Trước đó, nhóm tin tặc Bắc Triều Tiên đã phát triển một loại phần mềm độc hại mới được cấy trên các hệ thống ATM. Nó được sử dụng để ghi lại và đánh cắp dữ liệu từ thẻ thanh toán được người sử dụng đưa vào máy. Được đặt tên là ATMDtrack, phần mềm độc hại mới này đã được phát hiện trên mạng của các ngân hàng Ấn Độ kể từ cuối mùa hè 2018, các chuyên gia của Kaspersky cho biết trong một báo cáo được công bố mới đây.
Các cuộc tấn công mới nhất đã nhắm mục tiêu vào các trung tâm nghiên cứu của Ấn Độ với phiên bản mạnh hơn và mở rộng hơn của DTrack, tập trung vào gián điệp và đánh cắp dữ liệu đi kèm với các tính năng thường thấy trong trojan truy cập từ xa (RAT).
Liên kết đến nhóm tin tặc nhà nước lớn nhất của Bắc Triều Tiên
Các nhà nghiên cứu của Kaspersky cho biết cả hai chủng phần mềm độc hại mà họ theo dõi đều thuộc họ DTrack, có nhiều điểm tương đồng với phần mềm độc hại được sử dụng trong "Chiến dịch DarkSeoul", đây là một loạt các cuộc tấn công nhằm vào các mục tiêu của Hàn Quốc vào năm 2013. Những cuộc tấn công này được cho là của nhóm tin tặc Lazarus, một nhóm tội phạm mạng nổi tiếng được hậu thuẫn bởi chính phủ Triều Tiên.
Lazarus là một trong ba nhóm tin tặc của Triều Tiên đã bị Bộ Tài chính Mỹ ra lệnh trừng phạt 10 ngày trước vì tội tấn công vào các ngân hàng, mạng ATM, trang web đánh bạc, sòng bạc trực tuyến và trao đổi tiền điện tử để đánh cắp tiền từ các doanh nghiệp hợp pháp và gây quỹ cho các chương trình vũ khí cũng như tên lửa của Triều Tiên.
Việc xử phạt ba nhóm này là nỗ lực gần đây nhất của Chính phủ Mỹ để buộc các tin tặc Triều Tiên chịu trách nhiệm về các cuộc tấn công mạng, cũng như nhằm bảo vệ các hệ thống tài chính và cơ sở hạ tầng quan trọng của Mỹ trước các mối đe dọa an ninh mạng. Các lệnh trừng phạt hướng tới việc ngăn chặn bất kỳ tổ chức tài chính nước ngoài nào cố tình tạo điều kiện cho các giao dịch hoặc dịch vụ quan trọng cho các nhóm tin tặc, đồng thời đóng băng mọi tài sản có liên quan của ba nhóm này.
Phần mềm độc hại DTrack được phát triển bởi nhóm tin tặc Lazarus và được triển khai lần đầu tiên vào cuối mùa hè năm 2018. Kaspersky cho biết đã quan sát thấy hoạt động các mẫu gần đây nhất trong tháng 9/2019, bao gồm:
Các mẫu DTrack gần đây có thể thực hiện các hoạt động sau: Trình theo dõi bàn phím (keylogging); Truy xuất lịch sử trình duyệt; Thu thập địa chỉ IP máy chủ, thông tin về các mạng khả dụng và các kết nối hoạt động; Liệt kê các tiến trình đang chạy; Liệt kê các tập tin trên tất cả các ổ đĩa có sẵn.
Dựa trên thông tin hiện có, các nhà nghiên cứu của Kaspersky cho biết hiện chưa rõ liệu DTrack có được phát triển từ ATMDtrack hay không, hay ATMDTrack được phát triển từ chủng DTrack chính khi tin tặc Bắc Triều Tiên tìm cách tấn công Ấn Độ vào năm ngoái và cần một công cụ chuyên dụng để nhắm mục tiêu vào các máy ATM.