Theo ZDNet, tin tặc đã xâm nhập vào hệ thống của Redbanc, một mạng lưới liên kết nối các máy ATM của tất cả các ngân hàng ở Chile.
Nghi phạm đứng sau vụ tấn công là một nhóm tin tặc được biết đến với tên gọi Lazarus (hay Hidden Cobra). Theo ZDNet, nhóm tin tặc này có mối quan hệ mật thiết với Bình Nhưỡng và là một trong những nhóm nguy hiểm nhất. Trong năm qua, chúng đã thực hiện các cuộc tấn công vào một số ngân hàng, tổ chức tài chính và các đơn vị trao đổi tiền điện tử.
Trong một bài đăng trên Twitter, thượng nghị sĩ Chile Felipe Harboe B cho biết cuộc tấn công nhắm vào Redbanc đã được thực hiện vào cuối tháng 12/2018.
Giao diện của phần mềm ApplicationPDF.exe. |
Theo điều tra từ trendTIC, Lazarus đã lợi dụng một trong những nhân viên tại Redbanc để thực hiện cuộc tấn công. Chúng đã tiếp cận người này bằng một quảng cáo tuyển dụng trên Linkedln và yêu cầu anh ta tham gia phỏng vấn.
TrendTIC cho biết, trong cuộc phỏng vấn, nhân viên của Redbanc đã được yêu cầu tải xuống và cài đặt một tệp tin có tên ApplicationPDF.exe. Ứng dụng này được mô tả là một chương trình hỗ trợ quy trình tuyển dụng và tạo mẫu đơn đăng ký.
Tuy nhiên, theo phân tích của Vitali Kremez, Giám đốc nghiên cứu tại Flashpoint, tệp tin được tải xuống và cài đặt thực chất là PowerRatankba, một loại phần mềm độc hại có liên kết với các chương trình của Lazarus.
Kremez cho biết phần mềm độc hại này đã thu thập thông tin trên máy tính làm việc của nhân viên Redbanc và gửi về cho một máy chủ ở xa. Thông tin thu thập được bao gồm dữ liệu người dùng, cấu hình phần cứng, hệ điều hành, danh sách các chương trình đang thực hiện, proxy. Sau đó, chúng tiếp tục tải những mã độc tiếp theo để chiếm quyền kiểm soát hệ thống máy rút tiền tại Chile.
Trước đó, nhóm tin tặc này cũng đã bị chính phủ Mỹ cáo buộc đánh cắp tiền từ Banco de Chile, một ngân hàng tại Chile.