tội phạm, các băng ghi hình hoạt động của nhân viên ngân hàng, cụ thể là các nhà quản trị hệ thống, cũng đã được kiểm tra qua. Những video này cũng được chuyển đến máy chủ quản lý C2 (command and control).
Cần chú ý là kẻ tấn công đã tận dụng các dịch vụ nêu trên bằng cách giả mạo là người dùng hợp pháp, có quyền thực hiện các thao tác tài chính thông thường. Nhưng cho đến nay, chưa có dịch vụ nào nêu trên bị phát hiện là có xâm nhập trái phép.
Tính đến tháng 2/2015, có 30 ngân hàng đã bị tấn công, ít nhất 15 ngân hàng bị tổn thất tài chính, mà nặng nhất là các ngân hàng ở Nga, Mỹ, Đức, Trung Quốc và Ukraine. Tác động của vụ việc này rất lớn. Ví dụ, một ngân hàng bị mất khoảng 7,3 triệu USD qua đường ATM; ngân hàng khác bị mất 10 triệu USD vì lỗ hổng trong nền tảng thanh toán trực tuyến.
Lượng tiền bị mất được chuyển khoản ra khỏi các quốc gia của ngân hàng bị tấn công, đến các tài khoản nước ngoài, thường là ở Mỹ và Trung Quốc. Hơn nữa, vài máy chủ C2 ghi lại trên file log cho thấy có các kết nối đến những hệ thống tại Mỹ. Cũng có những dấu hiệu cho thấy kẻ tấn công đang mở rộng hoạt động ra các vùng khác, như châu Á, Trung Đông, châu Phi và châu Âu.
Phân tích ban đầu
Theo Kaspersky, suốt mùa xuân 2014, hãng bảo mật này đã tiến hành phân tích các máy ATM tự động nhả tiền cho những tài khoản ở gần máy nhưng lại không xuất hiện và tương tác với máy, dựa vào camera quan sát gắn ở ATM. Tuy vậy, Kaspersky không phát hiện máy ATM nào bị nhiễm virus. Nhưng malware Carberp được phát hiện trên một máy tính kết nối với hệ thống ATM thông qua mạng VPN.
Theo dấu điều tra, đến hè 2014, Kaspersky phát hiện thêm một malware cũng giống Carberp liên quan đến 1 ngân hàng, giúp cho kẻ tấn công có thể truy cập được vào các hệ thống ngân hàng trực tuyến. Kaspersky cố gắng phân tích để lần dò nguồn gốc của lây nhiễm này và cho rằng malware xâm nhập qua đường email giả mạo với kỹ thuật tấn công CPL qua file đính kèm.
Cũng có bằng chứng cho rằng hầu hết trường hợp các chuyên gia phát hiện malware này sau khi nó đã xâm nhập vào hệ thống từ 2 đến 4 tháng, và một tổ chức/doanh nghiệp tài chính có đến hàng trăm máy tính bị nhiễm. Kẻ tấn công trong hè 2014 đã truy cập được vào một số hệ thống tối quan trọng, biết được cách sử dụng công cụ nào, hệ thống nào để rút tiền.
Carbanak cũng có chứa một thành phần cho phép kẻ tấn công điều khiển cả video trên hệ thống bị nhiễm. Do đó, những biện pháp theo dõi nhận diện cũng có thể đã bị can thiệp.
Có vài dấu hiệu cho thấy rất có thể Carbanak xuất phát từ Trung Quốc. Những máy chủ C2 ở Trung Quốc đã nhận diện sớm malware này. Ngoài ra, có thông tin đăng ký tên miền khả nghi, có tên người đăng ký là người Trung Quốc. Đích ngắm của email giả mạo là các nhân viên cùng một tổ chức/doanh nghiệp.
Cabanak chiếm được tài khoản email của máy tính bị nhiễm và dùng email đó để gửi file đính kèm cho đồng nghiệp. Nhưng phần lớn nạn nhân lại là các doanh nghiệp tài chính Nga, vì nội dung file đính kèm đa phần ghi tiếng Nga.
Cách tấn công
Một khi đã thâm nhập được vào hệ thống, malware Carbanak liền chạy những tác vụ sau: Tự sao chép vào thư mục "%system32%com" với tên là "svchost.exe", có thuộc tính file là: system, hidden và read-only. Sau khi copy được, file gốc sẽ bị xoá.
Để đảm bảo Carbanak tự chạy trong máy tính đã xâm nhập mà không bị ngăn chặn hay phát hiện, malware này tạo ra một dịch vụ hệ thống (service) mới dựa trên một dịch vụ ngẫu nhiên, đang chạy nào đó. Ví dụ: dịch vụ hiện thời đang chạy trên hệ thống là "aspnet" và tên hiển thị dịch vụ là "Asp.net state service" thì dịch vụ mà malware tạo ra sẽ có tên là "aspnetSys" tên hiển thị sẽ là "Sp.net state service" (bỏ bớt ký tự đầu).
Nhưng trước khi tạo dịch vụ ác ý này, Carbanak sẽ kiểm tra xem có tiến trình avp.exe hay avpui.exe đang chạy hay không. Đây là tiến trình của công cụ quét virus Kaspersky Internet Security. Nếu phát hiện có, Carnabak sẽ cố tấn công vào một lỗ hổng đã được phát hiện, có trong Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 và Windows Server 2012, CVE-2013-3660 để chiếm quyền điều khiển trước.
Tiếp theo, Carbanak tạo một file có tên ngẫu nhiên, nhưng phần mở rộng là .bin trong %COMMON_APPDATA%Mozilla, là nơi nó chứa các lệnh sẽ chạy.
Sau đó, malware chỉnh cấu hình proxy trong registry, ở:
[HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
Và sửa file cấu hình Mozilla Firefox:
%AppData%MozillaFirefoxprefs.js
Hoạt động ngầm
Một khi hệ thống đã bị nhiễm thì Carbanak ghi lại nhật ký bàn phím và chụp ảnh màn hình cứ mỗi 20 giây (bằng cách can thiệp vào lệnh ResumeThread).
Để bật kết nối từ xa qua giao thức Remote Desktop Protocol (RDP), Carbanak chuyển chế độ thực thi dịch vụ Termservice sang chế độ Auto. Cũng vậy, sau khi chạy dịch vụ này xong, nó chỉnh lại mã thực thi trong bộ nhớ để thiết lập tiến trình chạy đồng thời cho người dùng từ xa và người dùng thông thường. Những module này gồm: termsrv.dll, csrsrv.dll, msgina.dll và winlogon.exe.
Nếu Carbanak phát hiện ứng dụng ngân hàng BLIZKO (phần mềm chuyển tiền) trong máy bị nhiễm thì nó sẽ gửi một thông báo đặc biệt đến máy chủ C2 của nó. Malware này cũng nhận diện ứng dụng ngân hàng IFOBS và có thể (không chạy tự động) thay đổi chi tiết tài liệu thanh toán trong hệ thống IFOBS.
Để liên lạc với máy chủ C2 của nó, Carbanak dùng giao thức HTTP với mã hoá RC2+Base64, thêm các ký tự bổ sung không có trong Base64. Nó cũng chèn thêm các chuỗi ký tự với đuôi file khác nhau (.gif, .htm...) ở những vị trí ngẫu nhiên trong request HTTP.
Carbanak gửi dữ liệu giám sát được đến máy chủ C2 của nó, đồng thời nó cũng có thể nhận lệnh từ xa, qua chuỗi hash, tương ứng với từng lệnh cụ thể bằng dòng lệnh.
Kết luận
Có thể nói malware Carbanak đã rất thành công khi xâm nhập và lấy cắp được tiền của ngân hàng trong thời gian qua. Tuy các chương trình diệt virus hiện đã "xử" được malware này nhưng những malware tương tự, dùng kỹ thuật tấn công APT vẫn còn rất phức tạp và khó lường.
Cho dù hiện thời nhiều ngân hàng đã nhận thức rõ và có bài học đau thương về tội phạm mạngnhưng kiểu lừa đảo rất "truyền thống", qua email giả mạo và kiểu tấn công vào những lỗ hổng cũ vẫn còn. Trong trường hợp của Carbanak này, rõ ràng kẻ tấn công hiểu rất rõ các phần mềm dịch vụ tài chính và mạng tài chính, vì nó kiểm tra trên hệ thống xâm nhập được những phần mềm chuyên thực hiện các tác vụ tài chính và can thiệp trực tiếp vào đó.
PCWorld