Router เก่าเป็นเหตุ!! แฮ็กเกอร์เจาะธนาคารรัสเซีย ขโมยเงินไปได้กว่า 30 ล้านบาท

กลุ่มแฮ็กเกอร์ชื่อดังนาม MoneyTaker ประสบความสำเร็จในการแฮ็กระบบของ PIR Bank ธนาคารสัญชาติรัสเซีย ขโมยเงินในบัญชีผู้ใช้ไปได้กว่า $920,000 หรือประมาณ 30 ล้านบาท โดยเจาะผ่าน Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว

Credit: ShutterStock.com

Group-IB บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ในรัสเซียถูกเรียกเข้ามาตรวจสอบเหตุการณ์ดังกล่าว ระบุว่า หลังจากเก็บหลักฐานดิจิทัลจาก Workstations และ Servers ของ PIR Bank มาวิเคราะห์แล้ว เชื่อว่าเป็นฝีมือของกลุ่ม MoneyTaker สาเหตุที่คาดการณ์เช่นนี้ เนื่องมาจาก Group-IB เป็นคนเปิดโปงกลุ่ม MoneyTaker เมื่อเดือนธันวาคมที่ผ่านมา ทำให้ทราบวิธีการปฏิบัติการของกลุ่มแฮ็กเกอร์นี้เป็นอย่างดี

จากการตรวจสอบ Group-IB พบว่าแฮ็กเกอร์แทรกซึมเข้ามายังระบบเครือข่ายของ PIR Bank เมื่อช่วงปลายเดือนพฤษภาคมผ่านทาง Router ของธนาคารสาขาแห่งหนึ่ง ซึ่งเป็น Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว Router ดังกล่าวถูกสร้างท่อที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายภายในของธนาคารได้โดยตรง ซึ่งเป็นวิธีที่ MoneyTaker นิยมใช้โจมตี

หลังจากนั้น แฮ็กเกอร์จะลอบส่งมัลแวร์เข้ามายังระบบเครือข่ายผ่านทาง Router ที่ถูกแฮ็ก แล้วใช้สคริปต์ PowerShell ในการดำเนินการไม่พึงประสงค์ต่างๆ โดยไม่ให้ถูกจับได้ เมื่อเจาะเครือข่ายหลักของ PIR Bank ได้สำเร็จ แฮ็กเกอร์จะสามารถเข้าถึงบัญชี Automated Work Station Client of the Russian Central Bank (AWS CBR) ซึ่งเป็นระบบที่ใช้ควบคุมการทำธุรกรรมการเงินระหว่างธนาคาร และใช้ระบบดังกล่าวในการโอนเงินจากบัญชีของ PIR Bank จาก Bank of Russia มายังบัญชีของตนเองรวม 17 บัญชีที่เตรียมไว้ล่วงหน้า แล้วค่อยถอนเงินสดจากตู้ ATM ออกไป

การโอนเงินเกิดขึ้นเมื่อวันที่ 3 กรกฎาคม ก่อนที่พนักงานของ PIR Bank จะค้นพบการแฮ็กเพียง 1 วันหลังจากนั้น แต่ก็สายไปเสียแล้วในการที่จะยกเลิกธุรกรรมที่เกิดขึ้น เหตุการณ์นี้ ไม่ใช่การจารกรรมครั้งแรกของ MoneyTaker ที่ประสบความสำเร็จ Group-IB เชื่อว่าเคยเกิดเหตุคล้ายคลึงกันนี้ในรัสเซียไม่ต่ำกว่า 3 ครั้งด้วยฝีมือแฮ็กเกอร์กลุ่มเดียวกัน

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เผยไอเดียแก้ Security Updates บน Windows หลังเหตุการณ์ CrowdStrike

หลังจากเกิดเหตุการณ์ Blue Screen of Death จาก CrowdStrike หลังอัปเดต Security บนเครื่องมือ EDR บน Windows ล่าสุดดูเหมือน Microsoft …

Fortinet ยอมรับถูกขโมยข้อมูลออกไปจริง

Fortinet ได้ออกมายืนยันข่าวที่มีกลุ่มแฮ็กเกอร์สามารถเข้าไปขโมยข้อมูลบน Azure Sharepoint ของตนได้ โดยยืนยันว่ามีผลกระทบกับลูกค้าเพียงแค่ไม่เกิน 0.3% เท่านั้น และยังไม่มีการเผยถึงเนื้อหาข้อมูลที่ถูกขโมยไป