อาชญากรรมซ้อนกล: การวางแผนโจรกรรมแบงก์… จริงๆ แล้วจะเอาอะไรกันแน่?

ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป แถลงรายละเอียดงานวิจัย ถึงกลเม็ดเด็ดพรายสุดล้ำที่ผู้ร้ายใช้ถอนเงินจากตู้เอทีเอ็มได้จากการทำแอดมินระยะไกล และได้ลงมือสืบสวนเรื่องนี้ ตรวจสอบตู้เอทีเอ็มที่ว่างเปล่าไม่มีเงิน ไม่มีร่องรอยการงัดแงะหรือกระทำการใดๆ กับตัวตู้เลย และไม่มีแม้กระทั่งมัลแวร์ หลังการทุ่มเทวิจัยคดีนี้ ในที่สุดก็เข้าใจชัดทั้งทูลที่อาชญากรใช้ในการโจรกรรม และยังสามารถจำลองวิธีการโจรกรรมได้ด้วย จึงค้นพบช่องโหว่ด้านระบบความปลอดภัยในระบบของธนาคาร

เมื่อเดือนกุมภาพันธ์ปี 2017 นี้ แคสเปอร์สกี้ แลป ได้ตีพิมพ์เผยแพร่ ผลการสืบสวนสอบสวน กรณีการจู่โจมลึกลับที่ไร้ร่องรอยของไฟล์ที่เกิดขึ้นกับธนาคาร: อาชญากรใช้อินเมมโมรี่มัลแวร์ (in-memory malware) เพื่อแพร่เชื้อใส่ระบบเครือข่ายของธนาคาร แต่ทำไมพวกเขาจึงเลือกวิธีการทำเช่นนี้? กรณี ATMitch ทำให้เราเข้าใจภาพรวมได้กระจ่างชัดยิ่งขึ้น

การสืบสวนสอบสวนเริ่มต้นหลังจากที่ผู้เชี่ยวชาญพิสูจน์หลักฐานของธนาคารได้กู้ไฟล์และส่งต่อสองไฟล์ – ซึ่งเป็นสองไฟล์ที่หลงเหลืออยู่หลังการโจมตีเท่านั้น – ที่มีมัลแวร์ล็อก (logs) จากฮาร์ดไดรว์ของตู้เอทีเอ็ม (kl.txt and logfile.txt) อยู่: ส่วนการที่จะกู้ไฟล์ executables ของผู้ร้ายคืนมานั้นเป็นไปไม่ได้เพราะอาชญากรจะลบมัลแวร์ทิ้งหลังเสร็จสิ้นกระบวนการโจรกรรม อย่างไรก็ตาม ข้อมูลเล็กน้อยเช่นนี้ก็เพียงพอสำหรับแคสเปอร์สกี้ แลปในการดำเนินการสอบสวนสืบค้นหาร่องรอยกรณีนี้ต่อไป

Erase / rewind  

ภายในล็อกไฟล์ (log files) ที่ได้จากการสอบสวน ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป สามารถระบุร่องรอยได้จากชิ้นส่วนข้อมูลใน plain text สามารถนำมาสร้าง YARA rule สำหรับคลังเก็บมัลแวร์สาธารณะเพื่อค้นหาตัวอย่าง โดยที่ YARA rules — พื้นฐานแล้วก็คือ สตริงเพื่อการสืบค้น (search strings) — ช่วยนักวิเคราะห์ค้นหา จัดกรุ๊ป และจัดเข้าหมวดหมู่ บรรดาตัวอย่างมัลแวร์ที่เกี่ยวข้องกัน จากนั้นหาความเชื่อมโยงระหว่างกันโดยอิงจากแพทเทิร์นรูปแบบของกิจกรรมที่น่าสงสัยบนระบบหรือเครือข่ายที่มีลักษณะคล้ายคลึงกัน

หลังจากรออยู่หนึ่งวัน ผู้เชี่ยวชาญพบตัวอย่างมัลแวร์ที่ต้องการ นั่นคือ “tv.dll” หรือรู้จักกันในชื่อใหม่ว่า ‘ATMitch’ เคยถูกพบอาละวาดอยู่ทั่วๆ ไปอยู่สองครั้งด้วยกัน: ครั้งแรกที่คาซัคสถาน และอีกครั้งที่รัสเซีย

มัลแวร์ตัวนี้ติดตั้งและปฏิบัติการได้จากระยะไกล กับตู้เอทีเอ็มของธนาคารเหยื่อเป้าหมาย ควบคุมเครื่องเอทีเอ็มได้จากระยะไกล หลังจากที่ติดตั้งและต่อเชื่อมกับตู้เอทีเอ็มเรียบร้อยแล้ว มัลแวร์ ATMitch ก็จะสื่อสารกับตู้เอทีเอ็มราวกับว่าตัวเองเป็นซอฟต์แวร์ที่ถูกต้อง เปิดช่องทางให้ผู้บุกรุกส่งรายการคอมมานด์ต่างๆ มาทำงาน อาทิ เก็บข้อมูลเกี่ยวกับจำนวนธนบัตรในคาสเซ็ตของตู้เอทีเอ็ม เป็นต้น ยิ่งไปกว่านั้น ยังเปิดช่องทางให้อาชญากรโจรกรรมเงินในตู้นั้นเมื่อไรก็ได้ เพียงแค่กดปุ่มเดียวเท่านั้น

โดยปกติแล้ว อาชญากรจะเริ่มต้นที่การเก็บข้อมูลจำนวนเงินในช่องจ่ายก่อน หลังจากนั้น อาชญากรจะส่งคอมมานด์คำสั่งไปยังช่องจ่ายเงินให้จ่ายเงินตามจำนวนที่อยู่ในคาสเซ็ตใดก็ได้ ซึ่งเป็นวิธีการเฉพาะตัวสุดแสนจะล้ำยุค และเมื่อเสร็จสิ้นกระบวนการโจรกรรมแล้ว สิ่งที่อาชญากรจะทำ ก็เพียงแค่มาคว้าเงินแล้วก็เผ่นแน่บไปเท่านั้นเอง การโจรกรรมตู้เอทีเอ็มเยี่ยงนี้ ทำได้ภายในไม่กี่วินาที!

เมื่อตู้เอทีเอ็มถูกปล้นจนหมดตู้แล้ว มัลแวร์ก็ลบร่องรอยของตัวเองหมดสิ้นเช่นกัน

Who’s there? 

ยังไม่เป็นที่แน่ชัดว่าใครเป็นผ็ที่อยู่เบื้องหลังอาชญากรรมนี้ การใช้โอเพ่นซอร์ส exploit code, ยูติลิตี้ทั่วๆ ไปของ Windows และโดเมนไร้ชื่อในขั้นแรกของปฏิบัติการนั้นทำให้เกือบจะเป็นไปไม่ได้ที่จะระบุกลุ่มผู้รับผิดชอบ อย่างไรก็ตาม “tv.dll” ที่ใช้ในขั้นจู่โจมตู้เอทีเอ็มนั้นก็มีภาษารัสเซียปะปนอยู่ด้วย และกลุ่มที่พอจะเข้าอาชญากรรมแนวนี้ ได้แก่ GCMAN และ Carbanak

“อาชญากรอาจจะยังคงปฏิบัติการอยู่ต่อเนื่อง แต่ก็ไม่ต้องตื่นตระหนกไป” เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าว “การรับมือกับการก่ออาชญากรรมประเภทนี้ต้องใช้ฝีมือทักษะของผู้เชี่ยวชาญด้านความปลอดภัย คอยป้องกันองค์กรที่เป็นเป้าหมาย การที่มีการรั่วไหลเกิดช่องโหว่ของข้อมูลออกไปจากเน็ตเวิร์กได้นั้น จะทำได้เพราะมีทูลธรรมดาๆ ที่ถูกต้องต่อระบบนี่เอง หลังการโจมตี อาชญากรอาจจะลบข้อมูลทั้งหมดที่อาจย้อนรอยกลับไปถึงตัวเองได้ทิ้งไปเสีย เมื่อต้องจัดการกับกรณีเช่นนี้ การพิสูจน์หลักฐานหาร่องรอยจากเมมโมรี่จึงเป็นเรื่องสำคัญต่อการวิเคราะห์ตัวมัลแวร์และหน้าที่ของมัลแวร์นั้นๆ และดังเช่นที่ในกรณีที่เราได้สืบสวนไปเป็นผลสำเร็จนั้น การรับมือกับเหตุที่เกิดขึ้นอย่างระมัดระวังภายใต้แนงทางที่ชัดเจนนั้นสามารถช่วยแก้ปัญหา แม้แต่กับอาชญากรรมไซเบอร์ที่มีการวางแผนมาอย่างดีก็ตาม”

แคสเปอร์สกี้ แลป มีผลิตภัณฑ์ที่สามารถตรวจจับปฏิบัติการอาชญากรรมที่ใช้กลโกง ขั้นตอน วิธีการดังกล่าวข้างต้นอย่างได้ผล ข้อมูลละเอียดเกี่ยวกับกรณีนี้ และกฎ Yara rules สำหรับใช้ในการวิเคราะห์หาหลักฐานของการโจมตีแบบไร้ไฟล์ มีให้ท่านศึกษาเพิ่มเติมที่บลอก blog on Securelist.com ส่วนรายละเอียดเชิลเทคนิคัล รวมทั้งการระบุสัญญานว่ามีช่องโหว่ (Indicators of Compromise) มีให้ลูกค้าของแคสเปอร์สกี้ แลปศึกษาได้เช่นกันที่ Kaspersky Intelligence Services