Theo một người ước tính, nhóm hacker Fin7 đã rút ruột ít nhất hơn 1 tỷ USD từ các công ty trên khắp thế giới. Riêng ở Mỹ, nhóm Fin7 đã ăn trộm hơn 15 triệu số thẻ tín dụng từ hơn 3.600 địa điểm kinh doanh. Vào thứ Tư tuần trước, bộ Tư pháp tiết lộ rằng họ đã bắt được 3 nghi phạm của nhóm này – và quan trọng hơn, là nắm được chi tiết về cách thức hoạt động của nhóm.
Bản cáo trạng cáo buộc rằng 3 công dân Ukraina là thành viên của nhóm Fin7 – bao gồm Dmytro Fedorov, Fedir Hladyr, và Andrii Kopakov – đã góp phần làm nên một trong các tổ chức hacker tài chính tinh vi và hung hãn nhất trên thế giới. Mỗi người đều bị buộc tội với 26 trọng tội, từ âm mưu cho tới gian lận, thâm nhập máy tính, và ăn trộm danh tính.
Ba người trên đều bị cáo buộc có các vai trò quan trọng trong Fin7: Hladyr là người quản trị hệ thống, còn Fedorov và Kopakov là giám sát viên của các nhóm hacker. Cho dù nhóm Fin7 vẫn tiếp tục hoạt động sau khi ba người này bị tống giam, vụ bắt giữ vẫn đánh dấu chiến thắng đầu tiên của lực lượng thực thi pháp luật trước đế chế tội phạm mạng này.
Chưởng lý Mỹ Annette Hayes cho biết tại buổi họp báo rằng: "Cuộc điều tra vẫn đang tiếp tục. Chúng tôi không ảo tưởng rằng mình đã hạ gục nhóm này. Nhưng chúng tôi đã tạo ra một tác động đáng kể. Các hacker này nghĩ rằng chúng có thể ẩn giấu phía sau bàn phím ở những nơi xa xôi, và chúng có thể thoát khỏi cánh tay của luật pháp nước Mỹ. Tôi ở đây để nói với bạn, và tôi nghĩ thông báo này đã làm rõ rằng, chúng không thể làm như vậy."
Cùng với thông báo của Bộ Tư pháp, một báo cáo mới từ hãng bảo mật FireEye cũng cho thấy một cái nhìn chưa từng thấy vào cách thức và mức độ hoạt động của Fin7. "Chúng dùng đến rất nhiều kỹ thuật thường thấy có liên quan đến các cuộc tấn công do chính phủ bảo trợ vào lĩnh vực tấn công tài chính." Barry Vengerik, nhà phân tích nguy cơ tại FireEye cho biết. "Chúng đang áp dụng với một mức độ tinh vi mà chúng ta không thường thấy trong các cuộc tấn công có động cơ tài chính."
Lừa đảo Phishing
Vào khoảng ngày 27 tháng Ba năm ngoái, một nhân viện tại Red Robin Gourmet Burgers and Brews nhận được một email từ ray.donovan84@yahoo.com. Email phàn nàn về một trải nghiệm khách hàng, và nó yêu cầu người nhận mở phần file đính kèm để biết chi tiết. Người nhân viên đã làm theo chỉ dẫn.
Trong vòng vài ngày, Fin7 đã dựng được sơ đồ mạng nội bộ của Red Robin. Trong vòng một tuần, nhóm đã chiếm được username và mật khẩu của phần mềm quản lý điểm bán hàng (PoS) của nhà hàng. Theo Bộ tư pháp Mỹ, trong vòng 2 tuần, một thành viên Fin7 bị cáo buộc đã tải lên một file chứa hàng trăm username và mật khẩu của 798 địa điểm của Red Robin, bên cạnh đó là "thông tin mạng lưới, các cuộc gọi điện thoại, và địa điểm các bảng báo động trong nhà hàng."
Bản cáo trạng cho Fin7 còn cáo buộc 9 lần phạm tội khác ngoài Red Robin, và chúng đều theo cùng một kịch bản. Bắt đầu với một email tìm hiểu tưởng chừng như vô hại: một yêu cầu đặt phòng gửi đến khách sạn, hay đơn đặt hàng gửi đến một công ty. Nó thậm chí còn không có file đính kèm. Chỉ cần đủ tò mò để kích thích ai đó mở email.
Sau đó, có thể sau vài email trao đổi qua lại, nhóm hacker sẽ gửi yêu cầu qua email: Hãy xem file Word đính kèm ở dưới, nó có mọi thông tin thích hợp. Và nếu bạn không mở nó – hay thậm chí trước khi bạn nhận được nó – ai đó sẽ gọi cho bạn để nhắc nhở về nó.
Khi mục tiêu click vào file đính kèm, họ sẽ tải xuống máy tính của mình một malware. Cụ thể hơn, Fin7 tấn công họ bằng một phiên bản được chỉnh sửa của Carbanak, vốn từng xuất hiện trước đây trong một loạt cuộc tấn công nhắm vào ngân hàng.
Theo cáo trạng, các hacker sẽ đưa máy tính bị xâm phạm vào trong một mạng botnet, và thông qua trung tâm điều khiển, chúng sẽ giải mã các tập tin, xâm nhập các máy tính khác trong cùng mạng lưới, hoặc thậm chí chụp ảnh màn hình của máy trạm để ăn trộm thông tin xác thực cũng như các thông tin giá trị khác.
Phần lớn trong số chúng là dữ liệu thẻ thanh toán, thường có được bằng cách xâm nhập vào phần cứng của máy quẹt thẻ tại các công ty như Chipotle, Chili’s, và Arby’s. Nhóm này bị cáo buộc đã ăn trộm hàng triệu số thẻ thanh toán và sau đó mang bán chúng trên các trang web chợ đen như Joker’s Stash.
"Nếu so về quy mô, số lượng các tổ chức nạn nhân bị ảnh hưởng mà chúng tôi từng làm việc trước đây, đây chắc chắn là con số lớn nhất." Ông Vengerik cho biết. Nhưng ấn tượng hơn cả là mức độ tinh vi của tổ chức này.
Mức độ tổ chức vượt xa các nhóm hacker thông thường
Các chi tiết đáng kinh ngạc nhất trong bản cáo trạng hôm thứ tư vừa qua, không chỉ xoay quanh kết quả các cuộc tấn công liên tục của Fin7, mà còn đáng kinh ngạc hơn là việc che giấu và duy trì hoạt động trong thời gian dài của nhóm.
"Fin7 sử dụng một công ty bình phong, có tên Combi Security, có trụ sở tại Nga và Israel, để tạo ra vỏ bọc hợp pháp và tuyển dụng các hacker tham gia vào công ty tội phạm này." Thông cáo báo chí của Bộ Tư pháp Mỹ cho biết. "Trớ trêu thay, hàng loạt nạn nhân là các công ty Mỹ được liệt kê trên website của công ty giả này như các khách hàng của nó."
Tuy nhiên, theo một phiên bản lưu trữ của website này, hiện tại trang web đó đã được rao bán ít nhất từ tháng 3 năm nay.
Bản cáo trạng cũng chỉ ra cấu trúc và hoạt động của Win 7. Các thành viên thường liên lạc thông qua máy chủ riêng tư HipChat, và một số phòng chat riêng tư của HipChat. Tại đây chúng có thể "hợp tác về malware và xâm nhập vào công ty nạn nhân," cũng như chia sẻ dữ liệu thẻ thanh toán. Chúng còn bị cáo buộc sử dụng một chương trình của Atlassian, Jira, cho các mục đích quản trị dự án, theo dõi các chi tiết của việc xâm nhập, lập bản đồ mạng lưới và ăn trộm dữ liệu.
Trong khi vẫn chưa rõ có bao nhiêu người là nạn nhân của Fin7, bản cáo trạng tuyên bố "hàng chục thành viên với các kỹ năng đa dạng" – năng lực của tổ chức này cho thấy sự tương đương hoặc thậm chí vượt qua các công ty xa khác.
"Chúng tôi đã tích cực ứng phó với các cuộc xâm nhập vào mạng lưới và điều tra hoạt động trong quá khứ, cùng lúc đó chúng tôi thấy chúng đang phát triển những hành vi mới." Ông Nick Carr, quản lý cấp cao tại FireEye cho biết. "Để phát minh ra các kỹ thuật của riêng mình, nó phải ở một cấp độ cao hơn."
Các kỹ thuật đó bao gồm một dạng mới của việc che giấu dòng lệnh, cho đến một phương pháp mới để duy trì truy cập. Trên hết, Fin7 dường như có khả năng thay đổi phương pháp của mình hàng ngày – và luân phiên các mục tiêu của nó vào các thời điểm thích hợp, chuyển từ ngân hàng sang khách sạn hoặc nhà hàng. Cáo trạng của Bộ Tư pháp cho biết gần đây các tin tặc nhắm đến nhân viên các công ty xử lý hồ sơ của Ủy ban Chứng khoán và Sàn giao dịch, một nơi có thể tiếp cận được các thông tin quan trọng về chuyển động của thị trường.
FireEye cũng cho biết họ nhận thấy nhóm này dường như đang chuyển trọng tâm của mình sang các tổ chức tài chính tại châu Âu và Trung Á. Hoặc cũng có thể đây là một nhóm tách riêng ra và sử dụng các kỹ thuật tương tự. Bất chấp sự chú ý từ Bộ Tư pháp, cho đến nay, đó là tất cả các thông tin về chúng.
Ba vụ bắt giữ trên sẽ không ngăn chặn được hoạt động của nhóm hacker tinh vi này. Nhưng việc có một cái nhìn sâu hơn về các kỹ thuật của nhóm này ít nhất cũng có thể giúp các nạn nhân tương lai chuẩn bị đối đầu với Fin7 trước khi đợt tấn công tiếp theo của nó bắt đầu.
Tham khảo Wired