Các tài liệu và tệp tin máy tính do tin tặc phát hành cung cấp thông tin chi tiết về cách Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) có thể sử dụng các điểm yếu trong phần mềm thương mại hiện nay để truy cập vào hệ thống chuyển tiền giữa các ngân hàng trên toàn cầu.
Hôm thứ Sáu (14/4), một nhóm hacker tự xưng là Shadow Brokers đã phát hành các tài liệu và hồ sơ khẳng định NSA đã truy cập vào hệ thống chuyển tiền SWIFT thông qua các nhà cung cấp dịch vụ ở Trung Đông và Mỹ La-tinh. Đây là bản báo cáo mới nhất trong một loạt các tiết lộ của nhóm trong những tháng gần đây.
Matt Suiche, người sáng lập công ty an ninh mạng Comae Technologies, viết trong một bài đăng trên blog rằng những bức ảnh chụp màn hình cho thấy một số chi nhánh của SWIFT đang sử dụng các máy chủ Windows chứa lỗ hổng vào thời điểm đó (năm 2013), đây chính là các lỗ hổng của Microsoft do Shadow Brokers hé lộ. Ông kết luận rằng NSA đã lợi dụng và có được thông tin này theo như vậy.
"Ngay khi vượt qua các bức tường lửa, họ nhắm mục tiêu vào các thiết bị, sử dụng những lỗ hổng của Microsoft", ông Suiche chia sẻ với Reuters. Các lỗ hổng bị khai thác là các chương trình nhỏ, lợi dụng được các lỗ hổng bảo mật. Hacker sử dụng chúng để chèn cửa hậu vào máy tính để có thể tiếp tục truy cập, để nghe trộm hoặc để chèn các công cụ khác.
"Bây giờ chúng ta đã biết tất cả các công cụ mà NSA sử dụng để can thiệp vào SWIFT (thông qua) các bức tường lửa của Cisco, Windows," ông Suiche nói.
Hãng thông tấn Reuters không thể độc lập xác minh tính xác thực của các tài liệu được phát hành bởi nhóm tin tặc này. Phía Microsoft cũng thừa nhận các lỗ hổng và cho biết đã vá chúng. Cisco Systems Inc trước đó cũng thừa nhận rằng các bức tường lửa của họ đã bị tổn thương.
Cisco và NSA không trả lời yêu cầu bình luận của Reuters. Hiệp hội SWIFT của Bỉ hôm thứ Sáu vừa rồi cũng đánh giá thấp nguy cơ tấn công sử dụng loại mã do tin tặc phát tán và cho biết họ không có bằng chứng cho thấy mạng SWIFT chính đã từng bị truy cập trái phép.
Có thể các hệ thống nhắn tin cục bộ của một số ngân hàng khách hàng SWIFT đã bị xâm phạm, SWIFT cho biết trong một tuyên bố, không đề cập cụ thể đến NSA.
Bởi theo dõi các nguồn tài trợ khủng bố và dòng tiền trong các nhóm tội phạm là một ưu tiên cao, thế nên, một cách tự nhiên, việc chuyển tiền qua SWIFT sẽ là một mục tiêu gián điệp của nhiều cơ quan tình báo quốc gia.
Trong một bài trình bày dạng PowerPoint do Shadow Brokers đưa ra gần đây cho thấy NSA đã sử dụng một công cụ có tên là mã BARGLEE để phá vỡ tường lửa bảo mật của nhà cung cấp dịch vụ SWIFT.
Con dấu chính thức của NSA xuất hiện trên một trong những trang PowerPoint, mặc dù hãng tin Reuters không thể độc lập xác định được tính xác thực của các bản PowerPoint.
Các slide này nhắc đến những bức tường lửa ASA. Cisco là công ty duy nhất tạo ra các bức tường lửa ASA, một nhân viên giấu tên của Cisco chia sẻ. ASA là viết tắt của Adaptive Security Appliance và là một loại tường lửa kết hợp, chống virus, chống xâm nhập và mạng riêng ảo (VPN).
Các tài liệu được Shadow Brokers công bố còn cho thấy NSA, sau khi xâm nhập vào tường lửa của các nhà cung cấp dịch vụ SWIFT, đã sử dụng các lỗ hổng của Microsoft để nhắm vào các máy tính tương tác với mạng SWIFT, ông Suiche cho hay.
Chẳng hạn như, máy chủ của Ngân hàng Phát triển và Đầu tư Al Quds đang chạy một hệ điều hành Windows 2008 tại thời điểm đó vì vậy dễ bị tổn thương trước các lỗ hổng trong hệ điều hành Windows mới được tiết lộ, ông nói.
Microsoft cho biết các bản vá lỗi trước đó cho tới hàng chục phiên bản phần mềm khắc phục được những lỗ hổng mà dường như đã bị khai thác bởi 9 chương trình của NSA. Bốn lỗ hổng trong số này đã bị chặn bởi các bản cập nhật toàn diện vào ngày 14/3. Chỉ còn lại những phiên bản Windows cũ hơn, không được hỗ trợ và các máy chủ Exchange email là có nguy cơ dính ba lỗ hổng còn lại.
Đầu tuần trước, Microsoft khẳng định công ty đã không được chính phủ hoặc những cá nhân bên ngoài cảnh báo về các chương trình bị đánh cắp.
Microsoft từ chối cho biết làm thế nào công ty đã biết về các lỗ hổng mà không cần sự giúp đỡ của bên ngoài. Các hệ thống an ninh của công ty có khả năng phát hiện các cuộc tấn công đối với khách hàng, và trước đây Microsoft đã theo dõi nhiều cuộc thảo luận về khai thác lỗ hổng trên Internet cũng như thuê các cựu chiến binh để lập kế hoạch bảo vệ phần mềm khỏi bị xâm nhập.
NSA đã nhắm mục tiêu vào 9 máy tính tại một công ty có hợp đồng với SWIFT, cụ thể là văn phòng dịch vụ EastNets ở Dubai, theo các tài liệu này. Cơ quan tình báo Hoa Kỳ sau đó sử dụng các dòng mã để truy vấn các máy chủ SWIFT và cơ sở dữ liệu Oracle xử lý các giao dịch SWIFT, theo tài liệu.
EastNets hôm thứ Sáu phủ nhận tin văn phòng này đã bị tấn công.
Theo ICTNews
Thêm bình luận