Đây được cho là những vụ cướp ngân hàng với số tiền lớn nhất từ trước đến nay.
100 ngân hàng, 1 tỷ USD
| Sau khi xâm nhập một hệ thống, những kẻ tấn công cài đặt thêm phần mềm Ammyy Remote Administration Tool, giúp chúng xâm nhập mạng nội bộ và theo dõi máy tính của các quản trị viên, ghi lại tất cả những gì đã xảy ra trên màn hình của hệ thống chuyển tiền. Bằng cách này, cùng với những sơ hở của hệ thống tin nhắn liên ngân hàng SWIFT, một ngân hàng ở Ecuador đã bị cướp 12 triệu USD. |
Kaspersky cho biết băng nhóm tội phạm được mệnh danh là "Carbanak", dường như đến từ Nga, Ukraine và các khu vực khác của châu Âu, cùng Trung Quốc. Theo hãng Fox-IT, công ty an ninh mạng của Hà Lan, Carbanak cũng là nhóm được phát hiện bởi Group-IB và Fox-IT trong một báo cáo vào tháng 12-2014, trong đó đề cập đến kẻ tấn công là "nhóm tin tặc Anunak".
Anunak là tên được tác giả phần mềm độc hại đặt cho virus chính được sử dụng trong các cuộc tấn công này, trong khi Carbanak là tên do các nhà an ninh đặt cho virus, là sự kết hợp của các từ "Anunak" và "Carberp", vì phần mềm độc hại của Anunak có mã được sử dụng từ Carberp. Theo Kaspersky, các cuộc tấn công tập trung chủ yếu vào các ngân hàng ở Nga, nhưng cũng thành công với các ngân hàng ở Nhật Bản, Hà Lan, Thụy Sĩ, Hoa Kỳ và các nước khác. Trong hầu hết trường hợp, mạng lưới đã bị tổn thương trong khoảng từ 2-4 tháng trước khi những kẻ tấn công thực hiện rút các khoản tiền bị đánh cắp. Trong khoảng thời gian đó, những kẻ tấn công có thể tiếp cận được các hệ thống quan trọng và tìm hiểu cách vận hành các công cụ và hệ thống của họ để thực hiện các cuộc tấn công trên mạng.
Công bố vụ cướp ngân hàng Carbanak. Mỗi lần 10 triệu
Công ty an ninh ước tính rằng số tiền lớn nhất bị bọn tội phạm lấy đi trong mỗi cuộc đột kích là 10 triệu USD. Theo báo cáo, một nạn nhân đã mất khoảng 7,3 triệu USD do gian lận máy ATM, và một nạn nhân khác bị mất 10 triệu USD do bị khai thác nền tảng ngân hàng trực tuyến. Kaspersky Lab cho biết xác định được khoảng 300 địa chỉ IP trên toàn thế giới đã bị tấn công. "Một khi những kẻ tấn công xâm nhập thành công mạng nội bộ nạn nhân, các điểm đến nội bộ chính là các dịch vụ xử lý tiền, máy rút tiền tự động (ATM) và các tài khoản tài chính. Vụ tấn công gây kinh ngạc vì không có sự khác biệt đối với bọn tội phạm về phần mềm các ngân hàng đang sử dụng.
Công ty an ninh ước tính rằng số tiền lớn nhất bị bọn tội phạm lấy đi trong mỗi cuộc đột kích là 10 triệu USD. Theo báo cáo, một nạn nhân đã mất khoảng 7,3 triệu USD do gian lận máy ATM, và một nạn nhân khác bị mất 10 triệu USD do bị khai thác nền tảng ngân hàng trực tuyến. Kaspersky Lab cho biết xác định được khoảng 300 địa chỉ IP trên toàn thế giới đã bị tấn công. "Một khi những kẻ tấn công xâm nhập thành công mạng nội bộ nạn nhân, các điểm đến nội bộ chính là các dịch vụ xử lý tiền, máy rút tiền tự động (ATM) và các tài khoản tài chính. Vụ tấn công gây kinh ngạc vì không có sự khác biệt đối với bọn tội phạm về phần mềm các ngân hàng đang sử dụng.
Vì vậy, ngay cả khi phần mềm của ngân hàng là duy nhất, họ cũng không thể tự mãn. Những kẻ tấn công thậm chí không cần phải hack vào các dịch vụ của ngân hàng: một khi đã xâm nhập vào mạng, họ sẽ học được cách ẩn giấu sau các hành động hợp pháp. Đây là vụ cướp cực kỳ chuyên nghiệp" - Sergey Golovanov, nhà nghiên cứu bảo mật chính của nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab, cho biết.
Suýt mất 951 triệu USD
Sau đó 1 năm, ngày 1-2-2016, khi các ngân hàng đóng cửa nghỉ cuối tuần ở Bangladesh, bọn tội phạm thực hiện 35 yêu cầu chuyển tiền trị giá 951 triệu USD. Trong đó, 5 giao dịch trị giá 101 triệu USD đã thành công. Những giao dịch này gửi lệnh rút tiền từ một tài khoản của Ngân hàng Trung ương Bangladesh (BOB) ở Cục Dự trữ Hoa Kỳ (FED) chi nhánh New York.
Những tên tội phạm đã cố gắng xâm nhập vào hệ thống của BOB, quan sát cách thực hiện các giao dịch chuyển tiền, truy cập vào các thông tin của ngân hàng để chuyển tiền. Sau đó, chúng đã gửi đi 35 yêu cầu gửi tiền, với tổng trị giá gần 1 tỷ USD. Các yêu cầu có vẻ bình thường, vì nó xuất phát từ một máy chủ đặt tại Bangladesh và bọn cướp đã cung cấp chính xác mã ngân hàng để xác thực các giao dịch chuyển tiền.
Suýt mất 951 triệu USD
Sau đó 1 năm, ngày 1-2-2016, khi các ngân hàng đóng cửa nghỉ cuối tuần ở Bangladesh, bọn tội phạm thực hiện 35 yêu cầu chuyển tiền trị giá 951 triệu USD. Trong đó, 5 giao dịch trị giá 101 triệu USD đã thành công. Những giao dịch này gửi lệnh rút tiền từ một tài khoản của Ngân hàng Trung ương Bangladesh (BOB) ở Cục Dự trữ Hoa Kỳ (FED) chi nhánh New York.
Những tên tội phạm đã cố gắng xâm nhập vào hệ thống của BOB, quan sát cách thực hiện các giao dịch chuyển tiền, truy cập vào các thông tin của ngân hàng để chuyển tiền. Sau đó, chúng đã gửi đi 35 yêu cầu gửi tiền, với tổng trị giá gần 1 tỷ USD. Các yêu cầu có vẻ bình thường, vì nó xuất phát từ một máy chủ đặt tại Bangladesh và bọn cướp đã cung cấp chính xác mã ngân hàng để xác thực các giao dịch chuyển tiền.
5 giao dịch đã trót lọt, nhưng những giao dịch sau đó bị chặn lại. Bọn cướp đã làm được tất cả những công việc tinh vi và phức tạp khác, nhưng lại mắc một lỗi rất sơ đẳng về chính tả, khiến 30 giao dịch còn lại trị giá tới 851 triệu USD bị chặn đứng.
20 triệu USD chuyển đến Sri Lanka dự tính gửi tới Shalika Foundation, một tổ chức phi lợi nhuận tại đó. Nhưng các tin tặc đã ghi sai chính tả chữ “Foundation” lại viết thành "Fandation". Lỗi chính tả này khiến Deutsche Bank, một ngân hàng định tuyến trong hệ thống SWIFT (Hiệp hội Viễn thông liên ngân hàng và tài chính quốc tế), nghi ngờ và dừng các giao dịch.
20 triệu USD chuyển đến Sri Lanka dự tính gửi tới Shalika Foundation, một tổ chức phi lợi nhuận tại đó. Nhưng các tin tặc đã ghi sai chính tả chữ “Foundation” lại viết thành "Fandation". Lỗi chính tả này khiến Deutsche Bank, một ngân hàng định tuyến trong hệ thống SWIFT (Hiệp hội Viễn thông liên ngân hàng và tài chính quốc tế), nghi ngờ và dừng các giao dịch.
Kiểm tra sau đó cho thấy Shalika Foundation không có tên trong danh sách các tổ chức phi lợi nhuận đã đăng ký ở Sri Lanka. Các giao dịch sang Sri Lanka cũng bị Ngân hàng Pan Asia chú ý, vì cho rằng nó quá lớn với một quốc gia còn nghèo như Sri Lanka. Pan Asia Bank là một trong các ngân hàng gọi giao dịch từ Deutsche Bank. BOB sau đó đã thu hồi được 20 triệu USD chuyển sang Sri Lanka.
Điều tra
Ban đầu, BOB không tin hệ thống của họ đã bị xâm nhập. Thống đốc BOB đã mời World Informatix Cyber Security (WICS), một công ty có trụ sở Hoa Kỳ, dẫn đầu việc điều tra và đánh giá nguy hại để khắc phục. WICS đã hợp tác với Công ty FireEye’s Mandiant để điều tra. Các chuyên gia an ninh mạng đã tìm thấy "dấu chân" và phần mềm độc hại của tin tặc trong hệ thống của BOB.
Điều tra
Ban đầu, BOB không tin hệ thống của họ đã bị xâm nhập. Thống đốc BOB đã mời World Informatix Cyber Security (WICS), một công ty có trụ sở Hoa Kỳ, dẫn đầu việc điều tra và đánh giá nguy hại để khắc phục. WICS đã hợp tác với Công ty FireEye’s Mandiant để điều tra. Các chuyên gia an ninh mạng đã tìm thấy "dấu chân" và phần mềm độc hại của tin tặc trong hệ thống của BOB.
Các nhà điều tra cũng cho biết bọn cướp nằm bên ngoài Bangladesh. Một cuộc điều tra nội bộ của BOB phát hiện phần mềm độc hại được cài đặt trong hệ thống của ngân hàng vào khoảng tháng 1-2016, nhắm đến việc thu thập thông tin về thủ tục thực hiện thanh toán và chuyển tiền quốc tế của BOB.
Cơ quan Điều tra quốc gia Philippines (NBI) đã phát động một cuộc điều tra đối với doanh nhân Philippines gốc Hoa, người bị cáo buộc đóng vai trò quan trọng trong việc rửa tiền cho các quỹ bất hợp pháp. NBI phối hợp với các cơ quan chính phủ có liên quan, như Hội đồng Chống rửa tiền quốc gia (AMLC).
Cơ quan Điều tra quốc gia Philippines (NBI) đã phát động một cuộc điều tra đối với doanh nhân Philippines gốc Hoa, người bị cáo buộc đóng vai trò quan trọng trong việc rửa tiền cho các quỹ bất hợp pháp. NBI phối hợp với các cơ quan chính phủ có liên quan, như Hội đồng Chống rửa tiền quốc gia (AMLC).
AMLC bắt đầu điều tra từ ngày 19-2-2016 đối với các tài khoản ngân hàng liên kết với một nhà điều hành doanh nghiệp. AMLC đã đệ đơn khiếu nại rửa tiền ra Bộ Tư pháp đối với một giám đốc chi nhánh RCBC và 5 người chưa biết với những cái tên hư cấu trong vụ việc.
FireEye’s Mandiant và WICS cho biết bọn tội phạm rất rành rọt các thủ tục nội bộ của BOB và có thể có tay trong trong ngân hàng này.
