Router เก่าเป็นเหตุ!! แฮ็กเกอร์เจาะธนาคารรัสเซีย ขโมยเงินไปได้กว่า 30 ล้านบาท

กลุ่มแฮ็กเกอร์ชื่อดังนาม MoneyTaker ประสบความสำเร็จในการแฮ็กระบบของ PIR Bank ธนาคารสัญชาติรัสเซีย ขโมยเงินในบัญชีผู้ใช้ไปได้กว่า $920,000 หรือประมาณ 30 ล้านบาท โดยเจาะผ่าน Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว

Credit: ShutterStock.com

Group-IB บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ในรัสเซียถูกเรียกเข้ามาตรวจสอบเหตุการณ์ดังกล่าว ระบุว่า หลังจากเก็บหลักฐานดิจิทัลจาก Workstations และ Servers ของ PIR Bank มาวิเคราะห์แล้ว เชื่อว่าเป็นฝีมือของกลุ่ม MoneyTaker สาเหตุที่คาดการณ์เช่นนี้ เนื่องมาจาก Group-IB เป็นคนเปิดโปงกลุ่ม MoneyTaker เมื่อเดือนธันวาคมที่ผ่านมา ทำให้ทราบวิธีการปฏิบัติการของกลุ่มแฮ็กเกอร์นี้เป็นอย่างดี

จากการตรวจสอบ Group-IB พบว่าแฮ็กเกอร์แทรกซึมเข้ามายังระบบเครือข่ายของ PIR Bank เมื่อช่วงปลายเดือนพฤษภาคมผ่านทาง Router ของธนาคารสาขาแห่งหนึ่ง ซึ่งเป็น Router รุ่นเก่าที่ยกเลิกการซัพพอร์ตไปแล้ว Router ดังกล่าวถูกสร้างท่อที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายภายในของธนาคารได้โดยตรง ซึ่งเป็นวิธีที่ MoneyTaker นิยมใช้โจมตี

หลังจากนั้น แฮ็กเกอร์จะลอบส่งมัลแวร์เข้ามายังระบบเครือข่ายผ่านทาง Router ที่ถูกแฮ็ก แล้วใช้สคริปต์ PowerShell ในการดำเนินการไม่พึงประสงค์ต่างๆ โดยไม่ให้ถูกจับได้ เมื่อเจาะเครือข่ายหลักของ PIR Bank ได้สำเร็จ แฮ็กเกอร์จะสามารถเข้าถึงบัญชี Automated Work Station Client of the Russian Central Bank (AWS CBR) ซึ่งเป็นระบบที่ใช้ควบคุมการทำธุรกรรมการเงินระหว่างธนาคาร และใช้ระบบดังกล่าวในการโอนเงินจากบัญชีของ PIR Bank จาก Bank of Russia มายังบัญชีของตนเองรวม 17 บัญชีที่เตรียมไว้ล่วงหน้า แล้วค่อยถอนเงินสดจากตู้ ATM ออกไป

การโอนเงินเกิดขึ้นเมื่อวันที่ 3 กรกฎาคม ก่อนที่พนักงานของ PIR Bank จะค้นพบการแฮ็กเพียง 1 วันหลังจากนั้น แต่ก็สายไปเสียแล้วในการที่จะยกเลิกธุรกรรมที่เกิดขึ้น เหตุการณ์นี้ ไม่ใช่การจารกรรมครั้งแรกของ MoneyTaker ที่ประสบความสำเร็จ Group-IB เชื่อว่าเคยเกิดเหตุคล้ายคลึงกันนี้ในรัสเซียไม่ต่ำกว่า 3 ครั้งด้วยฝีมือแฮ็กเกอร์กลุ่มเดียวกัน

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-breach-russian-bank-and-steal-1-million-due-to-outdated-router/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cyber Elite เปิดศูนย์ CSOC บริการเฝ้าระวังและรับมือภัยคุกคามไซเบอร์แบบครบวงจร

ในปัจจุบัน หลายองค์กรทั่วโลกต่างพลิกโฉมธุรกิจของตนสู่การเป็นธุรกิจดิจิทัลมากขึ้น สินค้าและบริการต่างถูกนำเสนอในรูปแบบออนไลน์ ผ่านอินเทอร์เน็ต และแอปพลิเคชันบนสมาร์ตโฟนเป็นจำนวนมาก เหล่านี้ก่อให้เกิดช่องทางที่อาชญากรไซเบอร์จะใช้โจมตีระบบขององค์กรได้มากขึ้น การรับมือกับภัยคุกคามไซเบอร์ในสมัยก่อนที่รอให้เกิดเหตุก่อนแล้วค่อยจัดการเป็นกรณีๆ ไป ไม่สามารถใช้ได้กับภัยคุกคามปัจจุบันที่มีความซับซ้อนและรุนแรง ซึ่งอาจทำให้ธุรกิจหยุดชะงักได้ทันทีหรือเสี่ยงถูกลูกค้าฟ้องร้องได้อีกต่อไป

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission