สรุปผลวิเคราะห์มัลแวร์ที่โจมตีตู้ ATM ธนาคารออมสินจาก NCR

NCR หนึ่งในเจ้าของผลิตภัณฑ์ตู้ ATM ที่ทางธนาคารออมสินใช้งาน ได้ออกรายงาน “สรุปการโจมตีของมัลแวร์ที่เกิดขึ้นบนสถาบันการเงินแห่งหนึ่งในประเทศไทย” หลังจากที่ตู้ ATM ของธนาคารออมสินถูกแฮ็คและคนร้ายขโมยเงินไปถึง 12 ล้านบาท

รายงานระบุว่า แฮ็คเกอร์สามารถเข้าถึงระบบเครือข่ายภายในของธนาคารผ่านทาง Access Point (น่าจะเป็น Access Point ที่ติดตั้งอยู่บริเวณตู้ ATM) แล้วทำการแฮ็คตู้ ATM โดยปลอมตัวเอง (Spoofing) เป็นเซิร์ฟเวอร์สำหรับไว้ติดตั้งและอัปเดตซอฟต์แวร์ แต่แทนที่จะส่งซอฟต์แวร์ SDMS เวอร์ชัน 2.3.0 จากบริษัท InfoMindz ไปอัปเดต กลับส่งมัลแวร์เข้าสู่ตู้ ATM แทน

NCR ทำการวิเคราะห์มัลแวร์มัลแวร์พบว่ามีทั้งหมด 3 Variants ซึ่งหนึ่งในนั้นมีค่า MD5 เป็น 15632224b7e5ca0ccb0a042daf2adc13 ซึ่งตรงกับที่ทาง FireEye ได้รับเมื่อสัปดาห์ที่ผ่านมา นอกจากนี้ยังระบุอีกว่า การโจมตีรูปแบบดังกล่าวไม่ใช่วิธีการใหม่ หรือเฉพาะเจาะจงกับตู้ ATM ของ NCR เท่านั้น ตู้ ATM รายอื่นก็อาจตกเป็นเหยื่อได้ด้วยเช่นกัน

ทางเพจ สอนแฮกเว็บแบบแมวๆ ก็ออกมาให้ความเห็นว่า หลังจากที่ส่งมัลแวร์เข้าไปติดตั้งในตู้ ATM ได้แล้ว “ขั้นสุดท้าย (ไม่ได้อธิบายไว้) ก็คือน่าจะเหมือนกับที่ FireEye วิเคราะห์ไว้ คือใช้บัตร ATM แบบ EMV chip ที่ฝังโค้ดอันตรายไว้สั่งการให้เครื่อง ATM พ่นเงินออกมา เสียบเข้าไปเพื่อติดต่อกับตัวมัลแวร์ผ่านหน้าเครื่อง ATM”

อ่านรายงานฉบับเต็ม: https://www.ncr.com/sites/default/files/ncr_security_alert_-_2016-12_network_malware_attack_in_thailand_-_sdms_160829_final_for_review.pdf