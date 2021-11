Cuộc tấn công máy chủ ngân hàng chiếm đoạt hơn 44 tỷ đồng, cùng các chiêu thức xóa dấu vết, đánh lạc hướng hoạt động điều tra của gã ở một “level” chưa từng có tại Việt Nam.

Thượng tá Hà cười rồi cho biết đó là kẻ được xếp hạng thứ 36 trong danh sách hacker nguy hiểm nhất trên thế giới và đang bị truy nã toàn cầu bởi Cục Điều tra liên bang Mỹ (FBI). “Đẳng cấp” ấy vô hình trung lại nói lên “trình” của lực lượng phá án.

Cuộc tấn công bí hiểm

Vì nhiều lý do khác nhau, nên chiến công xuất sắc của Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Công an TP Hà Nội, chưa từng được công bố. Sau nhiều cân nhắc, cuối cùng Thượng tá Phạm Đức Hà – (Phó trưởng phòng, người trực tiếp chỉ huy cuộc điều tra) cũng đã chia sẻ với tôi ít nhiều tình tiết bên lề trận đánh, với yêu cầu bảo mật tuyệt đối thông tin về bị hại.

Tháng 9/2019, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao tiếp nhận công văn trình báo của Ngân hàng X về việc bị đối tượng truy cập trái phép vào hệ thống máy chủ của ngân hàng, chiếm đoạt số tiền hơn 44 tỷ đồng. Ngoài ra, trong tháng 8/2019, có 2 khách hàng khiếu nại về việc không thực hiện 3 giao dịch nhưng tài khoản vẫn bị trừ tiền. Do thiệt hại không lớn nên ngân hàng X đã xử lý nội bộ.

Chỉ huy cuộc điều tra, Thượng tá Hà đưa ra nhận định nhiều khả năng các vụ này đều do một nhóm tội phạm rất “siêu” về công nghệ thông tin thực hiện. Dường như 2 vụ trước là động tác “ném đá thăm đường”, chuẩn bị “đánh quả đậm” sau đó.

Kiểm tra dữ liệu trên máy chủ (server) của ngân hàng X, xác định đã có 26 địa chỉ IP truy cập vào hệ thống, trong đó có 5 địa chỉ IP nước ngoài với server máy chủ đặt tại Singapore, Mỹ,... cùng một số địa chỉ IP tại Việt Nam. Kiểm tra máy tính có địa chỉ IP liên quan, thấy kẻ tấn công có thể đã bẻ khóa, truy cập từ xa và sử dụng các máy tính này làm “bàn đạp" để tấn công vào hệ thống máy chủ của ngân hàng X.

Đối tượng tỏ ra am hiểu rất sâu hệ thống dữ liệu của ngân hàng X, thao tác trên server rất thành thạo, biết được những đặc điểm riêng biệt của hệ thống ngân hàng X so với các ngân hàng khác. Điều này đặt ra nghi vấn vụ án có yếu tố nội bộ. Giả thuyết này càng được củng cố khi tiến hành phân tích hệ thống phát hiện ra các phiên truy cập từ tài khoản của một số nhân viên IT ngân hàng X. Thậm chí từ máy tính của một số người có truy cập trình duyệt Internet để tìm kiếm với các từ khóa: “cách tấn công hệ thống", “khai thác lỗ hổng"…

CBCS Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an TP Hà Nội triển khai kế hoạch phá án.

Truy xét

Theo hướng điều tra vào nội bộ ngân hàng, mọi vấn đề cá nhân của 129 nhân viên IT đang làm việc hoặc đã nghỉ việc tại ngân hàng X được rà đi, soát lại, nhưng vẫn không tìm thấy điều gì bất thường, khả năng máy tính của họ đã bị “hack”.

Đúng lúc đó, ông chủ tịch ngân hàng X lại nhận được một email bằng tiếng Trung Quốc, với nội dung yêu cầu ngân hàng X phải chuyển cho đối tượng một khoản tiền lớn, nếu không sẽ bị đánh sập hệ thống. Việc này lại “bẻ lái” hướng suy nghĩ rằng vụ án có yếu tố nước ngoài. Quả thực là một bài toán thậm khó, việc điều tra có lúc tưởng chừng lâm vào bế tắc.

Tổ làm án nhận định hướng truy xét thủ phạm duy nhất lúc này là lần theo hướng chảy của dòng tiền 44 tỷ đã bị chiếm đoạt. Kết quả tra soát xác định số tiền trên đã được chuyển vào tài khoản mang tên Bùi Xuân Huấn. Sau đó tiền được chuyển nhiều lần đến 34 tài khoản khác nhau, đứng tên nhiều người, trong đó có một số chủ sàn giao dịch tiền điện tử.

Dựa vào sơ đồ dòng tiền, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao ra công văn yêu cầu các ngân hàng có tài khoản đã nhận tiền từ vụ tấn công phong tỏa gần 20 tỷ đồng để hạn chế thiệt hại cho ngân hàng X, đồng thời triệu tập, đấu tranh xét hỏi các chủ tài khoản liên quan.

Kết quả xác định kẻ đã thuê họ mở tài khoản với giá từ 4 đến 5 trăm nghìn/tài khoản, kèm theo số điện thoại liên kết tên là Nguyễn Văn Sơn (SN 1998, ở Sóc Sơn, Hà Nội). Sau khi nhận “hàng”, Sơn đã chỉ đạo đàn em chuyển tài khoản đến cho một người xưng tên "Thái" tại khu vực tòa nhà SkyPark (số 3 Tôn Thất Thuyết - Hà Nội).

Tiến hành rà soát camera tại khu vực tòa nhà này thu được hình ảnh tên “Thái". Xác minh về 2 tài khoản đã nhận số tiền từ 3 vụ tấn công thăm dò trong tháng 8/2019 tại ngân hàng X, tổ làm án thu được hình ảnh của người tên là “Long”. Rà soát camera theo các hướng ra vào tại các máy ATM, phát hiện kẻ rút tiền đi bằng xe máy Honda Cub 82, BKS 29H6 – 7295.

Phối hợp với Phòng CSGT tiến hành xác minh về chủ phương tiện, cuối cùng đã lần ra người hiện đang sử dụng chiếc xe đó là Vũ Ngọc Tú (SN 1975, ở tại CT9 - KĐT Mỹ Đình Sông Đà, Nam Từ Liêm, Hà Nội). Tú cũng chính là “Thái” và “Long” – kẻ có hình ảnh bị camera lưu lại trước đó. Tuy nhiên khi được mời lên làm việc, Tú phủ nhận mọi cáo buộc liên quan đến vụ tấn công ngân hàng.

Từng là điều tra viên dày dạn kinh nghiệm ở Đội điều tra trọng án - Phòng CSHS Hà Nội, Thượng tá Hà hiểu nếu không sử dụng chứng cứ đấu tranh, không đời nào gã chịu nhận tội. Trước yêu cầu giải thích về hình ảnh của mình, cuối cùng Tú đã phải thú nhận sự liên quan đến vụ án, nhưng lại khai mình chỉ là kẻ đi rút tiền thuê cho một người đàn ông Trung Quốc tên là Chang, hiện đang lưu trú tại khu Đình Thôn, Mỹ Đình 1, Nam Từ Liêm. Tú khai gặp Chang tại khách sạn The Luxe ở 261 Lê Thánh Tôn, Quận 1, TP. Hồ Chí Minh.

Nhận định Vũ Ngọc Tú có thể chỉ là mắt xích trong đường dây tội phạm, kẻ chủ mưu là người khác, lời khai của Tú còn nhiều mâu thuẫn, quanh co nhằm bao che cho đồng bọn, cần bắt ngay để ngăn chặn việc bỏ trốn hoặc tiêu hủy chứng cứ, ngày 18/9/2019, Cơ quan CSĐT – Công TP Hà Nội đã khởi tố bị can và bắt tạm giam Tú về tội “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản”, quy định tại Điều 290 - BLHS năm 2015.

Nhận thấy Tú chưa khai thật về tên chủ mưu, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao tiếp tục rà soát toàn bộ khách sạn tại khu vực Đình Thôn, P. Mỹ Đình 1; rà soát các chuyến bay từ Hà Nội - TP Hồ Chí Minh; Hà Nội - Phú Quốc; rà soát camera tại khách sạn The Lux tại Quận 1 - TP. Hồ Chí Minh là nơi Tú khai đã gặp Chang… xác định không hề có đối tượng “Chang" nào như Tú đã khai. Hoạt động xác minh tiếp theo đã thu băng ghi âm giọng nói của Tú khi giao dịch với tổng đài hệ thống bán điện thoại.

Truy tiếp ra được nhiều thông tin quan trọng, cho phép xác định Tú đã liên hệ với các chủ sàn giao dịch tiền điện tử. Cuối cùng thu được các căn cứ xác định gần 24 tỷ đồng chiếm đoạt được của ngân hàng X đã được đối tượng dùng để mua tiền điện tử như Bitcoin, Perfectmoney… trên sàn giao dịch điện tử tại nước ngoài, rồi bán lại cho một nick là Nguyễn Văn Thông. Số tiền thu được hơn 17 tỷ đồng đã chuyển đến tài khoản mang tên Nguyễn Quốc Việt mở tại ngân hàng M.

Đối tượng phạm tội sử dụng công nghệ cao trả lời xét hỏi.

Lộ diện

Căn cứ tài liệu thu thập được, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao cùng đơn vị thụ lý án đã đấu tranh, phản bác toàn bộ lời khai của Tú liên quan đến đối tượng “Chang". Trước các chứng cứ xác đáng, Tú đã phải khai ra kẻ chủ mưu và trực tiếp tấn công hệ thống server của ngân hàng X là Nguyễn Quốc Việt (SN 1987, trú tại Giảng Võ - Ba Đình - Hà Nội).

Tiến hành triệu tập, đấu tranh với hai vợ chồng Việt, từng bước bẻ gãy thái độ chống đối, cuối cùng tổ làm án đã buộc Việt khai nhận toàn bộ quá trình tấn công máy chủ ngân hàng X để chiếm đoạt số tiền đặc biệt lớn, cùng các mưu chước xóa dấu vết, đánh lạc hướng hoạt động điều tra của mình.

Theo đó, vào khoảng tháng 6/2019, Việt thu thập được danh sách địa chỉ email của một số nhân viên IT ngân hàng X. Gã đã giả lập 1 email giả danh lãnh đạo ngân hàng này để gửi thư điện tử đến các nhân viên IT, kèm đường link ẩn, nhằm mục đích chiếm đoạt quyền quản trị tài khoản truy cập hệ thống ngân hàng X của họ.

Bằng cách trên, Việt đã chiếm đoạt được quyền quản trị email của anh A và truy cập vào hệ thống thư điện tử chạy trên hệ thống máy chủ, tạo lập một tài khoản quản trị có quyền được đọc toàn bộ email của các nhân viên IT trong ngân hàng X.

Qua việc đọc email nội bộ, Việt có được nhiều mật khẩu truy cập máy tính, mật khẩu truy cập tài khoản của các nhân viên quản trị hệ thống cơ sở dữ liệu. Sau đó, Việt truy cập vào hệ thống nội bộ ngân hàng X để tìm hiểu các thông tin giao dịch, cách thức hoạt động và hệ thống chuyển tiền của ngân hàng để thực hiện các cuộc tấn công như đã kể trên.

“Năm 2015, Việt từng tấn công hệ thống tài chính ở Mỹ và “được” xếp hạng là “hacker" nguy hiểm thứ 36 trên thế giới. FBI đang truy nã tên này ở cấp độ toàn cầu. Sự tinh quái của Việt trong cuộc tấn công lần này, đó là chiếm quyền truy cập của nhiều máy tính tại các nơi khác nhau, rồi từ đó làm bàn đạp truy cập máy chủ của ngân hàng X để đánh lạc hướng điều tra.

Đồng thời y thay đổi phương thức thông báo biến động số dư, nhận OTP nên bị hại bị chiếm đoạt tiền thường sau một thời gian mới phát hiện ra. Bài học rút ra từ vụ án này, đó là phải bịt lại các lỗ hổng bảo mật hệ thống của ngân hàng, như xây dựng hệ thống server song song (server thứ 2 lưu trữ toàn bộ dữ liệu từ server 1 và không thể can thiệp chỉnh sửa dữ liệu); tạo cơ chế xác thực thiết bị truy cập vào hệ thống ngân hàng” – Thượng tá Hà tư vấn.