Router เก่าเป็นเหตุ!! แฮ็กเกอร์เจาะธนาคารรัสเซีย ขโมยเงินไปได้กว่า 30 ล้านบาท

กลุ่มแฮ็กเกอร์ชื่อดังนาม MoneyTaker ประสบความสำเร็จในการแฮ็กระบบของ PIR Bank ธนาคารสัญชาติรัสเซีย ขโมยเงินในบัญชีผู้ใช้ไปได้กว่า $920,000 หรือประมาณ 30 ล้านบาท โดยเจาะผ่าน Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว

Credit: ShutterStock.com

Group-IB บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ในรัสเซียถูกเรียกเข้ามาตรวจสอบเหตุการณ์ดังกล่าว ระบุว่า หลังจากเก็บหลักฐานดิจิทัลจาก Workstations และ Servers ของ PIR Bank มาวิเคราะห์แล้ว เชื่อว่าเป็นฝีมือของกลุ่ม MoneyTaker สาเหตุที่คาดการณ์เช่นนี้ เนื่องมาจาก Group-IB เป็นคนเปิดโปงกลุ่ม MoneyTaker เมื่อเดือนธันวาคมที่ผ่านมา ทำให้ทราบวิธีการปฏิบัติการของกลุ่มแฮ็กเกอร์นี้เป็นอย่างดี

จากการตรวจสอบ Group-IB พบว่าแฮ็กเกอร์แทรกซึมเข้ามายังระบบเครือข่ายของ PIR Bank เมื่อช่วงปลายเดือนพฤษภาคมผ่านทาง Router ของธนาคารสาขาแห่งหนึ่ง ซึ่งเป็น Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว Router ดังกล่าวถูกสร้างท่อที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายภายในของธนาคารได้โดยตรง ซึ่งเป็นวิธีที่ MoneyTaker นิยมใช้โจมตี

หลังจากนั้น แฮ็กเกอร์จะลอบส่งมัลแวร์เข้ามายังระบบเครือข่ายผ่านทาง Router ที่ถูกแฮ็ก แล้วใช้สคริปต์ PowerShell ในการดำเนินการไม่พึงประสงค์ต่างๆ โดยไม่ให้ถูกจับได้ เมื่อเจาะเครือข่ายหลักของ PIR Bank ได้สำเร็จ แฮ็กเกอร์จะสามารถเข้าถึงบัญชี Automated Work Station Client of the Russian Central Bank (AWS CBR) ซึ่งเป็นระบบที่ใช้ควบคุมการทำธุรกรรมการเงินระหว่างธนาคาร และใช้ระบบดังกล่าวในการโอนเงินจากบัญชีของ PIR Bank จาก Bank of Russia มายังบัญชีของตนเองรวม 17 บัญชีที่เตรียมไว้ล่วงหน้า แล้วค่อยถอนเงินสดจากตู้ ATM ออกไป

การโอนเงินเกิดขึ้นเมื่อวันที่ 3 กรกฎาคม ก่อนที่พนักงานของ PIR Bank จะค้นพบการแฮ็กเพียง 1 วันหลังจากนั้น แต่ก็สายไปเสียแล้วในการที่จะยกเลิกธุรกรรมที่เกิดขึ้น เหตุการณ์นี้ ไม่ใช่การจารกรรมครั้งแรกของ MoneyTaker ที่ประสบความสำเร็จ Group-IB เชื่อว่าเคยเกิดเหตุคล้ายคลึงกันนี้ในรัสเซียไม่ต่ำกว่า 3 ครั้งด้วยฝีมือแฮ็กเกอร์กลุ่มเดียวกัน

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เสริมแกร่งโหมดป้องกันภัยข้อมูลให้ทุกบริการด้านซอฟต์แวร์ ด้วย Veritas NetBackup SaaS Protection ตอบโจทย์ทุกคอมไพลแอนซ์ในการปกป้องสำรองและกู้คืนข้อมูลจากการใช้งาน Software as a Service

ปัจจุบัน บริการใช้งานด้านซอฟต์แวร์แบบ Software as a Service (SaaS) เป็นที่ยอมรับมากขึ้นไม่ว่าจะโดยรูปแบบใช้งานแบบ On-prem ในองค์กรหรือบนคลาวด์ ตัวอย่างเช่น บริการออฟฟิศ 365 ไมโครซอฟท์ แชร์พอยต์ เป็นต้น ข้อดีก็คือ องค์กรไม่ต้องแบกภาระซ่อมบำรุงซอฟต์แวร์โดยถือเป็นหน้าที่ของผู้ให้บริการ การจ่ายค่าบริการแบบสมัครใช้งาน (Subscription) ที่ยืดหยุ่นต่อองค์กรในการปรับปรุงงบประมาณให้เหมาะกับลักษณะงานและจำนวนผู้ใช้ รวมถึงการเชื่อมโยงการทำงานจากทุกส่วนงานภายใต้มาตรฐานซอฟต์แวร์แบบเดียวกันในทุกที่ทั่วโลก (Remote Working) 

พบช่องโหว่ยกระดับสิทธ์บนลีนุกซ์ คาดกระทบดิสโทรหลักทั้งหมด

ผู้เชี่ยวชาญจาก Qualys ได้สาธิตช่องโหว่ใหม่ที่ชื่อว่า ‘PwnKit’ ซึ่งเกิดขึ้นใน pkexec ซึ่งสามารถทำให้คนร้ายได้สิทธิ์ระดับ Root