ADPT

เจาะลึก Fileless Malware ขโมยเงินจากตู้ ATM กว่า 27 ล้านบาท

ภายในงาน Kaspersky Security Analyst Summit ที่เพิ่งจัดไปเมื่อวันจันทร์ที่ผ่านมา Sergey Golovanov และ Igor Soumenkov สองนักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงรายละเอียดของมัลแวร์ไร้ไฟล์ (Fileless Malware) ที่แฮ็คเกอร์ใช้โจมตีตู้ ATM ไม่ต่ำกว่า 8 แห่งในรัสเซีย ขโมยเงินออกไปได้มากถึง 27 ล้านบาทภายในคืนเดียว เรียกชื่อมัลแวร์ดังกล่าวว่า ATMitch

ไม่พบร่องรอยมัลแวร์ เหลือเพียงแค่ Log 2 ประโยค

Golovanov และ Soumenkov ระบุว่า หลังจากที่ธนาคารทราบว่าถูกโจมตี ได้ทำการตรวจสอบกล้องวงจรปิดของตู้ ATM แต่ก็ต้องพบกับความพิศวงเป็นอย่างมาก เนื่องจากเพียงแค่เห็นแฮ็คเกอร์เดินเข้ามาที่หน้าตู้ และเก็บเงินไปโดยไม่แม้แต่จะแตะต้องคอนโซลบนตู้ นอกจากนี้ ธนาคารยังไม่พบร่องรอยใดๆ ของมัลแวร์และการบุกรุกโจมตีทั้งบนตู้ ATM และระบบเครือข่ายหลังบ้าน เบาะแสเพียงอย่างเดียวที่พนักงานธนาคารพบในฮาร์ดดิสก์คือ ไฟล์ข้อมูล 2 ไฟล์ที่มี Log จากมัลแวร์เขียนอยู่

ไฟล์ Log ดังกล่าวประกอบด้วยข้อความ 2 ประโยค คือ “Take the Money Bitch!” และ “Dispense Success.” ถึงแม้ว่าเบาะแสจะมีเพียงเล็กน้อย แต่ก็เพียงพอให้นักวิจัยจาก Kaspersky Labs ที่กำลังสืบสวนการแฮ็คเกอร์ตู้ ATM อยู่ สามารถหาตัวอย่างมัลแวร์ที่เกี่ยวข้องกับการโจมตีได้

ทำงานบน Memory ของตู้ ATM

ก่อนหน้านี้ในเดือนกุมภาพันธ์ Kaspersky Lab เคยออกมารายงานถึงการโจมตีโดยมัลแวร์ไร้ไฟล์นี้มาแล้ว ซึ่งพุ่งเป้าไปที่องค์กรขนาดใหญ่มากกว่า 140 แห่ง ไม่ว่าจะเป็นธนาคาร บริษัทโทรคมนาคม หรือหน่วยงานรัฐบาล ทั้งในสหรัฐฯ และยุโรป ซึ่งมัลแวร์ดังกล่าวมีจุดเด่นตรงที่จะฝังตัวเองและทำงานอยู่บน Memory เท่านั้น ไม่มีการเขียนลงฮาร์ดดิสก์แต่อย่างใด

นักวิจัยทั้งสองระบุว่า ก่อนหน้านี้เคยค้นพบ ATMitch โจมตีที่ประเทศคาซัคสถานและรัสเซีย โดยแฮ็คเกอร์จะติดตั้งและรันการทำงานของ ATMitch บนตู้ ATM ผ่านทางโมดูลการบริหารจัดการจากระยะไกล ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างท่อ SSH ติดตั้งมัลแวร์ และส่งคำสั่งไปยังตู้ ATM เพื่อให้ถอนเงินออกมาได้ และเนื่องจากมัลแวร์ไร้ไฟล์นี้ใช้เครื่องมือบนตู้ ATM ที่มีอยู่แล้ว ทำให้ตู้ ATM คิดว่าโค้ดแปลกปลอมดังกล่าวเป็นส่วนหนึ่งของซอฟต์แวร์ปกติที่ใช้อยู่ จึงยอมรับคำสั่งของแฮ็คเกอร์ให้ถอนเงินออกไปโดยไม่มีการแจ้งเตือนใดๆ

การขโมยเงินนี้ใช้เวลาติดต่อกับตู้ ATM เพียงแค่ไม่กี่วินาทีเท่านั้น เมื่อถอนเงินสดออกจากตู้ ATM จนหมดแล้ว แฮ็คเกอร์ก็จะทำการยกเลิกปฏิบัติการ เหลือทิ้งร่องรอยของมัลแวร์ไว้เพียงเล็กน้อยเท่านั้น อย่างไรก็ตาม คาดว่าการโจมตีจากระยะไกลนี้จะทำได้สำเร็จก็ต่อเมื่อแฮ็คเกอร์สามารถสร้างท่อเข้าไปได้ถึงระบบเครือข่ายหลังบ้านของธนาคาร กระบวนการทั้งหมดจึงมีความซับซ้อนและต้องให้ทักษะระดับสูงเป็นอย่างมาก

คาดแฮ็คเกอร์เจาะตู้ ATM เพื่อลอบส่งมัลแวร์ (ทางกายภาพ)

Golovanov และ Soumenkov ระบุว่า เนื่องจากการเปิดตู้ ATM เพื่อเข้าถึงแผงควบคุมโดยตรงอาจเสี่ยงให้สัญญาณกันขโมยดังได้ แฮ็คเกอร์จึงใช้วิธีเจาะตู้ ATM ให้มีขนาดเท่าลูกกอล์ฟ แล้วเข้าถึงแผงควบคุมและเชื่อมต่อกับระบบถอนเงินผ่านทางสาย Serial Distributed Control (มาตรฐาน SDC RS485) โดยตรงเพื่อลอบเจาะระบบตู้ ATM และส่งมัลแวร์เข้าไป

อย่างไรก็ตาม ตำรวจท้องถิ่นไหวตัวทันและสามารถจับกุมแฮ็คเกอร์คนดังกล่าวได้ ขณะแต่งชุดคนงานก่อสร้างและเจาะตู้ ATM เพื่อส่งคำสั่งไปยังระบบถอนเงิน จากการตรวจสอบพบว่าแฮ็คเกอร์มีอุปกรณ์โน๊ตบุ๊ค สายเคเบิล และกล่องวงจรขนาดเล็ก เหล่านี้ทำให้ Golovanov และ Soumenkov สามารถทำ Reverse Engineer มัลแวร์ได้

จนถึงตอนนี้ยังไม่ทราบว่าเบื้องหลังของกลุ่มแฮ็คเกอร์ที่โจมตีตู้ ATM เหล่านี้คือใคร แต่โค้ดมัลแวร์เผยถึงการอ้างถึงภาษารัสเซีย นอกจากนี้เทคนิคและกระบวนการต่างๆๆ ยังคล้ายกับที่กลุ่ม Carbanak และ GCMAN ใช้ปล้นธนาคาร

ที่มา: http://thehackernews.com/2017/04/atm-fileless-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Alibaba Cloud Thailand ร่วมกับ KubeOps Skill เชิญชวนทุกท่านเข้ามาเรียนรู้และเจาะลึกถึงประโยชน์และการใช้งานของ Alibaba Cloud Container Services for Kubernetes (ACK) 23 ก.ย.นี้

Alibaba Cloud Thailand ร่วมกับ KubeOps Skill เชิญชวนทุกท่านเข้ามาเรียนรู้และเจาะลึกถึงประโยชน์และการใช้งานของ Alibaba Cloud Container Services for Kubernetes (ACK) ในงานสัมมนา …

Bitdefender ออก Universal Decryptor สำหรับเหยื่อของแรนซัมแวร์ REvil/Sodinokibi

Bitdefender ออก Universal Decryptor สำหรับผู้ประสบภัยจากแรนซัมแวร์ REvil/Sodinokibi ที่ถูกโจมตีก่อนวันที่ 13 กรกฏาคมที่ผ่านมา