[PR] แคสเปอร์สกี้ แลป เปิดโปงเล่ห์โกงใหม่ของ Carbanak พร้อมเผยสองกลุ่มใหม่ เจาะระบบสูบเงินธนาคาร

แคสเปอร์สกี้ แลป เคยแจ้งเตือนว่าอาชญากรไซเบอร์จะเริ่มใช้ภัยคุกคามที่มีทูลและกลวิธีชั้นสูงและมีรัฐบาลระดับประเทศสนับสนุน ในการปล้นธนาคาร หนึ่งปีหลังจากนั้น แคสเปอร์สกี้ แลป ได้ประกาศว่า Carbanak กลับมาโจมตีอีกครั้งในชื่อ Carbanak 2.0 นอกจากนี้ ยังค้นพบกลุ่มโจรไซเบอร์ที่ปฏิบัติการร้ายลักษณะเดียวกัน นั่นคือ Metel และ GCMAN ซึ่งมุ่งโจมตีองค์กรการเงินโดยใช้การสอดแนมซ่อนเร้นแบบ APT ใช้มัลแวร์ที่ดัดแปลงซ่อนภายในซอฟต์แวร์ถูกกฎหมายและขโมยเงินจากองค์กรโดยตรง

กลุ่ม Metel มีกลวิธีมากมายในตำรา แต่ความน่าสนใจอยู่ที่วิธีการอันชาญฉลาด นั่นคือ การเข้าควบคุมเครื่องคอมพิวเตอร์ภายในธนาคารที่สามารถเข้าถึงธุรกรรมการเงินได้ ( เช่น เครื่องในแผนกคอลเซ็นเตอร์ แผนกดูแลด้านเทคนิค ) เพื่อยกเลิกคำสั่งในการทำธุรกรรมที่ตู้เอทีเอ็มได้อัตโนมัติ

การยกเลิกคำสั่งนี้จะสั่งการแสดงยอดเงินในบัตรเดบิตให้คงเหลือเท่าเดิมแม้ว่าจะมีธุรกรรมเกิดขึ้นที่ตู้เอทีเอ็มก็ตาม ตัวอย่างเช่น ในประเทศรัสเซีย กลุ่มโจรไซเบอร์จะขับรถไปทั่วเมืองเพื่อปล้นเงินจากตู้เอทีเอ็มโดยใช้บัตรเดบิตซ้ำไปซ้ำมาทั้งคืน

เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป กล่าวว่า “ปัจจุบัน ช่วงเวลาปฏิบัติการโจมตีไซเบอร์นั้นมีระยะเวลาที่สั้นลงเรื่อย ๆ เมื่อโจรไซเบอร์เริ่มช่ำชองในงานที่ทำ ก็จะใช้เวลาเพียงแค่ไม่กี่วันหรือเพียงสัปดาห์เดียวเพื่อขโมยสิ่งที่ต้องการและจากไป”

ในระหว่างที่สืบสวนด้านนิติเวชนั้น ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบว่า กลุ่ม Metel ประสบความสำเร็จในการแพร่กระจายเชื้อผ่านอีเมลสเปียร์ฟิชชื่งที่มีไฟล์แนบต้องสงสัย และผ่านไนทิริสเอ็กพลอต์ มุ่งโจมตีช่องโหว่ที่เว็บเบราเซอร์ของเหยื่อ เมื่อเข้าไปในเน็ตเวิร์กได้แล้ว โจรไซเบอร์จะใช้ทูลทดสอบการเจาะระบบที่ถูกกฎหมายในการเคลื่อนย้าย จี้โดเมนคอนโทรลเลอร์ และแทรกแซงเข้าควบคุมคอมพิวเตอร์ของพนักงานธนาคารที่รับผิดชอบดูแลเรื่องบัตรกดเงินสดต่าง ๆ

กลุ่ม Metel ยังคงปฏิบัติการอยู่และการสืบสวนกิจกรรมของกลุ่มนี้ยังดำเนินอยู่ต่อไป พบว่าปัจจุบันกลุ่ม Metel นี้มุ่งโจมตีเฉพาะในประเทศรัสเซียเท่านั้น แต่ยังมีหลักฐานให้สงสัยได้ว่าการแพร่เชื้อนี้จะขยายวงกว้างออกไปยังธนาคารทั่วโลก จึงขอให้ธนาคารทั้งหลายตรวจสอบการติดเชื้ออย่างละเอียด

กลุ่มโจรไซเบอร์ทั้งสามกลุ่มได้เปลี่ยนแนวปฏิบัติการฉ้อโกงโดยใช้มัลแวร์ที่มากับซอฟต์แวร์แทนการเขียนทูลมัลแวร์ขึ้นใหม่ เนื่องจากมัลแวร์ที่แนบไปกับซอฟต์แวร์จะทำงานได้มีประสิทธิภาพมากกว่า และตรวจจับได้ยากกว่า

แต่กลุ่ม GCMAN ล้ำหน้ากว่าในเรื่องการขโมย หลายครั้งที่กลุ่ม GCMAN สามารถโจมตีองค์กรได้สำเร็จโดยไม่ต้องใช้มัลแวร์เลยสักตัว โดยการใช้เพียงทูลทดสอบการเจาะระบบที่ถูกกฎหมายเท่านั้น ในเคสที่ตรวจสอบโดยผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบว่า GCMAN ใช้ยูทิลิตี้ Putty, VNC, และ Meterpreter ในการเคลื่อนย้ายผ่านเน็ตเวิร์กจนกระทั่งผู้โจมตีเข้าถึงเครื่องที่จะใช้เป็นจุดโอนเงินไปยังบริการออนไลน์อื่น ๆ โดยที่ระบบธนาคารไม่แจ้งเตือน

kaspersky-lab-gcman

ในการโจมตีครั้งหนึ่ง แคสเปอร์สกี้ แลป ตรวจพบว่าโจรไซเบอร์อยู่ในเน็ตเวิร์กนานถึงหนึ่งปีครึ่งก่อนเริ่มโจรกรรม เงิน จำนวน 200 เหรียญซึ่งเป็นจำนวนสูงกว่าที่กำหนดจะถูกโอนเพื่อจ่ายให้ผู้รับที่ไม่เปิดเผยชื่อในรัสเซีย ทุก ๆ นาที CRON ซึ่งเป็นโปรแกรมตั้งเวลาจะยิงสคริปต์ต้องสงสัยและยอดเงินจะถูกโอนไปยังบัญชีเงินออนไลน์ คำสั่งธุรกรรมจะถูกส่งไปยังเกตเวย์ที่ดูแลเรื่องจ่ายเงินของธนาคารโดยตรง และยังซุกซ่อนไม่ปรากฏตัวในระบบส่วนอื่นของธนาคารอีกด้วย

และสุดท้าย กลุ่ม Carbanak 2.0 คือกลุ่มโจมตีด้วยภัยคุกคามต่อเนื่องขั้นสูง หรือ APT ที่ใช้ทูลและเทคนิคต่าง ๆ เหมือนกับ Carbanak แรก แต่ต่างกันที่ประเภทของเหยื่อและวิธีการในการปล้นเงินที่ล้ำหน้ากว่า

ในปี 2015 เป้าหมายของ Carbanak 2.0 ไม่ได้มีแค่ธนาคารแต่รวมถึงแผนกต่าง ๆ ที่ทำหน้าที่เกี่ยวกับงบประมาณและการบัญชีขององค์กร อีกหนึ่งเหตุการณ์ตัวอย่างที่ผู้เชี่ยวชาญสังเกตคือ กลุ่ม Carbanak 2.0 เข้าถึงสถาบันการเงินและดำเนินการเปลี่ยนข้อมูลส่วนบุคคลของเจ้าของบริษัทขนาดใหญ่ ข้อมูลผู้ถือหุ้น ที่ประกอบด้วยหมายเลขบัตรประชาชน

kaspersky-lab-carbanak

เซอร์เกย์ กล่าวเตือนว่า “การโจมตีสถาบันการเงินที่ถูกเปิดโปงในปี 2015 ที่ผ่านมานั้น ชี้ให้เห็นถึงกระแสที่น่ากังวลที่เหล่าโจรไซเบอร์ใช้วิธีการโจมตีแบบ APT อย่างแข็งกร้าว ดุดัน กลุ่ม Carbanak เป็นเพียงกลุ่มแรกเท่านั้น และยังจะมีตามมาอีกมาก โจรไซเบอร์สามารถเรียนรู้การใช้เทคนิคใหม่ๆ ได้ไว และเปลี่ยนจากการโจมตีผู้ใช้งานเป็นโจมตีธนาคารโดยตรง เพียงแค่หลักการง่าย ๆ นั่นคือ ธนาคารคือแหล่งเงิน แคสเปอร์สกี้ แลป ตั้งเป้าว่าจะค้นคว้าวิจัยเพื่อเปิดเผยว่าโจรไซเบอร์จะขโมยเงินได้จากที่ไหนอย่างไร ในกรณีของ GCMAN ควรมีการตรวจสอบการป้องกันเว็บเซิร์ฟเวอร์ของธนาคาร ส่วนกรณีของ Carbanak ขอแนะนำให้ป้องกันดาต้าเบสที่มีข้อมูลเจ้าของบัญชีด้วย ไม่ใช่แค่ข้อมูลยอดเงินในบัญชีเท่านั้น”

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและบล็อกการทำงานของมัลแวร์จากกลุ่ม Carbanak 2.0, Metel และ GCMAN ได้อย่างดีเยี่ยม และได้เผยแพร่ข้อมูลเพื่อบ่งชี้ปัญหา ( Indicators of Compromise – IOC ) และช่วยให้องค์กรสามารถค้นหาร่องรอยกลุ่มโจรไซเบอร์ภายในเน็ตเวิร์กขององค์กรได้

แคสเปอร์สกี้ แลป ขอเตือนให้องค์กรทุกแห่งให้สแกนเน็ตเวิร์กของตน เพื่อค้นหากลุ่ม Carbanak, Metel และ GCMAN หากตรวจพบให้กำจัดออกจากระบบและแจ้งหน่วยงานทางกฎหมายโดยด่วน

ข้อมูลเพิ่มเติม กรุณาอ่านที่เว็บไซต์ Securelist.com https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/

 

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ