Hacker tiết lộ cách tình báo Mỹ xâm nhập vào hệ thống chuyển tiền toàn cầu

15:13, 22/04/2017
|

Tài liệu và các tệp tin được hacker tung ra chứa một bản thảo cho thấy cách mà NSA (Cơ quan An ninh quốc gia Mỹ) sử dụng những điểm yếu trong các phần mềm thương mại để dành quyền truy cập vào hệ thống chuyển tiền toàn cầu giữa các ngân hàng (SWIFT).

Ảnh minh họa. Nguồn Internet
Ảnh minh họa. Nguồn Internet

Theo hãng tin Reuters, hôm 15/4, một nhóm tự xưng là Shadow Brokers đã tung ra tài liệu và các tệp tin cho thấy Cơ quan An ninh quốc gia Mỹ (NSA) đã truy cập vào hệ thống chuyển tiền SWIFT thông qua các nhà cung cấp dịch vụ ở Trung Đông và Mỹ Latinh. Đó là công bố mới nhất trong chuỗi những tiết lộ của nhóm trong nhiều tháng qua.

Nhà sáng lập của hãng bảo mật Comae Technologies, Matt Suiche, viết trong bài blog rằng các ảnh chụp màn hình đã chỉ ra một số bên liên kết với SWIFT sử dụng máy chủ Windows vào năm 2013. Những máy chủ này lúc đó đứng trước nguy cơ từ các lỗ hổng Microsoft vừa được tìm thấy. Ông kết luận rằng NSA đã lợi dụng và lọt vào nhờ đó.

Suiche nói với Reuters: "Ngay khi vượt qua tường lửa, họ nhắm thẳng vào các máy tính nhờ lỗ hổng khai thác của Microsoft". Công cụ khai thác là những chương trình nhỏ lợi dụng kẽ hở bảo mật. Hacker sử dụng chúng nhằm đưa back door vào để truy cập liên tục, nghe lén hoặc chèn vào các công cụ khác.

"Chúng tôi hiện đang có mọi công cụ mà NSA sử dụng để tấn công vào SWIFT (thông qua) tường lửa của Cisco, Windows", ông Suiche viết.

Reuters không thể tự xác nhận độ tin cậy của các tài liệu được hacker tung ra. Song Microsoft đã thừa nhận những lỗ hổng nói trên và cho biết họ đã vá chúng. Cisco Systems cũng đã công nhận có những nguy cơ ảnh hưởng đến tường lửa của mình.

Cisco và NSA không bình luận về vấn đề này. SWIFT coi nhẹ nguy cơ tấn công sử dụng đoạn mã được các hacker tung ra, đồng thời nói rằng không có chứng cứ nào cho thấy mạng lưới SWIFT chính đã từng bị truy cập trái phép.

SWIFT cho biết, có khả năng hệ thống nhắn tin trong SWIFT của một số ngân hàng đã bị xâm nhập dù không đề cập cụ thể đến NSA.

Do truy tìm nguồn gốc tài chính của khủng bố và dòng tiền giữa các tổ chức tội phạm là ưu tiên hàng đầu, các giao dịch SWIFT nghiễm nhiên sẽ trở thành mục tiêu gián điệp cho các cơ quan tình báo quốc gia.

Đánh thủng tường lửa

Một bài thuyết trình PowerPoint thuộc những công bố mới đây nhất từ Shadow Brokers, chỉ ra rằng NSA sử dụng một công cụ tên mã BARGLEE để vượt qua tường lửa bảo mật từ các nhà cung cấp dịch vụ SWIFT.

Một slide trong đoạn trình chiếu có biểu tượng niêm phong chính thức của NSA, dù Reuters không thể tự mình đảm bảo độ tin cậy của những slide đó.

Slide cũng có đề cập tới tường lửa ASA. Theo một nhân viên ẩn danh từ Cisco, hãng là công ty duy nhất làm ra tường lửa ASA. ASA là viết tắt của Adaptive Security Appliance, là sự kết hợp của tường lửa, trình diệt virus, phòng chống xâm nhập cũng như VPN.

Ông Suiche nói rằng, tài liệu trong công bố của Shadow Brokers cho thấy NSA sau khi xuyên thủng tường lửa của các nhà cung cấp dịch vụ SWIFT, đã sử dụng lỗ hổng khai thác của Microsoft để nhắm tới các máy tính tương tác với mạng lưới SWIFT. Ví dụ là ngân hàng Phát triển và Đầu tư Al Quds đã từng sử dụng một máy chủ Windows 2008. Lúc bấy giờ nó có thể bị ảnh hưởng bởi các lỗ hổng vừa được phát hiện.

Hôm 15/4, Microsoft đã quả quyết rằng những bản vá trước đó của hàng chục phiên bản phần mềm đã sửa những lỗi bị khai thác bởi 9 chương trình của NSA. Hãng nói chỉ còn lại những phiên bản Windows không được hỗ trợ và máy chủ mail Exchange mới đứng trước nguy cơ từ 3 lỗ hổng vừa được công bố.

Trước đó cũng vào 15/4, Microsoft cho biết hãng đã không được cảnh báo bởi chính phủ hay bất kỳ ai về những phần mềm bị đánh cắp.

Microsoft từ chối tiết lộ tại sao hãng có thể phát hiện được những lỗ hổng nói trên mà không cần sự trợ giúp từ bên ngoài. Hệ thống bảo mật của hãng có khả năng phát hiện những tấn công tới khách hàng. Microsoft đã từng chủ trì cuộc bàn luận về các lỗ hổng trên Internet, đồng thời hãng cũng đã thuê một cựu binh cục tình báo để giúp hãng bảo vệ phần mềm của mình khỏi sự vi phạm.

Theo tài liệu, NSA nhắm tới 9 máy chủ của một nhà thầu SWIFT mang tên EastNets từ Dubai. Cục tình báo Mỹ sau đó đã sử dụng các đoạn code để gửi truy vấn tới máy chủ SWIFT cũng như cơ sở dữ liệu của Oracle - nơi xử lý các giao dịch. Tuy nhiên vào 15/4, EastNets chối bỏ việc họ đã bị hack.

Theo Tạp chí Diễn đàn đầu tư


Ý kiến bạn đọc