Như tin đã đưa, đêm hôm qua rạng sáng nay, hệ thống thanh toán trực tuyến của Ngân hàng Sài gòn Thương tím - SaconBank (SCB) đã bị hacker chiếm quyền điều khiển, tấn công và lấy đi số tiền trị giá 1 triệu USD. Ngay sau khi sự cố xảy ra, các cơ quan chức năng đã tích cực phối hợp điều tra nhằm sớm xác định thủ phạm. Tuy chưa công bố kết quả chính thức, nhưng thông tin nội bộ cho thấy: Quá trình tấn công sơ bộ diễn ra như sau...
Chim mồi
Ngày 12-8, trong quá trình kiểm tra nhật ký các máy chủ, quản trị viên của SCB vô tình phát hiện 1 cuộc kết nối từ bên ngoài vào qua con đường chat hết sức phức tạp. Dù chỉ là 1 cuộc chat chit bình thường, nhưng bạn chat của nhân viên SCB sử dụng những công nghệ tinh vi nhất về mạng máy tính nhằm tìm kiếm một điều gì đó mà quản trị viên vẫn chưa rõ? Ngay lập tức, máy tính của nhân viên SCB kia bị đưa vào tình trạng theo dõi.
Ngày 13-8, toàn bộ nội dung chat của nhân viên SCB kia (tạm gọi là nhân viên X) được chuyển hướng về 1 máy chủ an toàn của SCB và tự động ghi lại tất cả dưới dạng plain text. Quá trình sử dụng thuật toán để dò tìm những nội dung nhạy cảm cho thấy: đây là một cuộc chat hoàn toàn thông thường. Có vẻ như nhân viên X và bạn chat vừa mới quen nhau. Mọi chuyện vẫn được "treo" ở mức an ninh số 2.
Ngày 19-8, qua đúng 1 tuần không phát hiện được gì thêm, các chính sách hệ thống (group policy) được áp dụng cho nhân viên X bị gỡ bỏ theo quy định của SCB. Tuy nhiên, lúc này một số server và router của SCB lại liên tục ghi nhận các cuộc càn quét dải cổng từ 5000 đến 5100 (dùng cho chat) và 1 loạt các gói tin broadcast ra toàn mạng nội bộ. Có vẻ như có kẻ nào đó, đang muốn "dựng" lại sơ đồ hệ thống mạng của SCB.
Ngày 20-8, chính sách hệ thống (GP) lại được tái áp dụng cho nhân viên X. Kết quả cho thấy, hacker đúng là có nhằm vào máy tính của nhân viên X. Nhưng không làm gì, ngoài mục đích trêu đùa và "quảng cáo" trình độ IT của bản thân. Nội dung cuộc chat cho thấy, họ thẳng thắn trao đổi về vấn đề này và thậm chí còn thách đố nhau nữa. Các câu lệnh hoàn toàn tường minh và đều không gây nguy hiểm...
Hacker giăng bẫy
23-8, Phòng IT của SCB quyết định hủy các "chính sách hệ thống" áp dụng cho máy tính của nhân viên X, đồng thời cũng không theo dõi các bản ghi log về tình trạng kết nối của nhân viên này nữa. Tuy nhiên, có 1 quản trị viên trong quá trình thử kết nối ngược lại với anh chàng kia để kiểm tra đã phát hiện 1 chi tiết quan trọng: Anh ta sử dụng NAT liên tục để che dấu nguồn gốc của mình. Sau 2 lần NAT ngược qua proxy server của VDC và 1 lần NAT qua Viettel thì anh ta mất dấu. Rất tiếc là chi tiết này đã không được admin của SCB báo cáo và lưu ý.
24-8, hacker vẫn miệt mài send các request tới máy của nhân viên X. Ít ai ngờ được rằng, câu lệnh tracert mà hacker sử dụng... không nhằm mục địch "dựng" lại sơ đồ mạng của SCB mà nhằm phát hiện: Khi nào thì nhân viên X sử dụng laptop cá nhân? Tại sao lại như vậy? Là bởi vì chính sách bảo mật của 1 laptop thì sơ sài, đơn giản và kém hơn rất nhiều so với 1 máy tính nằm trong 1 mạng LAN có bộ phận IT.
25-8, sau 1 hồi IN – OUT liên tục trên Yahoo và ngắt kết nối giả tạo, hacker đã dụ được nhân viên X sử dụng một đường truyền khác để chat. Hắn nhanh chóng xác định, X đang dùng wifi qua 1 kết nối ADSL công cộng của FPT. Không những vậy, hắn còn dụ được nạn nhân truy cập vào 1 cái bẫy (1 đường link giả trên Internet), qua đó thu thập được phiên bản hệ điều hành và trình duyệt của X.
Mọi thứ quả là như trong mơ! Nhân viên X vẫn sử dụng Windows và Internet Explore với cả 1 đống lỗ hổng an ninh chưa hề được patch. Và quả là chẳng khó khăn gì, hắn sử dụng tool thích hợp, chèn thêm 1 user có quyền cao nhất (admin) lên máy nạn nhân. Sau đó là tuồn vào hàng đống phần mềm mà mã nguồn đã được chỉnh sửa đôi chút với hành vi chỉ nhắm vào SCB – hầu qua mặt tất cả các trình AV và diệt spy, keylog hiện nay. Trước khi out, hắn không quên xóa đi tài khoản quản trị vừa tạo – đằng nào thì tạo lại cũng chỉ mất 1 câu lệnh command!
Dính chưởng
04-9, sau 10 ngày liên tục tỏ vẻ rất bình thường với những câu chuyện không đâu vào đâu. Hacker thử kích hoạt 1 phần mềm nói trên bằng cách dụ nhân viên X click vào 1 đường link trên cửa sổ Yahoo Messenger. Không có phản hồi !!! Hoặc là AV của SCB quá tốt, hoặc là firewall của SCB quá mạnh! Hacker tạm nghỉ, hầu tìm thêm con đường khác. Trước khi rút lui, hắn không quên nói thẳng vài câu giống như đùa cợt về hành vi vừa rồi. Một hành động hết sức khôn ngoan hòng đánh lừa admin SCB khi kiểm tra bản log (nếu có). Kiểu như đi thẳng vào nhà và nói rằng: Tôi đến để ăn trộm đây (sau khi tìm cách ăn trộm không thành).
06-9, đang ăn trưa hắn bật ra 1 ý nghĩ: không phải nhân viên X ngày nào cũng dùng laptop như mình. Có thể cô ấy chưa hề mang laptop trở lại và kết nối vào SCB. Ngay lập tức, hắn online và nói có chuyện cực kỳ quan trọng muốn nói. Câu chuyện cứ chập chà chập chờn lúc được lúc mất vì hắn cố tình như vậy. Lại dở chiêu bài cũ... Cuối cùng thì cũng toại nguyện: nhân viên X đã dùng đến laptop và kết nối vào LAN của SCB.
Như đã được lập trình trước, một loạt phần mềm gián điệp, virus, spy, trojan, keylog được chỉ định "leo" lên và nằm im mai phục trên ổ cứng PC của X tại văn phòng. Giai đoạn 1 coi như thành công tốt đẹp! Thử kích hoạt 1 chú. Kết quả mỹ mãn! Sau 20 phút "chạy thử" mà không bị phát hiện, hacker quyết định "tắt nó đi" và lên kế hoạch bước 2.
Càn quét
Vậy là coi như đã có nội gián bên trong. Kết hợp với 1 loạt câu lệnh được ngụy trang hết sức an toàn để vượt qua tường lửa. Hacker tiến hành khởi tạo 1 tài khoản cục bộ trên máy PC trong văn phòng nạn nhân (PC thuộc domain của SCB). Kết quả quá khiêm tốn. Một tài khoản với quyền hạn cực kỳ hạn chế được tạo ra! Hic... Tuy nhiên, không vào hang cọp sao bắt được cọp! Hắn hì hụi tấn công leo thang đặc quyền để nâng quyền cho chính tài khoản vừa tạo. Cuối cùng thì cũng xong nhưng đúng lúc đó thì nạn nhân hết giờ làm việc. Thậm chí, hắn còn suýt thì không kịp xóa tài khoản đó đi !!!
22-9, hôm nay nhân viên X ở lại làm ngoài giờ. Thật là cơ hội vài năm có một, khi mà tự do "lang thang" trong hệ thống lúc quản trị viên của SCB đã nghỉ ! Kích hoạt keylog, rồi khởi động lại PC của nạn nhân từ xa. Chỉ chưa đầy 2 phút sau, hắn đã có username và password truy cập vào domain của tài khoản mang tên X. Lặp lại các thao tác đã rất thành thục, hacker tạo tài khoản trên máy nạn nhân, nâng quyền lên thành admin cục bộ và bắt đầu càn quét.
Vừa sử dụng tài khoản local, vừa sử dụng tài khoản domain, hắn bắt đầu lang thang khắp nơi. Phải nói chính sách phân quyền (miền, vùng, OU, nhóm,..) của SCB khá là lỏng lẻo – hậu quả của sự thiết lập kế thừa chồng chéo quá phức tạp. Nhiều máy tính không cho truy cập vào thư mục gốc nhưng lại cho truy cập vào các thư mục con. Vì vậy, chỉ cần gõ thêm vài cái đuôi kiểu: \Windows, \System, \Programs Files, \Documents and Setting và vào bên trong được!
Sau một hồi càn quét, hacker đã có trong tay thêm 1 cơ số tài khoản thuộc domain. Và một điều cực kỳ bất ngờ xảy ra: Trên một PC có vẻ như của một admin thiếu kinh nghiệm, hacker đã tìm thấy 1 file script dùng để khởi tạo hàng loạt tài khoản người dùng. Như vậy, chắc chắn sẽ có 1 file TXT hoặc XLS chứa thông tin về các tài khoản này!
Tiếp tục mò mẫm trong bóng tối, cuối cùng hacker cũng tìm thấy 1 cái file như thế! Rất hớ hênh! Download toàn bộ những file trong thư mục D:\Tuan** về máy của mình, hacker mở lần lượt xem và... Woa... Không thể tin vào mắt mắt: hàng trăm tài khoản domain của SCB vẫn còn nguyên password mặc định – Trong đó có cả tài khoản của nhân viên X kia!
Thử nghiệm & ra đòn...
30-9, thử nghiệm lần đầu với các tài khoản tìm được. Qua hơn 60 tài khoản, tất cả vẫn access denied! Có vẻ chính sách về password của SCB quá đơn giản nên không có quy tắc nào mà lần mò ra được! Hãy suy nghĩ xem nào: Ai là người lười đổi password nhất? Lãnh đạo! Đúng, các sếp cực kỳ chủ quan trong cái việc đổi mật khẩu này.
Dò ngược lại danh sách hôm trước, lọc ra các user từ Trưởng phòng trở lên. Lại tiếp tục thử. Eureka... Tài khoản của 1 sếp Phó chủ tịch Hội đồng Quản trị đã được chấp nhận! Vừng ơi, mở cửa ra! Vậy là kết quả đến đây thành công gần như mỹ mãn. Trong đó có phần đóng góp không nhỏ của 2 nhân viên SCB: nhân viên X và quản trị viên tên Tuấn** kia.
12-10, đường hoàng đăng nhập từ cửa chính của SCB, hacker (lúc này trong "vai" vị Phó chủ tịch kia) thực hiện 1 loạt các giao dịch trực tuyến với các đối tác nước ngoài. Hàng loạt các yêu cầu chuyển tiền được gửi đi từ Hội sở làm hệ thống giám sát của SCB lúng túng. Tuy nhiên, các giao dịch này rất nhỏ, chỉ 1 vài chục đến gần trăm ngàn đô lại dưới tên Phó chủ tịch HĐQT nên hầu như không ai có thắc mắc hay biện pháp ngăn chặn gì...
... Trở về hiện tại
Chim mồi
Ngày 12-8, trong quá trình kiểm tra nhật ký các máy chủ, quản trị viên của SCB vô tình phát hiện 1 cuộc kết nối từ bên ngoài vào qua con đường chat hết sức phức tạp. Dù chỉ là 1 cuộc chat chit bình thường, nhưng bạn chat của nhân viên SCB sử dụng những công nghệ tinh vi nhất về mạng máy tính nhằm tìm kiếm một điều gì đó mà quản trị viên vẫn chưa rõ? Ngay lập tức, máy tính của nhân viên SCB kia bị đưa vào tình trạng theo dõi.
Ngày 13-8, toàn bộ nội dung chat của nhân viên SCB kia (tạm gọi là nhân viên X) được chuyển hướng về 1 máy chủ an toàn của SCB và tự động ghi lại tất cả dưới dạng plain text. Quá trình sử dụng thuật toán để dò tìm những nội dung nhạy cảm cho thấy: đây là một cuộc chat hoàn toàn thông thường. Có vẻ như nhân viên X và bạn chat vừa mới quen nhau. Mọi chuyện vẫn được "treo" ở mức an ninh số 2.
Ngày 19-8, qua đúng 1 tuần không phát hiện được gì thêm, các chính sách hệ thống (group policy) được áp dụng cho nhân viên X bị gỡ bỏ theo quy định của SCB. Tuy nhiên, lúc này một số server và router của SCB lại liên tục ghi nhận các cuộc càn quét dải cổng từ 5000 đến 5100 (dùng cho chat) và 1 loạt các gói tin broadcast ra toàn mạng nội bộ. Có vẻ như có kẻ nào đó, đang muốn "dựng" lại sơ đồ hệ thống mạng của SCB.
Ngày 20-8, chính sách hệ thống (GP) lại được tái áp dụng cho nhân viên X. Kết quả cho thấy, hacker đúng là có nhằm vào máy tính của nhân viên X. Nhưng không làm gì, ngoài mục đích trêu đùa và "quảng cáo" trình độ IT của bản thân. Nội dung cuộc chat cho thấy, họ thẳng thắn trao đổi về vấn đề này và thậm chí còn thách đố nhau nữa. Các câu lệnh hoàn toàn tường minh và đều không gây nguy hiểm...
Hacker giăng bẫy
23-8, Phòng IT của SCB quyết định hủy các "chính sách hệ thống" áp dụng cho máy tính của nhân viên X, đồng thời cũng không theo dõi các bản ghi log về tình trạng kết nối của nhân viên này nữa. Tuy nhiên, có 1 quản trị viên trong quá trình thử kết nối ngược lại với anh chàng kia để kiểm tra đã phát hiện 1 chi tiết quan trọng: Anh ta sử dụng NAT liên tục để che dấu nguồn gốc của mình. Sau 2 lần NAT ngược qua proxy server của VDC và 1 lần NAT qua Viettel thì anh ta mất dấu. Rất tiếc là chi tiết này đã không được admin của SCB báo cáo và lưu ý.
24-8, hacker vẫn miệt mài send các request tới máy của nhân viên X. Ít ai ngờ được rằng, câu lệnh tracert mà hacker sử dụng... không nhằm mục địch "dựng" lại sơ đồ mạng của SCB mà nhằm phát hiện: Khi nào thì nhân viên X sử dụng laptop cá nhân? Tại sao lại như vậy? Là bởi vì chính sách bảo mật của 1 laptop thì sơ sài, đơn giản và kém hơn rất nhiều so với 1 máy tính nằm trong 1 mạng LAN có bộ phận IT.
25-8, sau 1 hồi IN – OUT liên tục trên Yahoo và ngắt kết nối giả tạo, hacker đã dụ được nhân viên X sử dụng một đường truyền khác để chat. Hắn nhanh chóng xác định, X đang dùng wifi qua 1 kết nối ADSL công cộng của FPT. Không những vậy, hắn còn dụ được nạn nhân truy cập vào 1 cái bẫy (1 đường link giả trên Internet), qua đó thu thập được phiên bản hệ điều hành và trình duyệt của X.
Mọi thứ quả là như trong mơ! Nhân viên X vẫn sử dụng Windows và Internet Explore với cả 1 đống lỗ hổng an ninh chưa hề được patch. Và quả là chẳng khó khăn gì, hắn sử dụng tool thích hợp, chèn thêm 1 user có quyền cao nhất (admin) lên máy nạn nhân. Sau đó là tuồn vào hàng đống phần mềm mà mã nguồn đã được chỉnh sửa đôi chút với hành vi chỉ nhắm vào SCB – hầu qua mặt tất cả các trình AV và diệt spy, keylog hiện nay. Trước khi out, hắn không quên xóa đi tài khoản quản trị vừa tạo – đằng nào thì tạo lại cũng chỉ mất 1 câu lệnh command!
Dính chưởng
04-9, sau 10 ngày liên tục tỏ vẻ rất bình thường với những câu chuyện không đâu vào đâu. Hacker thử kích hoạt 1 phần mềm nói trên bằng cách dụ nhân viên X click vào 1 đường link trên cửa sổ Yahoo Messenger. Không có phản hồi !!! Hoặc là AV của SCB quá tốt, hoặc là firewall của SCB quá mạnh! Hacker tạm nghỉ, hầu tìm thêm con đường khác. Trước khi rút lui, hắn không quên nói thẳng vài câu giống như đùa cợt về hành vi vừa rồi. Một hành động hết sức khôn ngoan hòng đánh lừa admin SCB khi kiểm tra bản log (nếu có). Kiểu như đi thẳng vào nhà và nói rằng: Tôi đến để ăn trộm đây (sau khi tìm cách ăn trộm không thành).
06-9, đang ăn trưa hắn bật ra 1 ý nghĩ: không phải nhân viên X ngày nào cũng dùng laptop như mình. Có thể cô ấy chưa hề mang laptop trở lại và kết nối vào SCB. Ngay lập tức, hắn online và nói có chuyện cực kỳ quan trọng muốn nói. Câu chuyện cứ chập chà chập chờn lúc được lúc mất vì hắn cố tình như vậy. Lại dở chiêu bài cũ... Cuối cùng thì cũng toại nguyện: nhân viên X đã dùng đến laptop và kết nối vào LAN của SCB.
Như đã được lập trình trước, một loạt phần mềm gián điệp, virus, spy, trojan, keylog được chỉ định "leo" lên và nằm im mai phục trên ổ cứng PC của X tại văn phòng. Giai đoạn 1 coi như thành công tốt đẹp! Thử kích hoạt 1 chú. Kết quả mỹ mãn! Sau 20 phút "chạy thử" mà không bị phát hiện, hacker quyết định "tắt nó đi" và lên kế hoạch bước 2.
Càn quét
Vậy là coi như đã có nội gián bên trong. Kết hợp với 1 loạt câu lệnh được ngụy trang hết sức an toàn để vượt qua tường lửa. Hacker tiến hành khởi tạo 1 tài khoản cục bộ trên máy PC trong văn phòng nạn nhân (PC thuộc domain của SCB). Kết quả quá khiêm tốn. Một tài khoản với quyền hạn cực kỳ hạn chế được tạo ra! Hic... Tuy nhiên, không vào hang cọp sao bắt được cọp! Hắn hì hụi tấn công leo thang đặc quyền để nâng quyền cho chính tài khoản vừa tạo. Cuối cùng thì cũng xong nhưng đúng lúc đó thì nạn nhân hết giờ làm việc. Thậm chí, hắn còn suýt thì không kịp xóa tài khoản đó đi !!!
22-9, hôm nay nhân viên X ở lại làm ngoài giờ. Thật là cơ hội vài năm có một, khi mà tự do "lang thang" trong hệ thống lúc quản trị viên của SCB đã nghỉ ! Kích hoạt keylog, rồi khởi động lại PC của nạn nhân từ xa. Chỉ chưa đầy 2 phút sau, hắn đã có username và password truy cập vào domain của tài khoản mang tên X. Lặp lại các thao tác đã rất thành thục, hacker tạo tài khoản trên máy nạn nhân, nâng quyền lên thành admin cục bộ và bắt đầu càn quét.
Vừa sử dụng tài khoản local, vừa sử dụng tài khoản domain, hắn bắt đầu lang thang khắp nơi. Phải nói chính sách phân quyền (miền, vùng, OU, nhóm,..) của SCB khá là lỏng lẻo – hậu quả của sự thiết lập kế thừa chồng chéo quá phức tạp. Nhiều máy tính không cho truy cập vào thư mục gốc nhưng lại cho truy cập vào các thư mục con. Vì vậy, chỉ cần gõ thêm vài cái đuôi kiểu: \Windows, \System, \Programs Files, \Documents and Setting và vào bên trong được!
Sau một hồi càn quét, hacker đã có trong tay thêm 1 cơ số tài khoản thuộc domain. Và một điều cực kỳ bất ngờ xảy ra: Trên một PC có vẻ như của một admin thiếu kinh nghiệm, hacker đã tìm thấy 1 file script dùng để khởi tạo hàng loạt tài khoản người dùng. Như vậy, chắc chắn sẽ có 1 file TXT hoặc XLS chứa thông tin về các tài khoản này!
Tiếp tục mò mẫm trong bóng tối, cuối cùng hacker cũng tìm thấy 1 cái file như thế! Rất hớ hênh! Download toàn bộ những file trong thư mục D:\Tuan** về máy của mình, hacker mở lần lượt xem và... Woa... Không thể tin vào mắt mắt: hàng trăm tài khoản domain của SCB vẫn còn nguyên password mặc định – Trong đó có cả tài khoản của nhân viên X kia!
Thử nghiệm & ra đòn...
30-9, thử nghiệm lần đầu với các tài khoản tìm được. Qua hơn 60 tài khoản, tất cả vẫn access denied! Có vẻ chính sách về password của SCB quá đơn giản nên không có quy tắc nào mà lần mò ra được! Hãy suy nghĩ xem nào: Ai là người lười đổi password nhất? Lãnh đạo! Đúng, các sếp cực kỳ chủ quan trong cái việc đổi mật khẩu này.
Dò ngược lại danh sách hôm trước, lọc ra các user từ Trưởng phòng trở lên. Lại tiếp tục thử. Eureka... Tài khoản của 1 sếp Phó chủ tịch Hội đồng Quản trị đã được chấp nhận! Vừng ơi, mở cửa ra! Vậy là kết quả đến đây thành công gần như mỹ mãn. Trong đó có phần đóng góp không nhỏ của 2 nhân viên SCB: nhân viên X và quản trị viên tên Tuấn** kia.
12-10, đường hoàng đăng nhập từ cửa chính của SCB, hacker (lúc này trong "vai" vị Phó chủ tịch kia) thực hiện 1 loạt các giao dịch trực tuyến với các đối tác nước ngoài. Hàng loạt các yêu cầu chuyển tiền được gửi đi từ Hội sở làm hệ thống giám sát của SCB lúng túng. Tuy nhiên, các giao dịch này rất nhỏ, chỉ 1 vài chục đến gần trăm ngàn đô lại dưới tên Phó chủ tịch HĐQT nên hầu như không ai có thắc mắc hay biện pháp ngăn chặn gì...
... Trở về hiện tại
