Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / อาชญากรรมซ้อนกล: การวางแผนโจรกรรมแบงก์… จริงๆ แล้วจะเอาอะไรกันแน่?

อาชญากรรมซ้อนกล: การวางแผนโจรกรรมแบงก์… จริงๆ แล้วจะเอาอะไรกันแน่?

อาชญากรรมซ้อนกล: การวางแผนโจรกรรมแบงก์… จริงๆ แล้วจะเอาอะไรกันแน่?

ผู้เชี่ยวชาญแคสเปอร์สกี้ แลป ค้นพบวิธีการที่โจรปล้นตู้เอทีเอ็มของธนาคารได้แล้ว

เจอวายร้าย ATMitch ถอนเงินได้แบบไร้ร่องรอย

ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป แถลงรายละเอียดงานวิจัย ถึงกลเม็ดเด็ดพรายสุดล้ำที่ผู้ร้ายใช้ถอนเงินจากตู้เอทีเอ็มได้จากการทำแอดมินระยะไกล และได้ลงมือสืบสวนเรื่องนี้ ตรวจสอบตู้เอทีเอ็มที่ว่างเปล่าไม่มีเงิน ไม่มีร่องรอยการงัดแงะหรือกระทำการใดๆ กับตัวตู้เลย และไม่มีแม้กระทั่งมัลแวร์ หลังการทุ่มเทวิจัยคดีนี้ ในที่สุดก็เข้าใจชัดทั้งทูลที่อาชญากรใช้ในการโจรกรรม และยังสามารถจำลองวิธีการโจรกรรมได้ด้วย จึงค้นพบช่องโหว่ด้านระบบความปลอดภัยในระบบของธนาคาร

เมื่อเดือนกุมภาพันธ์ปี 2017 นี้ ได้ตีพิมพ์เผยแพร่ ผลการสืบสวนสอบสวน กรณีการจู่โจมลึกลับที่ไร้ร่องรอยของไฟล์ที่เกิดขึ้นกับธนาคาร: อาชญากรใช้อินเมมโมรี่มัลแวร์ (in-memory malware) เพื่อแพร่เชื้อใส่ระบบเครือข่ายของธนาคาร แต่ทำไมพวกเขาจึงเลือกวิธีการทำเช่นนี้? กรณี ATMitch ทำให้เราเข้าใจภาพรวมได้กระจ่างชัดยิ่งขึ้น

การสืบสวนสอบสวนเริ่มต้นหลังจากที่ผู้เชี่ยวชาญพิสูจน์หลักฐานของธนาคารได้กู้ไฟล์และส่งต่อสองไฟล์ – ซึ่งเป็นสองไฟล์ที่หลงเหลืออยู่หลังการโจมตีเท่านั้น – ที่มีมัลแวร์ล็อก (logs) จากฮาร์ดไดรว์ของตู้เอทีเอ็ม (kl.txt and logfile.txt) อยู่: ส่วนการที่จะกู้ไฟล์ executables ของผู้ร้ายคืนมานั้นเป็นไปไม่ได้เพราะอาชญากรจะลบมัลแวร์ทิ้งหลังเสร็จสิ้นกระบวนการโจรกรรม อย่างไรก็ตาม ข้อมูลเล็กน้อยเช่นนี้ก็เพียงพอสำหรับแคสเปอร์สกี้ แลปในการดำเนินการสอบสวนสืบค้นหาร่องรอยกรณีนี้ต่อไป

Erase / rewind

ภายในล็อกไฟล์ (log files) ที่ได้จากการสอบสวน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป สามารถระบุร่องรอยได้จากชิ้นส่วนข้อมูลใน plain text สามารถนำมาสร้าง YARA rule สำหรับคลังเก็บมัลแวร์สาธารณะเพื่อค้นหาตัวอย่าง โดยที่ YARA rules — พื้นฐานแล้วก็คือ สตริงเพื่อการสืบค้น (search strings) — ช่วยนักวิเคราะห์ค้นหา จัดกรุ๊ป และจัดเข้าหมวดหมู่ บรรดาตัวอย่างมัลแวร์ที่เกี่ยวข้องกัน จากนั้นหาความเชื่อมโยงระหว่างกันโดยอิงจากแพทเทิร์นรูปแบบของกิจกรรมที่น่าสงสัยบนระบบหรือเครือข่ายที่มีลักษณะคล้ายคลึงกัน

หลังจากรออยู่หนึ่งวัน ผู้เชี่ยวชาญพบตัวอย่างมัลแวร์ที่ต้องการ นั่นคือ “tv.dll” หรือรู้จักกันในชื่อใหม่ว่า ‘ATMitch’ เคยถูกพบอาละวาดอยู่ทั่วๆ ไปอยู่สองครั้งด้วยกัน: ครั้งแรกที่คาซัคสถาน และอีกครั้งที่รัสเซีย

มัลแวร์ตัวนี้ติดตั้งและปฏิบัติการได้จากระยะไกล กับตู้เอทีเอ็มของธนาคารเหยื่อเป้าหมาย ควบคุมเครื่องเอทีเอ็มได้จากระยะไกล หลังจากที่ติดตั้งและต่อเชื่อมกับตู้เอทีเอ็มเรียบร้อยแล้ว มัลแวร์ ATMitch ก็จะสื่อสารกับตู้เอทีเอ็มราวกับว่าตัวเองเป็นซอฟต์แวร์ที่ถูกต้อง เปิดช่องทางให้ผู้บุกรุกส่งรายการคอมมานด์ต่างๆ มาทำงาน อาทิ เก็บข้อมูลเกี่ยวกับจำนวนธนบัตรในคาสเซ็ตของตู้เอทีเอ็ม เป็นต้น ยิ่งไปกว่านั้น ยังเปิดช่องทางให้อาชญากรโจรกรรมเงินในตู้นั้นเมื่อไรก็ได้ เพียงแค่กดปุ่มเดียวเท่านั้น

โดยปกติแล้ว อาชญากรจะเริ่มต้นที่การเก็บข้อมูลจำนวนเงินในช่องจ่ายก่อน หลังจากนั้น อาชญากรจะส่งคอมมานด์คำสั่งไปยังช่องจ่ายเงินให้จ่ายเงินตามจำนวนที่อยู่ในคาสเซ็ตใดก็ได้ ซึ่งเป็นวิธีการเฉพาะตัวสุดแสนจะล้ำยุค และเมื่อเสร็จสิ้นกระบวนการโจรกรรมแล้ว สิ่งที่อาชญากรจะทำ ก็เพียงแค่มาคว้าเงินแล้วก็เผ่นแน่บไปเท่านั้นเอง การโจรกรรมตู้เอทีเอ็มเยี่ยงนี้ ทำได้ภายในไม่กี่วินาที!

เมื่อตู้เอทีเอ็มถูกปล้นจนหมดตู้แล้ว มัลแวร์ก็ลบร่องรอยของตัวเองหมดสิ้นเช่นกัน

Who’s there? 

ยังไม่เป็นที่แน่ชัดว่าใครเป็นผ็ที่อยู่เบื้องหลังอาชญากรรมนี้ การใช้โอเพ่นซอร์ส exploit code, ยูติลิตี้ทั่วๆ ไปของ Windows และโดเมนไร้ชื่อในขั้นแรกของปฏิบัติการนั้นทำให้เกือบจะเป็นไปไม่ได้ที่จะระบุกลุ่มผู้รับผิดชอบ อย่างไรก็ตาม “tv.dll” ที่ใช้ในขั้นจู่โจมตู้เอทีเอ็มนั้นก็มีภาษารัสเซียปะปนอยู่ด้วย และกลุ่มที่พอจะเข้าอาชญากรรมแนวนี้ ได้แก่ GCMAN และ Carbanak

“อาชญากรอาจจะยังคงปฏิบัติการอยู่ต่อเนื่อง แต่ก็ไม่ต้องตื่นตระหนกไป” เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว “การรับมือกับการก่ออาชญากรรมประเภทนี้ต้องใช้ฝีมือทักษะของผู้เชี่ยวชาญด้านความปลอดภัย คอยป้องกันองค์กรที่เป็นเป้าหมาย การที่มีการรั่วไหลเกิดช่องโหว่ของข้อมูลออกไปจากเน็ตเวิร์กได้นั้น จะทำได้เพราะมีทูลธรรมดาๆ ที่ถูกต้องต่อระบบนี่เอง หลังการโจมตี อาชญากรอาจจะลบข้อมูลทั้งหมดที่อาจย้อนรอยกลับไปถึงตัวเองได้ทิ้งไปเสีย เมื่อต้องจัดการกับกรณีเช่นนี้ การพิสูจน์หลักฐานหาร่องรอยจากเมมโมรี่จึงเป็นเรื่องสำคัญต่อการวิเคราะห์ตัวมัลแวร์และหน้าที่ของมัลแวร์นั้นๆ และดังเช่นที่ในกรณีที่เราได้สืบสวนไปเป็นผลสำเร็จนั้น การรับมือกับเหตุที่เกิดขึ้นอย่างระมัดระวังภายใต้แนงทางที่ชัดเจนนั้นสามารถช่วยแก้ปัญหา แม้แต่กับอาชญากรรมไซเบอร์ที่มีการวางแผนมาอย่างดีก็ตาม”

แคสเปอร์สกี้ แลป มีผลิตภัณฑ์ที่สามารถตรวจจับปฏิบัติการอาชญากรรมที่ใช้กลโกง ขั้นตอน วิธีการดังกล่าวข้างต้นอย่างได้ผล ข้อมูลละเอียดเกี่ยวกับกรณีนี้ และกฎ Yara rules สำหรับใช้ในการวิเคราะห์หาหลักฐานของการโจมตีแบบไร้ไฟล์ มีให้ท่านศึกษาเพิ่มเติมที่บลอก blog on Securelist.com ส่วนรายละเอียดเชิลเทคนิคัล รวมทั้งการระบุสัญญานว่ามีช่องโหว่ (Indicators of Compromise) มีให้ลูกค้าของแคสเปอร์สกี้ แลปศึกษาได้เช่นกันที่ Kaspersky Intelligence Services

###

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

Sophos เปิดตัว เทคโนโลยีจัดการแรนซั่มแวร์รุ่นใหม่ “CryptoGuard” ยกระดับผลิตภัณฑ์ Server Protection ขึ้นมาอีกขั้น

Sophos เปิดตัว …