CEO Blog

แฮกเกอร์รัสเซียอาละวาดวงการไซเบอร์สะเทือน

By นักรบ เนียมนามธรรม18 ธ.ค. 2017 เวลา 5:01 น.
แฮกเกอร์รัสเซียอาละวาดวงการไซเบอร์สะเทือน

วงการไซเบอร์สะเทือนอีกครั้งเมื่อ “Group IB” ซึ่งเป็นผู้นำระดับโลกด้านการป้องกันและตรวจสอบอาชญากรรม การฉ้อโกงออนไลน์ การขโมยเงิน

เพื่อต่อต้านการสูญเสียทางการเงินและความเสี่ยงด้านชื่อเสียง เปิดเผยรายงานถึงกลุ่มแฮกเกอร์ที่ถูกเรียกว่า “Money Taker” ซึ่งถูกระบุว่าเป็นกลุ่มอาชญากรจากรัสเซียได้ก่อวีรกรรมขโมยเงินจากสถาบันการเงินและองค์กรอื่นๆในสหรัฐ, สหราชอาณาจักร และรัสเซียรวมกันอย่างน้อยกว่า 10 ล้านดอลลาร์ 

โดยเป็นการพุ่งเป้าไปที่ระบบประมวลผลบัตรต่างๆ และระบบการโอนเงินระหว่างธนาคาร โดยกลุ่มนี้มีความสามารถและทักษะฝีมือขั้นสูงเทียบเท่ากับกลุ่มป้องกันภัยร้าย APT (Advanced Persistence Threats) ซึ่งสนับสนุนโดยรัฐบาล

กลุ่ม Money Taker ได้ก่อคดีมาแล้วถึง 20 ครั้งภายใน 2 ปี นับตั้งแต่พฤษภาคม 2559 จนถึง พฤศจิกายน 2560 โดยใช้มัลแวร์ในการสอดแนมระบบจัดการข้อมูลและชำระเงินของธนาคาร โดยเหยื่อส่วนใหญ่ จำนวน 16 องค์กรอยู่ในสหรัฐ อีก 3 ที่เป็นธนาคารในรัสเซีย และอีกที่คือบริษัทซอฟต์แวร์ในสหราชอาณาจักร และระบบทางการเงินของธนาคารที่ตกเป็นเป้า ได้แก่ SWIFT, First Data’s “STAR” และ AWS CBR 

ทั้งนี้ทาง Group IB รายงานว่ากลุ่ม Money Taker เป็นกลุ่มแฮกเกอร์กลุ่มใหม่ มีฝีมือระดับสูงโดยสามารถใช้งานเครื่องจู่โจมระบบทั่วไปรวมไปถึงการใช้งานและปรับแต่งมัลแวร์ที่มีความซับซ้อนสูง ยังรวมถึงมัลแวร์ไร้ไฟล์ (Fileless Malware) ซึ่งเป็นมัลแวร์ระดับสูงยากต่อการตรวจจับเพราะไม่จำเป็นต้องใช้ไฟล์เป็นสื่อการทำงาน อาทิ ATMitch ที่เพิ่งสร้างความฮือฮามาเมื่อเมษายนปีนี้ โดยขโมยเงินได้ถึง 27 ล้านบาทในคืนเดียวจากการโจมตีตู้ ATM ไม่ต่ำกว่า 8 ตู้ในรัสเซีย และพวกมัลแวร์ดักจับข้อมูล (KeyLogger)

นอกจากนั้นกลุ่ม Money Taker นี้ยังได้เปิดตัวการโจมตีแบบเต็มรูปแบบเป็นแบงกิ้งโทรจันที่โด่งดังชื่อว่า Trojan Kronos และ Citadel เป็นการส่งมัลแวร์แบบ Point of Sale (POS) ซึ่งสามารถเข้าถึงข้อมูลบัตรเครดิตและเดบิตจนสามารถปลอมแปลงบัตรปลอมในการชำระบัตรจากการซื้อของกับธนาคารและถอนเงินจากตู้ ATM ทั้งนี้กลุ่มแฮกเกอร์นี้จะใช้เซิร์ฟเวอร์ระยะไกลและปล่อยมัลแวร์เข้าสู่พวกองค์กรโครงสร้างพื้นฐานต่างๆ เพื่อกระจายมัลแวร์ต่อ รวมไปถึงยังมีการลงทะเบียนมัลแวร์แบบ SSL อย่างไม่ถูกต้องเพื่อหลีกเลี่ยงการตรวจจับและยังเพิ่มความน่าเชื่อถือด้วยการอ้างใบรับรองจากแบรนด์ชั้นนำ อาทิ Microsoft และ Yahoo

ดูเหมือนว่าแฮกเกอร์ยุคใหม่นี้จะมีลูกเล่นและกลยุทธ์ที่แยบยลมากขึ้น ยากที่จะตรวจสอบ อย่างที่ผมได้บอกในเกือบทุกฉบับที่ผ่านมา การแก้ไขที่ปลายเหตุยังคงเพียงพอ การสร้างระบบป้องกันที่รอบคอบรัดกุม และการสร้างภูมิคุ้มกันให้ผู้ใช้งาน เป็นสิ่งจำเป็นและมีความสำคัญอย่างมากเพื่อช่วยลดความเสี่ยงจากภัยร้ายเหล่านี้