Nga bắt nhóm hacker nguy hiểm nhất kể từ những năm 1990
Cảnh sát và đặc nhiệm FSB Nga và Nhóm Group-IB đã bắt một nhóm lừa đảo CNTT, trộm tiền từ hơn 100 ngân hàng. Đây là nhóm hacker được đánh giá là nguy hiểm nhất kể từ những năm 1990.
Cơ quan điều tra Bộ Nội vụ và Công ty Group-IB đã tuyên bố triệt hạ một nhóm lừa đảo CNTT, trộm tiền các tài khoản ngân hàng. Theo đó, nhờ một chiến dịch chung của Cục “K” thuộc Bộ Nội vụ Nga, Cục 4 Bộ Nội vụ và Trung tâm An ninh thông tin FSB, một nhóm 8 người bị tình nghi ăn trộm tiền từ hơn 100 ngân hàng trên khắp thế giới trong thời gian 2 năm qua đã sa lưới.
Cùng lúc, Ngân hàng Tiết kiệm Nga Sberbank ra thông báo về sự dính líu của nhóm người bị bắt với 27 vụ trộm đối với khách hàng của mình số tiền lên tới hơn 10 triệu rúp (~7,1 tỷ đồng).
Theo Group-IB, các chuyên gia của họ đã được huy động vào cuộc điều tra. Đây là trường hợp thực tế đầu tiên trên thế giới xác định được trọn vẹn băng nhóm tội phạm: từ đối tượng tổ chức nhóm đến những người thực hiện, nhân viên thanh toán tiền bị đánh cắp… Lãnh đạo Group-IB Iliya Sachkov nói với CNews.ru rằng đây là “một trong những nhóm hacker nguy hiểm nhất kể từ những năm 1990″.
Theo thông báo của các cơ quan bảo vệ pháp luật Nga, trong vòng nửa năm, các hacker đã kịp trộm 60 triệu rúp (~42,7 tỷ đồng). Thế nhưng, theo đánh giá của các chuyên gia Grup-IB, tổng tiền bị băng nhóm đánh cắp chỉ tính quý gần đây nhất đã lên tới 130 triệu rúp (~92,6 tỉ đồng). Đại diện Group-IB Irina Zubareva giải thích sự khác biệt giữa 2 con số này rằng các cơ quan bảo vệ pháp luật đưa ra kết luận dựa trên các bằng chứng tài liệu cụ thể còn Group-IB thì dựa trên đánh giá của chuyên gia với các đối tượng hình sự.
Group-IB cho biết, những kẻ xấu đã bị phát hiện nhờ phân tích các phần mềm trojan, các máy chủ bot và các dữ liệu bị đánh cắp, từ đó xác định những đối tượng khai thác botnet (mạng ma).
Video đang HOT
Theo thông báo của Cơ quan điều tra, để đánh cắp số tiền từ các tài khoản ngân hàng, những kẻ xấu đã sử dụng trojan Carberp và RDP-door lây nhiễm vào máy tính của các tổ chức sử dụng các hệ thống “Bank-Client” khác nhau. Để lây nhiễm vào các máy tính kế toán, theo Group-IB, kẻ xấu sử dụng cách bẻ khoá và lây nhiễm các website tin tức, cửa hàng trực tuyến và các trang web kế toán chuyên nghiệp.
Tiền từ tài khoản ngân hàng thông qua các khoản thanh toán trái phép sẽ rút sang các tài khoản được chuẩn bị đặc biệt theo lệnh cho các trojan từ các máy chủ ở xa tận Canada, Hà Lan; sau đó xuất ra các thẻ ngân hàng và được trả qua các ATM ở Moskva. Để che giấu hoạt động phạm tội của mình, những kẻ xấu đã thuê một công ty hợp pháp phục hồi các dữ liệu.
Cảnh sát và Group-IB không tiết lộ số nạn nhân nhưng thông báo rằng, cho đến tháng 10/2011, mạng ma của băng nhóm này hàng ngày tăng lên khoảng 30.000 máy tính.
Theo quyết định của Toà án quận Zamoskvortsky của Moskva, đối tượng cầm đầu băng nhóm tội phạm trên đã bị bắt giam. Anh trai của người này có tham gia vào nhóm đã được thả với khoảng 3 triệu rúp bảo lãnh, những thành viên còn lại được thả với điều khoản cấm đi khỏi nơi cư trú.
Bộ phận điều tra của Cục 4 Bộ Nội vụ Nga đã khởi tố vụ án hình sự theo điều 272 (Truy cập trái phép vào thông tin máy tính) và điều 273 (Tạo, sử dụng và lan truyền các phần mềm độc hại cho máy tính) và điều 158 (Ăn cắp) của Bộ luật Hình sự Nga. Theo đó, những kẻ xấu kia có thể bị kết án đến 10 năm tù giam.
Tuy nhiên, Kaspersky Lab tỏ ý hoài nghi về tính độc đáo của sự kiện này. Các chuyên gia của Kaspersky Lab đã nêu lại vụ các nhà sáng lập mạng ma Bredolab từng bị triệt hạ ở Hà Lan năm 2010 và mạng ma Bonnie and Clyde ở Brazil đã bị triệt hạ năm 2011 để làm ví dụ về việc các mắt xích của hệ thống lừa đảo CNTT này đã bị vô hiệu từ trước. Các chuyên gia Kaspersky Lab cho biết, trường hợp các cơ quan bảo vệ pháp luật của Nga thực hiện vừa rồi chỉ có thể gọi là “hoàn tất triệt phá một nhóm tội phạm CNTT”.
“Mặc dù có thông báo về việc bắt gọn tất cả băng nhóm tội phạm, vẫn còn các câu hỏi mở về số phận của những tác giả trojan Carberp, về những người đã lập trình nó và bán nó ra thị trường chợ đen cũng như chủ sở hữu của “các mạng lưới đối tác” chịu trách nhiệm phát tán trojan này. Nếu họ vẫn ở ngoài tự do thì sắp tới, chúng ta sẽ còn chứng kiến những nhóm tội phạm mới sử dụng những phiên bản mới của Carberp”, Chuyên gia trưởng về virus của Kaspersky Lab Alexander Gostev nói.
Theo ICTnew
Xác định ngôn ngữ lập trình lạ của trojan Duqu khét tiếng
Các chuyên gia Kaspersky Lab với sự trợ giúp của cộng đồng lập trình thế giới đã nhận dạng được ngôn ngữ lập trình viết nên đoạn code của trojan Duqu vốn được cho là có ngôn ngữ riêng, "bí hiểm".
Kaspersky Lab tuyên bố đã nhận dạng được "ngôn ngữ lập trình lạ" dùng để viết mẩu code của trojan Duqu khét tiếng từng được sử dụng để tấn công các công trình công nghiệp của Iran. Các chuyên gia của Kaspersky Lab từng thông báo hôm 7/3 về việc khó nhận dạng ngôn ngữ lập trình dùng viết trojan nói trên.
Khó khăn trong nhận dạng liên quan tới mã của cái gọi là Framework Duqu. Mã này chịu trách nhiệm về hoạt động tương tác giữa máy tính nhiễm trojan với máy chủ của tin tặc. Theo thông báo của Công ty, các nghiên cứu về Framework Duqu tại Kaspersky Lab đã kéo dài từ tháng 11/2011. Suốt thời gian này, các chuyên gia của Kaspersky Lab đã mời các chuyên gia ở Microsoft cùng tiến hành đối chiếu gần 30 ngôn ngữ lập trình, bao gồm các ngôn ngữ kì lạ Brainfuck và Haskell. Tuy nhiên, họ đã không tìm ra ngôn ngữ dùng để tạo nên đoạn code tựa như Framework Duqu.
Sau vài tháng nghiên cứu, các chuyên gia Kaspersky Lab đã kêu gọi cộng đồng lập trình giúp đỡ. Những giả thuyết phổ biến nhất do các phóng viên gợi ý với Kaspersky Lab là các ngôn ngữ như LISP, Forth, rlang, Google Go, Delphi, OO C và các trình biên dịch cổ như C và một số ngôn ngữ khác.
Kaspersky Lab kết luận rằng Framework Duqu có nhiều khả năng được viết bằng C. Tuy nhiên, khi phát triển, các tác giả đã sử dụng phần mở rộng riêng nên có thể coi đó là một biến thể hiếm của C. Trình biên dịch có lẽ là MSVC 2008.
Trojan Duqu được sử dụng để tấn công theo mục tiêu là các công trình công nghiệp của Iran...
Lưu ý cách tiếp cận khác với thói thường của các tác giả Duqu, chuyên gia về vi rút của Kaspersky Lab Igor Sumenkov nhận định việc sử dụng biến thể của C thay vì C của các tác giả Duqu có thể gây mất lòng tin vào trình biên dịch C vốn đặc trưng cho các nhà phát triển với nhiều năm kinh nghiệm...
"Hai yếu tố này cho thấy rằng mã đã được viết bởi một nhóm nhà phát triển giàu kinh nghiệm của "trường phái cũ", những người muốn tạo ra một nền tảng di động và dễ dàng thay đổi cho các cuộc tấn công", các chuyên gia cho biết.
Chuyên gia chính về vi rút của Kaspersky Lab, Alexander Gostev lưu ý rằng các tác giả Duqu không chỉ là các nhà lập trình có thâm niên mà còn là những người có cả núi thời gian rỗi. Theo ý ông Gostev, các nhà phát triển đoạn mã đã bỏ ra rất nhiều thời gian mặc dù công việc có thể được làm nhanh và đơn giản hơn. "Họ không có nhiệm vụ phải làm nhanh việc này. Chúng tôi từng tưởng tượng hài hước rằng họ đang ngồi trong tù và làm việc này", Gostev nói.
Việc hiểu bản chất của đoạn mã Duqu giúp sẽ bổ ích cho việc tìm tòi, khám phá, các chuyên gia giải thích. Ngoài ra, không loại trừ trường hợp có thể tìm được các phần mềm hợp pháp sử dụng cùng phương pháp này. Cần biết rằng nguồn gốc của việc trojan Duqu và sâu Stuxnet gần gũi với nó tấn công các công trình hạt nhân của Irancho đến nay vẫn là bí ẩn.
Trojan Duqu nổi tiếng từ 1/9/2011. Theo các chuyên gia, trojan này được tạo ra để tấn công nhằm vào máy tính của các công trình công nghiệp và các tổ chức chính phủ, thương mại của Iran. Duqu đã được tạo nên trên nền tảng phần mềm chung với sâu máy tính nổi tiếng khác là Stuxnet. Năm 2011, Stuxnet đã lây nhiễm đến các trạm phát điện nguyên tử của Iran đồng thời thâm nhập vào mạng của hàng loạt xí nghiệp trên toàn thế giới.
Theo các chuyên gia Kaspersky Lab, cả hai trojan có cùng một nhóm tác giả. Khác với Stuxnet, Duqu không gây tác hại cho hệ thống bị lây nhiễm đến mức tổ chức phân phối và thiết lập các mô-đun trojan bổ sung vào hệ thống. Do Duqu dùng cho việc tấn công theo mục tiêu cụ thể, số máy tính bị nhiễm không lớn. Kaspersky Lab đang đánh giá số sự cố gắn liền với Duqu.
"Không nghi ngờ về việc Stuxnet và Duqu được viết với sự quan tâm của một chính phủ nào đó, nhưng chính phủ nào thì không có bằng chứng", Alexander Gostev tuyên bố. Lưu ý là ngày 4/3, cựu lãnh đạo Cơ quan An ninh Quốc gia Mỹ (NSA) Michael Hayden trả lời phỏng vấn CBS đã cho biết "Stuxnet là ý tưởng tốt". Tuy nhiên, vị tướng không nói chính phủ nào đứng sau việc tạo nên trojan này mà Duqu là hậu duệ của nó.
Theo ICTnew
Kaspersky sẽ "tấn công" mạnh thị trường Việt Nam Ông Maxim Mitrokhin, Giám đốc điều hành Kaspersky Lab khu vực châu Á Thái Bình Dương nhận định, với tốc độ phát triển 50%/năm, Việt Nam là thị trường tiềm năng của hãng bảo mật này. Ảnh chỉ có tính minh họa. (Nguồn: Internet) Thông tin trên được ông Maxim trao đổi với phóng viên Vietnam bên lề Hội nghị Lãnh đạo công...