hiroshima
member
ID 31746
10/29/2007
|
SaconBank đă bị mất 1 triệu đô như thế nào?
Như tin đă đưa, đêm hôm qua rạng sáng nay, hệ thống thanh toán trực tuyến của Ngân hàng Sài g̣n Thương tín - SaconBank (SCB) đă bị hacker chiếm quyền điều khiển, tấn công và lấy đi số tiền trị giá 1 triệu USD. Ngay sau khi sự cố xảy ra, các cơ quan chức năng đă tích cực phối hợp điều tra nhằm sớm xác định thủ phạm. Tuy chưa công bố kết quả chính thức, nhưng thông tin nội bộ cho thấy: Quá tŕnh tấn công sơ bộ diễn ra như sau...
Chim mồi
Ngày 12-8, trong quá tŕnh kiểm tra nhật kư các máy chủ, quản trị viên của SCB vô t́nh phát hiện 1 cuộc kết nối từ bên ngoài vào qua con đường chat hết sức phức tạp. Dù chỉ là 1 cuộc chat chit b́nh thường, nhưng bạn chat của nhân viên SCB sử dụng những công nghệ tinh vi nhất về mạng máy tính nhằm t́m kiếm một điều ǵ đó mà quản trị viên vẫn chưa rơ? Ngay lập tức, máy tính của nhân viên SCB kia bị đưa vào t́nh trạng theo dơi.
Ngày 13-8, toàn bộ nội dung chat của nhân viên SCB kia (tạm gọi là nhân viên X) được chuyển hướng về 1 máy chủ an toàn của SCB và tự động ghi lại tất cả dưới dạng plain text. Quá tŕnh sử dụng thuật toán để ḍ t́m những nội dung nhạy cảm cho thấy: đây là một cuộc chat hoàn toàn thông thường. Có vẻ như nhân viên X và bạn chat vừa mới quen nhau. Mọi chuyện vẫn được "treo" ở mức an ninh số 2.
Ngày 19-8, qua đúng 1 tuần không phát hiện được ǵ thêm, các chính sách hệ thống (group policy) được áp dụng cho nhân viên X bị gỡ bỏ theo quy định của SCB. Tuy nhiên, lúc này một số server và router của SCB lại liên tục ghi nhận các cuộc càn quét dải cổng từ 5000 đến 5100 (dùng cho chat) và 1 loạt các gói tin broadcast ra toàn mạng nội bộ. Có vẻ như có kẻ nào đó, đang muốn "dựng" lại sơ đồ hệ thống mạng của SCB.
Ngày 20-8, chính sách hệ thống (GP) lại được tái áp dụng cho nhân viên X. Kết quả cho thấy, hacker đúng là có nhằm vào máy tính của nhân viên X. Nhưng không làm ǵ, ngoài mục đích trêu đùa và "quảng cáo" tŕnh độ IT của bản thân. Nội dung cuộc chat cho thấy, họ thẳng thắn trao đổi về vấn đề này và thậm chí c̣n thách đố nhau nữa. Các câu lệnh hoàn toàn tường minh và đều không gây nguy hiểm...
Hacker giăng bẫy
23-8, Pḥng IT của SCB quyết định hủy các "chính sách hệ thống" áp dụng cho máy tính của nhân viên X, đồng thời cũng không theo dơi các bản ghi log về t́nh trạng kết nối của nhân viên này nữa. Tuy nhiên, có 1 quản trị viên trong quá tŕnh thử kết nối ngược lại với anh chàng kia để kiểm tra đă phát hiện 1 chi tiết quan trọng: Anh ta sử dụng NAT liên tục để che dấu nguồn gốc của ḿnh. Sau 2 lần NAT ngược qua proxy server của VDC và 1 lần NAT qua Viettel th́ anh ta mất dấu. Rất tiếc là chi tiết này đă không được admin của SCB báo cáo và lưu ư.
24-8, hacker vẫn miệt mài send các request tới máy của nhân viên X. Ít ai ngờ được rằng, câu lệnh tracert mà hacker sử dụng... không nhằm mục địch "dựng" lại sơ đồ mạng của SCB mà nhằm phát hiện: Khi nào th́ nhân viên X sử dụng laptop cá nhân? Tại sao lại như vậy? Là bởi v́ chính sách bảo mật của 1 laptop th́ sơ sài, đơn giản và kém hơn rất nhiều so với 1 máy tính nằm trong 1 mạng LAN có bộ phận IT.
25-8, sau 1 hồi IN – OUT liên tục trên Yahoo và ngắt kết nối giả tạo, hacker đă dụ được nhân viên X sử dụng một đường truyền khác để chat. Hắn nhanh chóng xác định, X đang dùng wifi qua 1 kết nối ADSL công cộng của FPT. Không những vậy, hắn c̣n dụ được nạn nhân truy cập vào 1 cái bẫy (1 đường link giả trên Internet), qua đó thu thập được phiên bản hệ điều hành và tŕnh duyệt của X.
Mọi thứ quả là như trong mơ! Nhân viên X vẫn sử dụng Windows và Internet Explore với cả 1 đống lỗ hổng an ninh chưa hề được patch. Và quả là chẳng khó khăn ǵ, hắn sử dụng tool thích hợp, chèn thêm 1 user có quyền cao nhất (admin) lên máy nạn nhân. Sau đó là tuồn vào hàng đống phần mềm mà mă nguồn đă được chỉnh sửa đôi chút với hành vi chỉ nhắm vào SCB – hầu qua mặt tất cả các tŕnh AV và diệt spy, keylog hiện nay. Trước khi out, hắn không quên xóa đi tài khoản quản trị vừa tạo – đằng nào th́ tạo lại cũng chỉ mất 1 câu lệnh command!
Dính chưởng
04-9, sau 10 ngày liên tục tỏ vẻ rất b́nh thường với những câu chuyện không đâu vào đâu. Hacker thử kích hoạt 1 phần mềm nói trên bằng cách dụ nhân viên X click vào 1 đường link trên cửa sổ Yahoo Messenger. Không có phản hồi !!! Hoặc là AV của SCB quá tốt, hoặc là firewall của SCB quá mạnh! Hacker tạm nghỉ, hầu t́m thêm con đường khác. Trước khi rút lui, hắn không quên nói thẳng vài câu giống như đùa cợt về hành vi vừa rồi. Một hành động hết sức khôn ngoan ḥng đánh lừa admin SCB khi kiểm tra bản log (nếu có). Kiểu như đi thẳng vào nhà và nói rằng: Tôi đến để ăn trộm đây (sau khi t́m cách ăn trộm không thành).
06-9, đang ăn trưa hắn bật ra 1 ư nghĩ: không phải nhân viên X ngày nào cũng dùng laptop như ḿnh. Có thể cô ấy chưa hề mang laptop trở lại và kết nối vào SCB. Ngay lập tức, hắn online và nói có chuyện cực kỳ quan trọng muốn nói. Câu chuyện cứ chập chà chập chờn lúc được lúc mất v́ hắn cố t́nh như vậy. Lại dở chiêu bài cũ... Cuối cùng th́ cũng toại nguyện: nhân viên X đă dùng đến laptop và kết nối vào LAN của SCB.
Như đă được lập tŕnh trước, một loạt phần mềm gián điệp, virus, spy, trojan, keylog được chỉ định "leo" lên và nằm im mai phục trên ổ cứng PC của X tại văn pḥng. Giai đoạn 1 coi như thành công tốt đẹp! Thử kích hoạt 1 chú. Kết quả mỹ măn! Sau 20 phút "chạy thử" mà không bị phát hiện, hacker quyết định "tắt nó đi" và lên kế hoạch bước 2.
Càn quét
Vậy là coi như đă có nội gián bên trong. Kết hợp với 1 loạt câu lệnh được ngụy trang hết sức an toàn để vượt qua tường lửa. Hacker tiến hành khởi tạo 1 tài khoản cục bộ trên máy PC trong văn pḥng nạn nhân (PC thuộc domain của SCB). Kết quả quá khiêm tốn. Một tài khoản với quyền hạn cực kỳ hạn chế được tạo ra! Hic... Tuy nhiên, không vào hang cọp sao bắt được cọp! Hắn h́ hụi tấn công leo thang đặc quyền để nâng quyền cho chính tài khoản vừa tạo. Cuối cùng th́ cũng xong nhưng đúng lúc đó th́ nạn nhân hết giờ làm việc. Thậm chí, hắn c̣n suưt th́ không kịp xóa tài khoản đó đi !!!
22-9, hôm nay nhân viên X ở lại làm ngoài giờ. Thật là cơ hội vài năm có một, khi mà tự do "lang thang" trong hệ thống lúc quản trị viên của SCB đă nghỉ ! Kích hoạt keylog, rồi khởi động lại PC của nạn nhân từ xa. Chỉ chưa đầy 2 phút sau, hắn đă có username và password truy cập vào domain của tài khoản mang tên X. Lặp lại các thao tác đă rất thành thục, hacker tạo tài khoản trên máy nạn nhân, nâng quyền lên thành admin cục bộ và bắt đầu càn quét.
Vừa sử dụng tài khoản local, vừa sử dụng tài khoản domain, hắn bắt đầu lang thang khắp nơi. Phải nói chính sách phân quyền (miền, vùng, OU, nhóm,..) của SCB khá là lỏng lẻo – hậu quả của sự thiết lập kế thừa chồng chéo quá phức tạp. Nhiều máy tính không cho truy cập vào thư mục gốc nhưng lại cho truy cập vào các thư mục con. V́ vậy, chỉ cần gơ thêm vài cái đuôi kiểu: \Windows, \System, \Programs Files, \Documents and Setting và vào bên trong được!
Sau một hồi càn quét, hacker đă có trong tay thêm 1 cơ số tài khoản thuộc domain. Và một điều cực kỳ bất ngờ xảy ra: Trên một PC có vẻ như của một admin thiếu kinh nghiệm, hacker đă t́m thấy 1 file script dùng để khởi tạo hàng loạt tài khoản người dùng. Như vậy, chắc chắn sẽ có 1 file TXT hoặc XLS chứa thông tin về các tài khoản này!
Tiếp tục ṃ mẫm trong bóng tối, cuối cùng hacker cũng t́m thấy 1 cái file như thế! Rất hớ hênh! Download toàn bộ những file trong thư mục D:\Tuan** về máy của ḿnh, hacker mở lần lượt xem và... Woa... Không thể tin vào mắt mắt: hàng trăm tài khoản domain của SCB vẫn c̣n nguyên password mặc định – Trong đó có cả tài khoản của nhân viên X kia!
Thử nghiệm & ra đ̣n...
30-9, thử nghiệm lần đầu với các tài khoản t́m được. Qua hơn 60 tài khoản, tất cả vẫn access denied! Có vẻ chính sách về password của SCB quá đơn giản nên không có quy tắc nào mà lần ṃ ra được! Hăy suy nghĩ xem nào: Ai là người lười đổi password nhất? Lănh đạo! Đúng, các sếp cực kỳ chủ quan trong cái việc đổi mật khẩu này.
Ḍ ngược lại danh sách hôm trước, lọc ra các user từ Trưởng pḥng trở lên. Lại tiếp tục thử. Eureka... Tài khoản của 1 sếp Phó chủ tịch Hội đồng Quản trị đă được chấp nhận! Vừng ơi, mở cửa ra! Vậy là kết quả đến đây thành công gần như mỹ măn. Trong đó có phần đóng góp không nhỏ của 2 nhân viên SCB: nhân viên X và quản trị viên tên Tuấn** kia.
12-10, đường hoàng đăng nhập từ cửa chính của SCB, hacker (lúc này trong "vai" vị Phó chủ tịch kia) thực hiện 1 loạt các giao dịch trực tuyến với các đối tác nước ngoài. Hàng loạt các yêu cầu chuyển tiền được gửi đi từ Hội sở làm hệ thống giám sát của SCB lúng túng. Tuy nhiên, các giao dịch này rất nhỏ, chỉ 1 vài chục đến gần trăm ngàn đô lại dưới tên Phó chủ tịch HĐQT nên hầu như không ai có thắc mắc hay biện pháp ngăn chặn ǵ...
... Trở về hiện tại
Now!
Các chuyên gia của Bộ công an (C15), VNCERT, BKIS, VNS,.. đang miệt mài làm việc, tranh thủ từng phút để định danh hacker và lần theo dấu vết số tiền đă chuyển ra nước ngoài. Các khoản thanh toán kia th́ gần như tuyệt vọng v́ nó đă được chuyển rất ḷng ṿng qua nhiều ngân hàng và nó quá nhỏ để được các ngân hàng quốc tế lưu tâm.
Các bản ghi trong cơ sở dữ liệu của SCB cho thấy, hacker tiến hành tấn công bằng tài khoản của Phó chủ tịch HĐQT. Dĩ nhiên, dễ dàng chứng minh ông này không phải là người trực tiếp thực hiện v́ thời điểm đó ông đang chủ tŕ một cuộc họp triển khai kế hoạch với sự chứng kiến của hơn 40 người. Tuy nhiên, các dấu vết khác cho thấy, cứ 5 phút địa chỉ IP của hacker lại thay đổi 1 lần!
Rơ ràng hắn đă sử dụng phần mềm thay đổi IP. Với tốc độ nhanh chóng và độ rủi ro thấp như vậy, có thể nói chính xác hắn đă dùng phần mềm Hide IP Platium phiên bản mới nhất. Cảnh sát Việt Nam phối hợp với Interpol nhanh chóng có câu trả lời: Trong 1 tháng qua, chỉ có 2 trường hợp đặt mua Hide IP Platium từ Việt Nam. Đồng thời, 2 IP đă đặt mua phần mềm đó cũng nhanh chóng nằm trên bàn của các điều tra viên đầy kinh nghiệm.
Lần t́m theo địa chỉ IP thứ nhất, rà soát lại bản ghi cấp phát IP từ DHCP server của Viettel, chỉ chưa đầy 1h30' sau cảnh sát đă lần ra 1 cậu sinh viên chuyên ngành CNTT đang học tại TP Hồ Chí Minh. Khám xét khẩn cấp cộng với lấy khẩu cung, cảnh sát kết luận: Sinh viên này chỉ mua phần mềm đó nhằm mục đích học tập và nghiên cứu.
Địa chỉ IP thứ 2 dẫn đến Hà Nội. Tra cứu lịch sử cấp phát IP, địa chỉ đó dẫn đến proxy server VNN-HN01 của VDC, sau đó NAT tiếp qua VNN-HN05, rồi chuyển qua đường GPRS kết nối di động sử dụng 10 line đồng thời, có thiết bị cân bằng tải, của Viettel đặt tại quận Ba Đ́nh. Tiếp tục cô lập 10 SIM di động kia, kích hoạt tính năng định vị, phát hiện chúng cùng nằm ngay gần Trung tâm Hội nghị Quốc Gia. Khi cảnh sát ập đến và khám xét th́ phát hiện tại đó chỉ có 10 máy di động rẻ tiền và đúng 1 PC + 1 router không dây băng rộng!
Xung quanh khu vực đó là hàng trăm văn pḥng, công sở, khu dân cư. Có thể nói hacker đă rất khôn ngoan và tính toán kỹ càng. Việc đưa thiết bị kia về cơ quan điều tra để tiến hành phân tích và nghiên cứu sẽ tốn rất nhiều thời gian mà kết quả th́ gần như vô ích. Hiện tại, hệ thống mạng nội bộ của SCB đă được hạ xuống offline và đang được tiến hành rà soát toàn bộ một cách hết sức kỹ càng.
Theo tin chúng tôi mới nhận được, nhân viên X bị nghi ngờ có tham gia vào quá tŕnh tấn công này. Hiện, cô đang bị tạm giữ để thẩm vấn v́ có tin: cô đă đặt 1 vé máy bay đi Hongkong trong khi lịch công tác của cô chỉ đến Hà Nội. Chúng tôi sẽ tiếp tục cung cấp đến quư vị những tin tức mới nhất của quá tŕnh điều tra. Có thể nói, đây là vụ án li kỳ và thiệt hại lớn nhất trong lĩnh vực này ở Việt Nam từ trước đến nay...
Hihi!Chuyện này không có thật nha các bạn!!!
Trên đây là kịch bản 1 bộ phim về đề tài tội phạm công nghệ cao thời hội nhập do Hăng phim Phước Sang () đặt hàng 4mua viết. V́ là phim nên có thể có nhiều t́nh tiết hơi vô lư. Tuy nhiên, điều này hoàn toàn có thể sẽ xảy ra. Nó khẳng định tŕnh độ IT của người Việt Nam thuộc vào hàng rất cao trên thế giới. Tuy nhiên, định hướng khai thác và sử dụng thế nào lại là cả một vấn đề...
******************
Sưu Tầm.
Alert webmaster - Báo webmaster bài viết vi phạm nội quy
|