Breaking News

เจาะลึก Fileless Malware ขโมยเงินจากตู้ ATM กว่า 27 ล้านบาท

ภายในงาน Kaspersky Security Analyst Summit ที่เพิ่งจัดไปเมื่อวันจันทร์ที่ผ่านมา Sergey Golovanov และ Igor Soumenkov สองนักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงรายละเอียดของมัลแวร์ไร้ไฟล์ (Fileless Malware) ที่แฮ็คเกอร์ใช้โจมตีตู้ ATM ไม่ต่ำกว่า 8 แห่งในรัสเซีย ขโมยเงินออกไปได้มากถึง 27 ล้านบาทภายในคืนเดียว เรียกชื่อมัลแวร์ดังกล่าวว่า ATMitch

ไม่พบร่องรอยมัลแวร์ เหลือเพียงแค่ Log 2 ประโยค

Golovanov และ Soumenkov ระบุว่า หลังจากที่ธนาคารทราบว่าถูกโจมตี ได้ทำการตรวจสอบกล้องวงจรปิดของตู้ ATM แต่ก็ต้องพบกับความพิศวงเป็นอย่างมาก เนื่องจากเพียงแค่เห็นแฮ็คเกอร์เดินเข้ามาที่หน้าตู้ และเก็บเงินไปโดยไม่แม้แต่จะแตะต้องคอนโซลบนตู้ นอกจากนี้ ธนาคารยังไม่พบร่องรอยใดๆ ของมัลแวร์และการบุกรุกโจมตีทั้งบนตู้ ATM และระบบเครือข่ายหลังบ้าน เบาะแสเพียงอย่างเดียวที่พนักงานธนาคารพบในฮาร์ดดิสก์คือ ไฟล์ข้อมูล 2 ไฟล์ที่มี Log จากมัลแวร์เขียนอยู่

ไฟล์ Log ดังกล่าวประกอบด้วยข้อความ 2 ประโยค คือ “Take the Money Bitch!” และ “Dispense Success.” ถึงแม้ว่าเบาะแสจะมีเพียงเล็กน้อย แต่ก็เพียงพอให้นักวิจัยจาก Kaspersky Labs ที่กำลังสืบสวนการแฮ็คเกอร์ตู้ ATM อยู่ สามารถหาตัวอย่างมัลแวร์ที่เกี่ยวข้องกับการโจมตีได้

ทำงานบน Memory ของตู้ ATM

ก่อนหน้านี้ในเดือนกุมภาพันธ์ Kaspersky Lab เคยออกมารายงานถึงการโจมตีโดยมัลแวร์ไร้ไฟล์นี้มาแล้ว ซึ่งพุ่งเป้าไปที่องค์กรขนาดใหญ่มากกว่า 140 แห่ง ไม่ว่าจะเป็นธนาคาร บริษัทโทรคมนาคม หรือหน่วยงานรัฐบาล ทั้งในสหรัฐฯ และยุโรป ซึ่งมัลแวร์ดังกล่าวมีจุดเด่นตรงที่จะฝังตัวเองและทำงานอยู่บน Memory เท่านั้น ไม่มีการเขียนลงฮาร์ดดิสก์แต่อย่างใด

นักวิจัยทั้งสองระบุว่า ก่อนหน้านี้เคยค้นพบ ATMitch โจมตีที่ประเทศคาซัคสถานและรัสเซีย โดยแฮ็คเกอร์จะติดตั้งและรันการทำงานของ ATMitch บนตู้ ATM ผ่านทางโมดูลการบริหารจัดการจากระยะไกล ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างท่อ SSH ติดตั้งมัลแวร์ และส่งคำสั่งไปยังตู้ ATM เพื่อให้ถอนเงินออกมาได้ และเนื่องจากมัลแวร์ไร้ไฟล์นี้ใช้เครื่องมือบนตู้ ATM ที่มีอยู่แล้ว ทำให้ตู้ ATM คิดว่าโค้ดแปลกปลอมดังกล่าวเป็นส่วนหนึ่งของซอฟต์แวร์ปกติที่ใช้อยู่ จึงยอมรับคำสั่งของแฮ็คเกอร์ให้ถอนเงินออกไปโดยไม่มีการแจ้งเตือนใดๆ

การขโมยเงินนี้ใช้เวลาติดต่อกับตู้ ATM เพียงแค่ไม่กี่วินาทีเท่านั้น เมื่อถอนเงินสดออกจากตู้ ATM จนหมดแล้ว แฮ็คเกอร์ก็จะทำการยกเลิกปฏิบัติการ เหลือทิ้งร่องรอยของมัลแวร์ไว้เพียงเล็กน้อยเท่านั้น อย่างไรก็ตาม คาดว่าการโจมตีจากระยะไกลนี้จะทำได้สำเร็จก็ต่อเมื่อแฮ็คเกอร์สามารถสร้างท่อเข้าไปได้ถึงระบบเครือข่ายหลังบ้านของธนาคาร กระบวนการทั้งหมดจึงมีความซับซ้อนและต้องให้ทักษะระดับสูงเป็นอย่างมาก

คาดแฮ็คเกอร์เจาะตู้ ATM เพื่อลอบส่งมัลแวร์ (ทางกายภาพ)

Golovanov และ Soumenkov ระบุว่า เนื่องจากการเปิดตู้ ATM เพื่อเข้าถึงแผงควบคุมโดยตรงอาจเสี่ยงให้สัญญาณกันขโมยดังได้ แฮ็คเกอร์จึงใช้วิธีเจาะตู้ ATM ให้มีขนาดเท่าลูกกอล์ฟ แล้วเข้าถึงแผงควบคุมและเชื่อมต่อกับระบบถอนเงินผ่านทางสาย Serial Distributed Control (มาตรฐาน SDC RS485) โดยตรงเพื่อลอบเจาะระบบตู้ ATM และส่งมัลแวร์เข้าไป

อย่างไรก็ตาม ตำรวจท้องถิ่นไหวตัวทันและสามารถจับกุมแฮ็คเกอร์คนดังกล่าวได้ ขณะแต่งชุดคนงานก่อสร้างและเจาะตู้ ATM เพื่อส่งคำสั่งไปยังระบบถอนเงิน จากการตรวจสอบพบว่าแฮ็คเกอร์มีอุปกรณ์โน๊ตบุ๊ค สายเคเบิล และกล่องวงจรขนาดเล็ก เหล่านี้ทำให้ Golovanov และ Soumenkov สามารถทำ Reverse Engineer มัลแวร์ได้

จนถึงตอนนี้ยังไม่ทราบว่าเบื้องหลังของกลุ่มแฮ็คเกอร์ที่โจมตีตู้ ATM เหล่านี้คือใคร แต่โค้ดมัลแวร์เผยถึงการอ้างถึงภาษารัสเซีย นอกจากนี้เทคนิคและกระบวนการต่างๆๆ ยังคล้ายกับที่กลุ่ม Carbanak และ GCMAN ใช้ปล้นธนาคาร

ที่มา: http://thehackernews.com/2017/04/atm-fileless-malware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนพบ P2P Botnet ใช้ช่องโหว่ Webmin แนะนำผู้ใช้เร่งอัปเดต

Qihoo 360 ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ประกาศเตือน Botnet ที่ชื่อ Roboto ซึ่งจุดเด่นคือโครงสร้างเป็น Peer-to-peer และกำลังขยายฐานการโจมตีในวงกว้าง โดยอาศัยช่องโหว่ของ Webmin หมายเลข CVE-2019-15107

พบช่องโหว่ร้ายแรงใน Plugin WordPress ‘Jetpack’ แนะนำรีบอัปเดต

มีการประกาศออกแพตช์ช่องโหว่ร้ายแรงให้ Plugin ยอดนิยมในด้าน Security บน WordPress ที่ชื่อ Jetpack ดังนั้นจึงแนะนำให้ผู้ใช้งานเร่งอัปเดต