Black Hat Asia 2021

เจาะลึก Fileless Malware ขโมยเงินจากตู้ ATM กว่า 27 ล้านบาท

ภายในงาน Kaspersky Security Analyst Summit ที่เพิ่งจัดไปเมื่อวันจันทร์ที่ผ่านมา Sergey Golovanov และ Igor Soumenkov สองนักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงรายละเอียดของมัลแวร์ไร้ไฟล์ (Fileless Malware) ที่แฮ็คเกอร์ใช้โจมตีตู้ ATM ไม่ต่ำกว่า 8 แห่งในรัสเซีย ขโมยเงินออกไปได้มากถึง 27 ล้านบาทภายในคืนเดียว เรียกชื่อมัลแวร์ดังกล่าวว่า ATMitch

ไม่พบร่องรอยมัลแวร์ เหลือเพียงแค่ Log 2 ประโยค

Golovanov และ Soumenkov ระบุว่า หลังจากที่ธนาคารทราบว่าถูกโจมตี ได้ทำการตรวจสอบกล้องวงจรปิดของตู้ ATM แต่ก็ต้องพบกับความพิศวงเป็นอย่างมาก เนื่องจากเพียงแค่เห็นแฮ็คเกอร์เดินเข้ามาที่หน้าตู้ และเก็บเงินไปโดยไม่แม้แต่จะแตะต้องคอนโซลบนตู้ นอกจากนี้ ธนาคารยังไม่พบร่องรอยใดๆ ของมัลแวร์และการบุกรุกโจมตีทั้งบนตู้ ATM และระบบเครือข่ายหลังบ้าน เบาะแสเพียงอย่างเดียวที่พนักงานธนาคารพบในฮาร์ดดิสก์คือ ไฟล์ข้อมูล 2 ไฟล์ที่มี Log จากมัลแวร์เขียนอยู่

ไฟล์ Log ดังกล่าวประกอบด้วยข้อความ 2 ประโยค คือ “Take the Money Bitch!” และ “Dispense Success.” ถึงแม้ว่าเบาะแสจะมีเพียงเล็กน้อย แต่ก็เพียงพอให้นักวิจัยจาก Kaspersky Labs ที่กำลังสืบสวนการแฮ็คเกอร์ตู้ ATM อยู่ สามารถหาตัวอย่างมัลแวร์ที่เกี่ยวข้องกับการโจมตีได้

ทำงานบน Memory ของตู้ ATM

ก่อนหน้านี้ในเดือนกุมภาพันธ์ Kaspersky Lab เคยออกมารายงานถึงการโจมตีโดยมัลแวร์ไร้ไฟล์นี้มาแล้ว ซึ่งพุ่งเป้าไปที่องค์กรขนาดใหญ่มากกว่า 140 แห่ง ไม่ว่าจะเป็นธนาคาร บริษัทโทรคมนาคม หรือหน่วยงานรัฐบาล ทั้งในสหรัฐฯ และยุโรป ซึ่งมัลแวร์ดังกล่าวมีจุดเด่นตรงที่จะฝังตัวเองและทำงานอยู่บน Memory เท่านั้น ไม่มีการเขียนลงฮาร์ดดิสก์แต่อย่างใด

นักวิจัยทั้งสองระบุว่า ก่อนหน้านี้เคยค้นพบ ATMitch โจมตีที่ประเทศคาซัคสถานและรัสเซีย โดยแฮ็คเกอร์จะติดตั้งและรันการทำงานของ ATMitch บนตู้ ATM ผ่านทางโมดูลการบริหารจัดการจากระยะไกล ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างท่อ SSH ติดตั้งมัลแวร์ และส่งคำสั่งไปยังตู้ ATM เพื่อให้ถอนเงินออกมาได้ และเนื่องจากมัลแวร์ไร้ไฟล์นี้ใช้เครื่องมือบนตู้ ATM ที่มีอยู่แล้ว ทำให้ตู้ ATM คิดว่าโค้ดแปลกปลอมดังกล่าวเป็นส่วนหนึ่งของซอฟต์แวร์ปกติที่ใช้อยู่ จึงยอมรับคำสั่งของแฮ็คเกอร์ให้ถอนเงินออกไปโดยไม่มีการแจ้งเตือนใดๆ

การขโมยเงินนี้ใช้เวลาติดต่อกับตู้ ATM เพียงแค่ไม่กี่วินาทีเท่านั้น เมื่อถอนเงินสดออกจากตู้ ATM จนหมดแล้ว แฮ็คเกอร์ก็จะทำการยกเลิกปฏิบัติการ เหลือทิ้งร่องรอยของมัลแวร์ไว้เพียงเล็กน้อยเท่านั้น อย่างไรก็ตาม คาดว่าการโจมตีจากระยะไกลนี้จะทำได้สำเร็จก็ต่อเมื่อแฮ็คเกอร์สามารถสร้างท่อเข้าไปได้ถึงระบบเครือข่ายหลังบ้านของธนาคาร กระบวนการทั้งหมดจึงมีความซับซ้อนและต้องให้ทักษะระดับสูงเป็นอย่างมาก

คาดแฮ็คเกอร์เจาะตู้ ATM เพื่อลอบส่งมัลแวร์ (ทางกายภาพ)

Golovanov และ Soumenkov ระบุว่า เนื่องจากการเปิดตู้ ATM เพื่อเข้าถึงแผงควบคุมโดยตรงอาจเสี่ยงให้สัญญาณกันขโมยดังได้ แฮ็คเกอร์จึงใช้วิธีเจาะตู้ ATM ให้มีขนาดเท่าลูกกอล์ฟ แล้วเข้าถึงแผงควบคุมและเชื่อมต่อกับระบบถอนเงินผ่านทางสาย Serial Distributed Control (มาตรฐาน SDC RS485) โดยตรงเพื่อลอบเจาะระบบตู้ ATM และส่งมัลแวร์เข้าไป

อย่างไรก็ตาม ตำรวจท้องถิ่นไหวตัวทันและสามารถจับกุมแฮ็คเกอร์คนดังกล่าวได้ ขณะแต่งชุดคนงานก่อสร้างและเจาะตู้ ATM เพื่อส่งคำสั่งไปยังระบบถอนเงิน จากการตรวจสอบพบว่าแฮ็คเกอร์มีอุปกรณ์โน๊ตบุ๊ค สายเคเบิล และกล่องวงจรขนาดเล็ก เหล่านี้ทำให้ Golovanov และ Soumenkov สามารถทำ Reverse Engineer มัลแวร์ได้

จนถึงตอนนี้ยังไม่ทราบว่าเบื้องหลังของกลุ่มแฮ็คเกอร์ที่โจมตีตู้ ATM เหล่านี้คือใคร แต่โค้ดมัลแวร์เผยถึงการอ้างถึงภาษารัสเซีย นอกจากนี้เทคนิคและกระบวนการต่างๆๆ ยังคล้ายกับที่กลุ่ม Carbanak และ GCMAN ใช้ปล้นธนาคาร

ที่มา: http://thehackernews.com/2017/04/atm-fileless-malware.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner ออก Magic Quadrant ด้าน Endpoint Protection Platforms ประจำปี 2021

Gartner, Inc. บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quarrant ทางด้าน Endpoint Protection Platforms ฉบับล่าสุดปี 2021 ผลปรากฏว่ามี Vendor ถึง …

[Guest Post] ISS Consulting ขอเชิญเข้าร่วมฟัง Webinar ในหัวข้อ “บริหารธุรกิจซื้อมาขายไปให้มีประสิทธิภาพด้วย SAP Business One on HANA” ศุกร์ 14 พ.ค.2564

ISS Consulting (Thailand) Limited. ขอเรียนเชิญผู้บริหาร, ผู้จัดการ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Webinar ในหัวข้อ “ บริหารธุรกิจซื้อมาขายไปให้มีประสิทธิภาพด้วย SAP Business …