CEO Blog

แฮกเกอร์รัสเซีย ใช้เทคนิคใหม่จู่โจมธนาคารทั่วโลก

By นักรบ เนียมนามธรรม02 ก.ย. 2019 เวลา 12:43 น.
แฮกเกอร์รัสเซีย ใช้เทคนิคใหม่จู่โจมธนาคารทั่วโลก

ทุกบริษัทควรติดตามอัพเดทข้อมูลเสมอเพื่อให้มีการพัฒนาระบบป้องกันการจู่โจมทางไซเบอร์ให้เท่าทัน

Silence APT กลุ่มอาชญากรทางไซเบอร์ที่เป็นที่รู้จักว่าเน้นโจมตีกลุ่มสถาบันทางการเงินหลักๆ ในแถบสหภาพโซเวียตเก่า รวมถึงประเทศเพื่อนบ้านบริเวณใกล้เคียงเป็นหลัก ได้ประกาศกร้าวว่า ครั้งนี้เป้าหมาย คือ สถาบันทางการเงินมากกว่า 30 ประเทศทั้งในทวีปอเมริกา ยุโรป แอฟริกา รวมถึงเอเชีย 

การจู่โจมครั้งใหญ่ของกลุ่มนี้ นับตั้งแต่เดือน ก.ย. 2559 เกิดที่ธนาคาร Dutch-Bangla ในบังกลาเทศ ก่อความเสียหายมากกว่า 3 ล้านดอลลาร์ ซึ่งกลุ่ม Silence APT ใช้วิธีการถอนเงินเอทีเอ็มภายในระยะเวลาไม่กี่วัน

Group-IB กลุ่มองค์กรผู้วิจัยทางด้านความปลอดภัยในโลกไซเบอร์ รายงานว่า แฮกเกอร์กลุ่มนี้มีแผนขยายการจู่โจมให้กว้างขึ้น และถี่ขึ้น รายงานยังกล่าวถึงพัฒนาการกลุ่ม Silence ATP ว่า เริ่มจากกลุ่มวัยรุ่นที่มีแรงจูงใจจารกรรมข้อมูล ซึ่งปัจจุบันพัฒนากลายเป็นกลุ่มแฮกเกอร์ที่เข้าใจการจารกรรมข้อมูลเป็นอย่างดี และเริ่มขยายการคุกคามไปสู่ธนาคารทั่วโลก

กลุ่ม Silence ATP ได้ปรับปรุงเทคนิค TTPs (Tactics, Technics and Procedures) และเปลี่ยน Encryption Alphabets, String Sncryption รวมไปถึง Command for the bot เพื่อหลบหลีกการตรวจจับของอุปกรณ์ป้องกันความปลอดภัยต่างๆ และส่ง Spear-Phishing Email แนบกับไฟล์เอกสาร Macros, CHM files และ .LNK Shortcuts ให้เหยื่อเพื่อใช้ไฟล์เหล่านี้หลอกล่อ ก่อนเข้าควบคุมและเจาะเข้าระบบของเป้าหมาย เมื่อเป้าหมายติดกับจะใช้เทคนิค TTPs ส่งมัลแวร์เข้าไปเพื่อทำการเก็บรวบรวมข้อมูลของระบบส่งกลับมายัง CnC Server

สำหรับการเลือกเหยื่อที่จะโจมตี กลุ่มนี้จะอัพเดทรายชื่ออีเมลเป้าหมายที่ยังใช้งานอยู่ แล้วส่งอีเมล์ “Recon Email” แนบไฟล์ภาพ หรือลิงก์ที่ไม่มี Malicious Payload อยู่ด้วยเพื่อให้ยากแก่การตรวจสอบ แผนนี้ไม่ได้มุ่งโจมตีเพียงที่รัสเซียหรือสหภาพโซเวียตเก่า แต่ยังมีแผนกระจายการโจมตีไปยังยุโรปและเอเชีย จากรายงานกลุ่ม Silence ATP ได้ส่ง Recon Email ไปยังธนาคารในรัสเซีย ยุโรป และเอเชียเป็นจำนวนมากกว่า 170,000 อีเมลในช่วงที่ผ่านมา

จะเห็นว่า แม้แต่แฮกเกอร์ก็มีการพัฒนาวิธีการแฮกรูปแบบใหม่ที่ยากต่อการตรวจสอบ ซึ่งต้องยอมรับว่าบางครั้งบริษัทใหญ่ๆ อาจยังไม่คำนึงถึงความสำคัญในการพัฒนาระบบป้องกันการจู่โจมทางไซเบอร์ จึงเป็นการยากที่จะป้องกันตัวเองจากภัยทางไซเบอร์รูปแบบใหม่ๆ ผมแนะนำว่าทุกบริษัทควรติดตามอัพเดทข้อมูลอยู่เสมอเพื่อให้องค์กรมีการพัฒนาระบบป้องกันการจู่โจมทางไซเบอร์ให้เท่าทัน และตั้งรับการโจมตีจากผู้ไม่หวังดี ก่อนจะเกิดความเสียหายขึ้นครับ