[PR] แคสเปอร์สกี้ แลป เปิดโปงเล่ห์โกงใหม่ของ Carbanak พร้อมเผยสองกลุ่มใหม่ เจาะระบบสูบเงินธนาคาร

แคสเปอร์สกี้ แลป เคยแจ้งเตือนว่าอาชญากรไซเบอร์จะเริ่มใช้ภัยคุกคามที่มีทูลและกลวิธีชั้นสูงและมีรัฐบาลระดับประเทศสนับสนุน ในการปล้นธนาคาร หนึ่งปีหลังจากนั้น แคสเปอร์สกี้ แลป ได้ประกาศว่า Carbanak กลับมาโจมตีอีกครั้งในชื่อ Carbanak 2.0 นอกจากนี้ ยังค้นพบกลุ่มโจรไซเบอร์ที่ปฏิบัติการร้ายลักษณะเดียวกัน นั่นคือ Metel และ GCMAN ซึ่งมุ่งโจมตีองค์กรการเงินโดยใช้การสอดแนมซ่อนเร้นแบบ APT ใช้มัลแวร์ที่ดัดแปลงซ่อนภายในซอฟต์แวร์ถูกกฎหมายและขโมยเงินจากองค์กรโดยตรง

กลุ่ม Metel มีกลวิธีมากมายในตำรา แต่ความน่าสนใจอยู่ที่วิธีการอันชาญฉลาด นั่นคือ การเข้าควบคุมเครื่องคอมพิวเตอร์ภายในธนาคารที่สามารถเข้าถึงธุรกรรมการเงินได้ ( เช่น เครื่องในแผนกคอลเซ็นเตอร์ แผนกดูแลด้านเทคนิค ) เพื่อยกเลิกคำสั่งในการทำธุรกรรมที่ตู้เอทีเอ็มได้อัตโนมัติ

การยกเลิกคำสั่งนี้จะสั่งการแสดงยอดเงินในบัตรเดบิตให้คงเหลือเท่าเดิมแม้ว่าจะมีธุรกรรมเกิดขึ้นที่ตู้เอทีเอ็มก็ตาม ตัวอย่างเช่น ในประเทศรัสเซีย กลุ่มโจรไซเบอร์จะขับรถไปทั่วเมืองเพื่อปล้นเงินจากตู้เอทีเอ็มโดยใช้บัตรเดบิตซ้ำไปซ้ำมาทั้งคืน

เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป กล่าวว่า “ปัจจุบัน ช่วงเวลาปฏิบัติการโจมตีไซเบอร์นั้นมีระยะเวลาที่สั้นลงเรื่อย ๆ เมื่อโจรไซเบอร์เริ่มช่ำชองในงานที่ทำ ก็จะใช้เวลาเพียงแค่ไม่กี่วันหรือเพียงสัปดาห์เดียวเพื่อขโมยสิ่งที่ต้องการและจากไป”

ในระหว่างที่สืบสวนด้านนิติเวชนั้น ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบว่า กลุ่ม Metel ประสบความสำเร็จในการแพร่กระจายเชื้อผ่านอีเมลสเปียร์ฟิชชื่งที่มีไฟล์แนบต้องสงสัย และผ่านไนทิริสเอ็กพลอต์ มุ่งโจมตีช่องโหว่ที่เว็บเบราเซอร์ของเหยื่อ เมื่อเข้าไปในเน็ตเวิร์กได้แล้ว โจรไซเบอร์จะใช้ทูลทดสอบการเจาะระบบที่ถูกกฎหมายในการเคลื่อนย้าย จี้โดเมนคอนโทรลเลอร์ และแทรกแซงเข้าควบคุมคอมพิวเตอร์ของพนักงานธนาคารที่รับผิดชอบดูแลเรื่องบัตรกดเงินสดต่าง ๆ

กลุ่ม Metel ยังคงปฏิบัติการอยู่และการสืบสวนกิจกรรมของกลุ่มนี้ยังดำเนินอยู่ต่อไป พบว่าปัจจุบันกลุ่ม Metel นี้มุ่งโจมตีเฉพาะในประเทศรัสเซียเท่านั้น แต่ยังมีหลักฐานให้สงสัยได้ว่าการแพร่เชื้อนี้จะขยายวงกว้างออกไปยังธนาคารทั่วโลก จึงขอให้ธนาคารทั้งหลายตรวจสอบการติดเชื้ออย่างละเอียด

กลุ่มโจรไซเบอร์ทั้งสามกลุ่มได้เปลี่ยนแนวปฏิบัติการฉ้อโกงโดยใช้มัลแวร์ที่มากับซอฟต์แวร์แทนการเขียนทูลมัลแวร์ขึ้นใหม่ เนื่องจากมัลแวร์ที่แนบไปกับซอฟต์แวร์จะทำงานได้มีประสิทธิภาพมากกว่า และตรวจจับได้ยากกว่า

แต่กลุ่ม GCMAN ล้ำหน้ากว่าในเรื่องการขโมย หลายครั้งที่กลุ่ม GCMAN สามารถโจมตีองค์กรได้สำเร็จโดยไม่ต้องใช้มัลแวร์เลยสักตัว โดยการใช้เพียงทูลทดสอบการเจาะระบบที่ถูกกฎหมายเท่านั้น ในเคสที่ตรวจสอบโดยผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบว่า GCMAN ใช้ยูทิลิตี้ Putty, VNC, และ Meterpreter ในการเคลื่อนย้ายผ่านเน็ตเวิร์กจนกระทั่งผู้โจมตีเข้าถึงเครื่องที่จะใช้เป็นจุดโอนเงินไปยังบริการออนไลน์อื่น ๆ โดยที่ระบบธนาคารไม่แจ้งเตือน

ในการโจมตีครั้งหนึ่ง แคสเปอร์สกี้ แลป ตรวจพบว่าโจรไซเบอร์อยู่ในเน็ตเวิร์กนานถึงหนึ่งปีครึ่งก่อนเริ่มโจรกรรม เงิน จำนวน 200 เหรียญซึ่งเป็นจำนวนสูงกว่าที่กำหนดจะถูกโอนเพื่อจ่ายให้ผู้รับที่ไม่เปิดเผยชื่อในรัสเซีย ทุก ๆ นาที CRON ซึ่งเป็นโปรแกรมตั้งเวลาจะยิงสคริปต์ต้องสงสัยและยอดเงินจะถูกโอนไปยังบัญชีเงินออนไลน์ คำสั่งธุรกรรมจะถูกส่งไปยังเกตเวย์ที่ดูแลเรื่องจ่ายเงินของธนาคารโดยตรง และยังซุกซ่อนไม่ปรากฏตัวในระบบส่วนอื่นของธนาคารอีกด้วย

และสุดท้าย กลุ่ม Carbanak 2.0 คือกลุ่มโจมตีด้วยภัยคุกคามต่อเนื่องขั้นสูง หรือ APT ที่ใช้ทูลและเทคนิคต่าง ๆ เหมือนกับ Carbanak แรก แต่ต่างกันที่ประเภทของเหยื่อและวิธีการในการปล้นเงินที่ล้ำหน้ากว่า

ในปี 2015 เป้าหมายของ Carbanak 2.0 ไม่ได้มีแค่ธนาคารแต่รวมถึงแผนกต่าง ๆ ที่ทำหน้าที่เกี่ยวกับงบประมาณและการบัญชีขององค์กร อีกหนึ่งเหตุการณ์ตัวอย่างที่ผู้เชี่ยวชาญสังเกตคือ กลุ่ม Carbanak 2.0 เข้าถึงสถาบันการเงินและดำเนินการเปลี่ยนข้อมูลส่วนบุคคลของเจ้าของบริษัทขนาดใหญ่ ข้อมูลผู้ถือหุ้น ที่ประกอบด้วยหมายเลขบัตรประชาชน

เซอร์เกย์ กล่าวเตือนว่า “การโจมตีสถาบันการเงินที่ถูกเปิดโปงในปี 2015 ที่ผ่านมานั้น ชี้ให้เห็นถึงกระแสที่น่ากังวลที่เหล่าโจรไซเบอร์ใช้วิธีการโจมตีแบบ APT อย่างแข็งกร้าว ดุดัน กลุ่ม Carbanak เป็นเพียงกลุ่มแรกเท่านั้น และยังจะมีตามมาอีกมาก โจรไซเบอร์สามารถเรียนรู้การใช้เทคนิคใหม่ๆ ได้ไว และเปลี่ยนจากการโจมตีผู้ใช้งานเป็นโจมตีธนาคารโดยตรง เพียงแค่หลักการง่าย ๆ นั่นคือ ธนาคารคือแหล่งเงิน แคสเปอร์สกี้ แลป ตั้งเป้าว่าจะค้นคว้าวิจัยเพื่อเปิดเผยว่าโจรไซเบอร์จะขโมยเงินได้จากที่ไหนอย่างไร ในกรณีของ GCMAN ควรมีการตรวจสอบการป้องกันเว็บเซิร์ฟเวอร์ของธนาคาร ส่วนกรณีของ Carbanak ขอแนะนำให้ป้องกันดาต้าเบสที่มีข้อมูลเจ้าของบัญชีด้วย ไม่ใช่แค่ข้อมูลยอดเงินในบัญชีเท่านั้น”

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและบล็อกการทำงานของมัลแวร์จากกลุ่ม Carbanak 2.0, Metel และ GCMAN ได้อย่างดีเยี่ยม และได้เผยแพร่ข้อมูลเพื่อบ่งชี้ปัญหา ( Indicators of Compromise – IOC ) และช่วยให้องค์กรสามารถค้นหาร่องรอยกลุ่มโจรไซเบอร์ภายในเน็ตเวิร์กขององค์กรได้

แคสเปอร์สกี้ แลป ขอเตือนให้องค์กรทุกแห่งให้สแกนเน็ตเวิร์กของตน เพื่อค้นหากลุ่ม Carbanak, Metel และ GCMAN หากตรวจพบให้กำจัดออกจากระบบและแจ้งหน่วยงานทางกฎหมายโดยด่วน

ข้อมูลเพิ่มเติม กรุณาอ่านที่เว็บไซต์ Securelist.com https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/

 

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com