สรุปผลวิเคราะห์มัลแวร์ที่โจมตีตู้ ATM ธนาคารออมสินจาก NCR

NCR หนึ่งในเจ้าของผลิตภัณฑ์ตู้ ATM ที่ทางธนาคารออมสินใช้งาน ได้ออกรายงาน “สรุปการโจมตีของมัลแวร์ที่เกิดขึ้นบนสถาบันการเงินแห่งหนึ่งในประเทศไทย” หลังจากที่ตู้ ATM ของธนาคารออมสินถูกแฮ็คและคนร้ายขโมยเงินไปถึง 12 ล้านบาท

Credit: ShutterStock.com
Credit: ShutterStock.com

รายงานระบุว่า แฮ็คเกอร์สามารถเข้าถึงระบบเครือข่ายภายในของธนาคารผ่านทาง Access Point (น่าจะเป็น Access Point ที่ติดตั้งอยู่บริเวณตู้ ATM) แล้วทำการแฮ็คตู้ ATM โดยปลอมตัวเอง (Spoofing) เป็นเซิร์ฟเวอร์สำหรับไว้ติดตั้งและอัปเดตซอฟต์แวร์ แต่แทนที่จะส่งซอฟต์แวร์ SDMS เวอร์ชัน 2.3.0 จากบริษัท InfoMindz ไปอัปเดต กลับส่งมัลแวร์เข้าสู่ตู้ ATM แทน

NCR ทำการวิเคราะห์มัลแวร์มัลแวร์พบว่ามีทั้งหมด 3 Variants ซึ่งหนึ่งในนั้นมีค่า MD5 เป็น 15632224b7e5ca0ccb0a042daf2adc13 ซึ่งตรงกับที่ทาง FireEye ได้รับเมื่อสัปดาห์ที่ผ่านมา นอกจากนี้ยังระบุอีกว่า การโจมตีรูปแบบดังกล่าวไม่ใช่วิธีการใหม่ หรือเฉพาะเจาะจงกับตู้ ATM ของ NCR เท่านั้น ตู้ ATM รายอื่นก็อาจตกเป็นเหยื่อได้ด้วยเช่นกัน

ทางเพจ สอนแฮกเว็บแบบแมวๆ ก็ออกมาให้ความเห็นว่า หลังจากที่ส่งมัลแวร์เข้าไปติดตั้งในตู้ ATM ได้แล้ว “ขั้นสุดท้าย (ไม่ได้อธิบายไว้) ก็คือน่าจะเหมือนกับที่ FireEye วิเคราะห์ไว้ คือใช้บัตร ATM แบบ EMV chip ที่ฝังโค้ดอันตรายไว้สั่งการให้เครื่อง ATM พ่นเงินออกมา เสียบเข้าไปเพื่อติดต่อกับตัวมัลแวร์ผ่านหน้าเครื่อง ATM”

อ่านรายงานฉบับเต็ม: https://www.ncr.com/sites/default/files/ncr_security_alert_-_2016-12_network_malware_attack_in_thailand_-_sdms_160829_final_for_review.pdf

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้