Nga triệt phá băng hacker trộm tiền ngân hàng

• Hacker đánh bại công nghệ nhận diện mống mắt của điện thoại Samsung S8
• Cảnh báo về các lỗ hổng mới dễ bị hacker xâm nhập
• “Vạch mặt” các chiêu thức chiếm đoạt tài khoản ngân hàng của hacker

Đây là cuộc điều tra có quy mô lớn. Chi tiết về việc bắt giữ vừa được Cảnh sát Nga công bố. Theo đó, có đến 16 nghi phạm tại 6 khu vực khác nhau của Nga bị bắt giữ vào trung tuần tháng 11-2016 và tháng 4-2017. 

Trong quá trình điều tra, phía cảnh sát cũng đã nhận được sự giúp đỡ tích cực của Công ty an ninh mạng Group-IB.

“Khởi nghiệp” từ giữa năm 2015

Nhóm mã độc Cron được phát hiện lần đầu tiên vào giữa năm 2015, khi chúng được phát tán trên các ứng dụng ngân hàng giả mạo. Các hacker đã viết ứng dụng giả theo ứng dụng gốc của các ngân hàng và cài mã độc Cron cùng với nó. Chúng cũng cài mã độc này vào các ứng dụng giả của các trang web có tiếng khác như Navitel, Framaroot, Pornhub, Avito...

Khi người dùng tải về hoặc cài đặt các ứng dụng này trên điện thoại của họ cũng đồng nghĩa với việc bị đánh cắp tất cả các thông tin cá nhân và cho phép bọn tội phạm tiếp quản luôn tài khoản ngân hàng của mình.

Phần mềm độc hại Cron cho phép những kẻ lừa đảo tiếp quản tài khoản ngân hàng trên điện thoại di động của người dùng, và đánh cắp một khoản tiền nhỏ độ 120USD thông qua mỗi lệnh chuyển tiền bằng tin nhắn.

Hiện tại, nhóm tội phạm này mới chỉ phát tán mã độc nhắm vào lượng khách hàng tại các ngân hàng của Nga. Việc phát tán mã độc của nhóm tội phạm công nghệ này đã bị Công ty an ninh mạng Group-IB và Cảnh sát Nga theo dõi, mở cuộc điều tra quy mô lớn.

Chiêu mộ trên các diễn đàn ngầm

Ngày 1-4-2016, nhóm tội phạm đã đăng một quảng cáo trên diễn đàn nói tiếng Nga quảng bá cho ngân hàng của chúng. Sai lầm chết người của chúng là đây, nhưng đó lại chính là đầu mối khiến các chuyên gia của Group-IB nghi ngờ chủ nhân của mẩu quảng cáo có thể là kẻ chủ mưu việc phát tán mã độc Cron. Theo Group-IB, mục đích của quảng cáo là tìm mạng lưới cộng tác viên để mở rộng mạng lưới “kinh doanh”.

Sau khi “thành công” trong việc lấy tiền của các khách hàng thuộc các ngân hàng Nga, nhóm tội phạm này quyết định mở rộng hoạt động ở các nước khác bằng cách thuê mã độc được thiết kế để tấn công các hệ thống ngân hàng di động có tên “Tiny.z” với giá 2.000 USD/tháng trên các diễn đàn ngầm. Mã độc “Tiny.z” có khả năng tấn công khách hàng của các ngân hàng tại Anh, Đức, Pháp, Mỹ, Thổ Nhĩ Kỳ và các nước khác.

Đứng sau phần mềm độc hại Ponyforx

Tháng 9-2016, nhà nghiên cứu về an ninh mạng người Pháp Kafeine đã phát hiện ra một mẩu quảng cáo từ nhóm tội phạm sử dụng mã độc Cron, chính là mã độc Ponyforx. Mã độc này nhắm vào hệ điều hành Windows, dựa trên mã độc Pony rất phổ biến. Tuy nhiên, nhóm tội phạm không có thời gian phát tán mã độc này, bởi chỉ 2 tháng sau đó, nhóm an ninh mạng Group-IB đã hỗ trợ Cảnh sát Nga theo dõi và bắt giữ.

Tổng cộng có 16 nghi phạm bị bắt giữ, trong đó có thủ lĩnh băng đảng 30 tuổi, sống tại thành phố Ivanovo cách thủ đô Moscow 300km. Từ đây, hắn điều hành một nhóm 20 người tại 6 khu vực khác nhau. Cảnh sát đã tịch thu máy tính, hàng trăm thẻ ngân hàng và thẻ SIM đăng ký bằng tên giả. Vụ bắt giữ cuối cùng vừa diễn ra vào tháng 4 vừa qua là một người đàn ông ở Sankt Petersburg.

Đã kiếm được 900.000 USD ở Nga

Trong một thông cáo báo chí, Bộ Nội vụ Nga cho biết chỉ riêng ở Nga nhóm tội phạm này đã “bỏ túi” hơn 50 triệu rúp, tương đương 900.000 USD bị đánh cắp.

Công ty an ninh mạng Group-IB cho biết, có trên 1 triệu smartphone bị ảnh hưởng với khoảng trung bình 3.500 thiết bị mỗi ngày, và trên 6.000 tài khoản ngân hàng bị đánh cắp. Hơn nữa, vào thời điểm bị bắt, nhóm Cron đang chuẩn bị khởi động một chiến dịch sử dụng mã độc Tiny.z để tấn công khách hàng của các ngân hàng Pháp.

Dmity Volkov, người đứng đầu Công ty an ninh mạng Group-IB, cho biết: “Thành công của Cron nhờ vào 2 yếu tố chính: sử dụng các chương trình phát tán mã độc theo nhiều cách khác nhau với quy mô lớn và việc tự động hóa nhiều chức năng trên di động cho phép chúng thực hiện hành vi trộm cắp mà không cần dính líu trực tiếp”.