อาชญากรรมซ้อนกล: การวางแผนโจรกรรมแบงก์... จริงๆ แล้วจะเอาอะไรกันแน่?
ผู้เชี่ยวชาญแคสเปอร์สกี้ แลป ค้นพบวิธีการที่โจรปล้นตู้เอทีเอ็มของธนาคารได้แล้ว
เจอวายร้าย ATMitch ถอนเงินได้แบบไร้ร่องรอย
ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป แถลงรายละเอียดงานวิจัย ถึงกลเม็ดเด็ดพรายสุดล้ำที่ผู้ร้ายใช้ถอนเงินจากตู้เอทีเอ็มได้จากการทำแอดมินระยะไกล และได้ลงมือสืบสวนเรื่องนี้ ตรวจสอบตู้เอทีเอ็มที่ว่างเปล่าไม่มีเงิน ไม่มีร่องรอยการงัดแงะหรือกระทำการใดๆ กับตัวตู้เลย และไม่มีแม้กระทั่งมัลแวร์ หลังการทุ่มเทวิจัยคดีนี้ ในที่สุดก็เข้าใจชัดทั้งทูลที่อาชญากรใช้ในการโจรกรรม และยังสามารถจำลองวิธีการโจรกรรมได้ด้วย จึงค้นพบช่องโหว่ด้านระบบความปลอดภัยในระบบของธนาคาร
เมื่อเดือนกุมภาพันธ์ปี 2017 นี้ แคสเปอร์สกี้ แลป ได้ตีพิมพ์เผยแพร่ ผลการสืบสวนสอบสวน กรณีการจู่โจมลึกลับที่ไร้ร่องรอยของไฟล์ที่เกิดขึ้นกับธนาคาร: อาชญากรใช้อินเมมโมรี่มัลแวร์ (in-memory malware) เพื่อแพร่เชื้อใส่ระบบเครือข่ายของธนาคาร แต่ทำไมพวกเขาจึงเลือกวิธีการทำเช่นนี้? กรณี ATMitch ทำให้เราเข้าใจภาพรวมได้กระจ่างชัดยิ่งขึ้น
การสืบสวนสอบสวนเริ่มต้นหลังจากที่ผู้เชี่ยวชาญพิสูจน์หลักฐานของธนาคารได้กู้ไฟล์และส่งต่อสองไฟล์ – ซึ่งเป็นสองไฟล์ที่หลงเหลืออยู่หลังการโจมตีเท่านั้น - ที่มีมัลแวร์ล็อก (logs) จากฮาร์ดไดรว์ของตู้เอทีเอ็ม (kl.txt and logfile.txt) อยู่: ส่วนการที่จะกู้ไฟล์ executables ของผู้ร้ายคืนมานั้นเป็นไปไม่ได้เพราะอาชญากรจะลบมัลแวร์ทิ้งหลังเสร็จสิ้นกระบวนการโจรกรรม อย่างไรก็ตาม ข้อมูลเล็กน้อยเช่นนี้ก็เพียงพอสำหรับแคสเปอร์สกี้ แลปในการดำเนินการสอบสวนสืบค้นหาร่องรอยกรณีนี้ต่อไป
Erase / rewind
ภายในล็อกไฟล์ (log files) ที่ได้จากการสอบสวน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป สามารถระบุร่องรอยได้จากชิ้นส่วนข้อมูลใน plain text สามารถนำมาสร้าง YARA rule สำหรับคลังเก็บมัลแวร์สาธารณะเพื่อค้นหาตัวอย่าง โดยที่ YARA rules — พื้นฐานแล้วก็คือ สตริงเพื่อการสืบค้น (search strings) — ช่วยนักวิเคราะห์ค้นหา จัดกรุ๊ป และจัดเข้าหมวดหมู่ บรรดาตัวอย่างมัลแวร์ที่เกี่ยวข้องกัน จากนั้นหาความเชื่อมโยงระหว่างกันโดยอิงจากแพทเทิร์นรูปแบบของกิจกรรมที่น่าสงสัยบนระบบหรือเครือข่ายที่มีลักษณะคล้ายคลึงกัน
หลังจากรออยู่หนึ่งวัน ผู้เชี่ยวชาญพบตัวอย่างมัลแวร์ที่ต้องการ นั่นคือ "tv.dll" หรือรู้จักกันในชื่อใหม่ว่า ‘ATMitch’ เคยถูกพบอาละวาดอยู่ทั่วๆ ไปอยู่สองครั้งด้วยกัน: ครั้งแรกที่คาซัคสถาน และอีกครั้งที่รัสเซีย
มัลแวร์ตัวนี้ติดตั้งและปฏิบัติการได้จากระยะไกล กับตู้เอทีเอ็มของธนาคารเหยื่อเป้าหมาย ควบคุมเครื่องเอทีเอ็มได้จากระยะไกล หลังจากที่ติดตั้งและต่อเชื่อมกับตู้เอทีเอ็มเรียบร้อยแล้ว มัลแวร์ ATMitch ก็จะสื่อสารกับตู้เอทีเอ็มราวกับว่าตัวเองเป็นซอฟต์แวร์ที่ถูกต้อง เปิดช่องทางให้ผู้บุกรุกส่งรายการคอมมานด์ต่างๆ มาทำงาน อาทิ เก็บข้อมูลเกี่ยวกับจำนวนธนบัตรในคาสเซ็ตของตู้เอทีเอ็ม เป็นต้น ยิ่งไปกว่านั้น ยังเปิดช่องทางให้อาชญากรโจรกรรมเงินในตู้นั้นเมื่อไรก็ได้ เพียงแค่กดปุ่มเดียวเท่านั้น
โดยปกติแล้ว อาชญากรจะเริ่มต้นที่การเก็บข้อมูลจำนวนเงินในช่องจ่ายก่อน หลังจากนั้น อาชญากรจะส่งคอมมานด์คำสั่งไปยังช่องจ่ายเงินให้จ่ายเงินตามจำนวนที่อยู่ในคาสเซ็ตใดก็ได้ ซึ่งเป็นวิธีการเฉพาะตัวสุดแสนจะล้ำยุค และเมื่อเสร็จสิ้นกระบวนการโจรกรรมแล้ว สิ่งที่อาชญากรจะทำ ก็เพียงแค่มาคว้าเงินแล้วก็เผ่นแน่บไปเท่านั้นเอง การโจรกรรมตู้เอทีเอ็มเยี่ยงนี้ ทำได้ภายในไม่กี่วินาที!
เมื่อตู้เอทีเอ็มถูกปล้นจนหมดตู้แล้ว มัลแวร์ก็ลบร่องรอยของตัวเองหมดสิ้นเช่นกัน
Who’s there?
ยังไม่เป็นที่แน่ชัดว่าใครเป็นผ็ที่อยู่เบื้องหลังอาชญากรรมนี้ การใช้โอเพ่นซอร์ส exploit code, ยูติลิตี้ทั่วๆ ไปของ Windows และโดเมนไร้ชื่อในขั้นแรกของปฏิบัติการนั้นทำให้เกือบจะเป็นไปไม่ได้ที่จะระบุกลุ่มผู้รับผิดชอบ อย่างไรก็ตาม "tv.dll" ที่ใช้ในขั้นจู่โจมตู้เอทีเอ็มนั้นก็มีภาษารัสเซียปะปนอยู่ด้วย และกลุ่มที่พอจะเข้าอาชญากรรมแนวนี้ ได้แก่ GCMAN และ Carbanak
“อาชญากรอาจจะยังคงปฏิบัติการอยู่ต่อเนื่อง แต่ก็ไม่ต้องตื่นตระหนกไป” เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว “การรับมือกับการก่ออาชญากรรมประเภทนี้ต้องใช้ฝีมือทักษะของผู้เชี่ยวชาญด้านความปลอดภัย คอยป้องกันองค์กรที่เป็นเป้าหมาย การที่มีการรั่วไหลเกิดช่องโหว่ของข้อมูลออกไปจากเน็ตเวิร์กได้นั้น จะทำได้เพราะมีทูลธรรมดาๆ ที่ถูกต้องต่อระบบนี่เอง หลังการโจมตี อาชญากรอาจจะลบข้อมูลทั้งหมดที่อาจย้อนรอยกลับไปถึงตัวเองได้ทิ้งไปเสีย เมื่อต้องจัดการกับกรณีเช่นนี้ การพิสูจน์หลักฐานหาร่องรอยจากเมมโมรี่จึงเป็นเรื่องสำคัญต่อการวิเคราะห์ตัวมัลแวร์และหน้าที่ของมัลแวร์นั้นๆ และดังเช่นที่ในกรณีที่เราได้สืบสวนไปเป็นผลสำเร็จนั้น การรับมือกับเหตุที่เกิดขึ้นอย่างระมัดระวังภายใต้แนงทางที่ชัดเจนนั้นสามารถช่วยแก้ปัญหา แม้แต่กับอาชญากรรมไซเบอร์ที่มีการวางแผนมาอย่างดีก็ตาม”
แคสเปอร์สกี้ แลป มีผลิตภัณฑ์ที่สามารถตรวจจับปฏิบัติการอาชญากรรมที่ใช้กลโกง ขั้นตอน วิธีการดังกล่าวข้างต้นอย่างได้ผล ข้อมูลละเอียดเกี่ยวกับกรณีนี้ และกฎ Yara rules สำหรับใช้ในการวิเคราะห์หาหลักฐานของการโจมตีแบบไร้ไฟล์ มีให้ท่านศึกษาเพิ่มเติมที่บลอก blog on Securelist.com ส่วนรายละเอียดเชิลเทคนิคัล รวมทั้งการระบุสัญญานว่ามีช่องโหว่ (Indicators of Compromise) มีให้ลูกค้าของแคสเปอร์สกี้ แลปศึกษาได้เช่นกันที่ Kaspersky Intelligence Services
###
เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com