SUSE by Ingram

Router เก่าเป็นเหตุ!! แฮ็กเกอร์เจาะธนาคารรัสเซีย ขโมยเงินไปได้กว่า 30 ล้านบาท

กลุ่มแฮ็กเกอร์ชื่อดังนาม MoneyTaker ประสบความสำเร็จในการแฮ็กระบบของ PIR Bank ธนาคารสัญชาติรัสเซีย ขโมยเงินในบัญชีผู้ใช้ไปได้กว่า $920,000 หรือประมาณ 30 ล้านบาท โดยเจาะผ่าน Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว

Credit: ShutterStock.com

Group-IB บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ในรัสเซียถูกเรียกเข้ามาตรวจสอบเหตุการณ์ดังกล่าว ระบุว่า หลังจากเก็บหลักฐานดิจิทัลจาก Workstations และ Servers ของ PIR Bank มาวิเคราะห์แล้ว เชื่อว่าเป็นฝีมือของกลุ่ม MoneyTaker สาเหตุที่คาดการณ์เช่นนี้ เนื่องมาจาก Group-IB เป็นคนเปิดโปงกลุ่ม MoneyTaker เมื่อเดือนธันวาคมที่ผ่านมา ทำให้ทราบวิธีการปฏิบัติการของกลุ่มแฮ็กเกอร์นี้เป็นอย่างดี

จากการตรวจสอบ Group-IB พบว่าแฮ็กเกอร์แทรกซึมเข้ามายังระบบเครือข่ายของ PIR Bank เมื่อช่วงปลายเดือนพฤษภาคมผ่านทาง Router ของธนาคารสาขาแห่งหนึ่ง ซึ่งเป็น Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว Router ดังกล่าวถูกสร้างท่อที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายภายในของธนาคารได้โดยตรง ซึ่งเป็นวิธีที่ MoneyTaker นิยมใช้โจมตี

หลังจากนั้น แฮ็กเกอร์จะลอบส่งมัลแวร์เข้ามายังระบบเครือข่ายผ่านทาง Router ที่ถูกแฮ็ก แล้วใช้สคริปต์ PowerShell ในการดำเนินการไม่พึงประสงค์ต่างๆ โดยไม่ให้ถูกจับได้ เมื่อเจาะเครือข่ายหลักของ PIR Bank ได้สำเร็จ แฮ็กเกอร์จะสามารถเข้าถึงบัญชี Automated Work Station Client of the Russian Central Bank (AWS CBR) ซึ่งเป็นระบบที่ใช้ควบคุมการทำธุรกรรมการเงินระหว่างธนาคาร และใช้ระบบดังกล่าวในการโอนเงินจากบัญชีของ PIR Bank จาก Bank of Russia มายังบัญชีของตนเองรวม 17 บัญชีที่เตรียมไว้ล่วงหน้า แล้วค่อยถอนเงินสดจากตู้ ATM ออกไป

การโอนเงินเกิดขึ้นเมื่อวันที่ 3 กรกฎาคม ก่อนที่พนักงานของ PIR Bank จะค้นพบการแฮ็กเพียง 1 วันหลังจากนั้น แต่ก็สายไปเสียแล้วในการที่จะยกเลิกธุรกรรมที่เกิดขึ้น เหตุการณ์นี้ ไม่ใช่การจารกรรมครั้งแรกของ MoneyTaker ที่ประสบความสำเร็จ Group-IB เชื่อว่าเคยเกิดเหตุคล้ายคลึงกันนี้ในรัสเซียไม่ต่ำกว่า 3 ครั้งด้วยฝีมือแฮ็กเกอร์กลุ่มเดียวกัน

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เปิดบริการ Cyber Insurance สำหรับลูกค้า Google Cloud ประกันลดความเสียหายจาก Cyberattack

Google ได้ประกาศเปิดตัวบริการ Cyber Insurance ประกันลดความเสียหายในกรณีที่ถูกโจมตีที่ออกแบบมาเป็นพิเศษสำหรับผู้ใช้งาน Google Cloud โดยเฉพาะ

รายงานเผย พบ Malware ที่พัฒนาด้วยภาษา Go เพิ่มขึ้นเกือบ 20 เท่านับแต่ปี 2017

Intezer ผู้พัฒนาโซลูชันด้านการรักษาความมั่นคงปลอดภัยบน Cloud ได้ออกมาเผยในรายงาน Year of the Gopher: 2020 Go Malware Round-Up ว่าในปี 2020 พบการใช้ภาษา Go ในการพัฒนา Malware มากขึ้นถึงเกือบ 2,000% เมื่อเทียบกับปี 2017