แคสเปอร์สกี้ แลป ประกาศผลการค้นคว้าวิจัยกลุ่มแฮกเกอร์ชื่อ สกิเมอร์ (Skimer) ที่ดำเนินการติดตั้งอุปกรณ์สกิมเมอร์ที่ตู้เอทีเอ็มเพื่อขโมยเงินของลูกค้าธนาคาร สกิเมอร์ถูกค้นพบครั้งแรกในปี 2009 นับเป็นโปรแกรมมุ่งร้ายตัวแรกที่พุ่งโจมตีตู้เอทีเอ็มโดยเฉพาะ และตอนนี้! กลุ่มโจรไซเบอร์ก็นำมัลแวร์ตัวนี้กลับมาใช้อีกครั้ง พร้อมเพิ่มความร้ายกาจและก่อภัยคุกคามรุนแรงต่อธนาคารและลูกค้าทั่วโลก
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบร่องรอยมัลแวร์เวอร์ชั่นที่ปรับปรุงแก้ไขใหม่ที่แอบฝังตัวที่ตู้เอทีเอ็มที่รอคอยคอมมานด์ 21 รายการจากโจรไซเบอร์ พร้อมค้นพบวิธีการโจมตีล่าสุดอีกด้วย
กลุ่มสกิเมอร์เริ่มกระบวนการโจมตีโดยการช่องทางเข้าระบบเอทีเอ็ม ไม่ว่าจะเป็นการแฮกแบบฟิสิกคอล หรือแฮกผ่านเน็ตเวิร์กภายในของธนาคาร จากนั้นก็ติดตั้งแบ็คดอร์ Backdoor.Win32.Skimer ในระบบ และแพร่กระจายสู่คอร์ของตู้เอทีเอ็ม ซึ่งเป็นส่วนสั่งการและสื่อสารกับโครงสร้างของระบบธนาคาร การเบิกจ่ายเงิน และบัตรเครดิต ทำให้โจรไซเบอร์สามารถถอนเงินจากตู้เอทีเอ็ม และขโมยข้อมูลต่างๆ จากบัตรทุกประเภทที่เสียบใช้ที่ตู้นี้ รวมถึงเลขบัญชีธนาคารและรหัสผ่าน
มัลแวร์สกิเมอร์จะแตกต่างจากอุปกรณ์สกิมเมอร์ทั่วไป ตรงที่ผู้ใช้งานทั่วไปจะตรวจจับมัลแวร์เองไม่ได้เพราะไม่มีลักษณะทางกายภาพให้เห็นว่าตู้เอทีเอ็มถูกดัดแปลง
กลุ่มโจรไซเบอร์มักวางแผนให้มัลแวร์ทำงานเก็บข้อมูลจากบัตรต่างๆ อย่างเงียบๆ นานหลายเดือน และใช้ประโยชน์จากข้อมูลที่ได้ มากกว่าที่จะกดเงินสดออกจากตู้เอทีเอ็มซึ่งจะเป็นการเปิดเผยตัวให้ธนาคารจับได้ในทันที โดยเมื่อถึงเวลาที่ต้องการ โจรไซเบอร์จะสอดบัตรแถบแม่เหล็กพิเศษที่ตู้เอทีเอ็ม และใช้คอมมานด์สั่งการที่มีทั้งหมด 21 คำสั่ง ไม่ว่าจะเป็นการกดเงินสด การเก็บข้อมูลจากบัตรของลูกค้าธนาคาร การลบมัลแวร์ การอัพเดทมัลแวร์ เป็นต้น
ส่วนใหญ่แล้ว ข้อมูลบัญชีธนาคารและรหัสผ่านที่รวบรวมได้จากบัตรต่างๆ จะถูกคัดลอกใส่บัตรใหม่และนำไปใช้กดเงินสดที่ตู้เอทีเอ็มเครื่องอื่น เพื่อไม่ให้ธนาคารจับได้ว่า ตู้เอทีเอ็มเครื่องไหนที่มีมัลแวร์ เพื่อเก็บไว้แฮกข้อมูลได้ต่อไป
สกิเมอร์แพร่กระจายอย่างหนักในช่วงปี 2010-2013 ทำให้เกิดเหตุการณ์โจมตีตู้เอทีเอ็มจำนวนมากขึ้น ซึ่งผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป พบมัลแวร์ที่แตกต่างกันถึง 9 ตระกูล มัลแวร์สกิเมอร์ประกอบด้วยโมดิฟิเคชั่นทั้งสิ้น 49 รายการ โดยมี 37 รายการที่โจมตีตู้เอทีเอ็มของผู้ผลิตรายใหญ่เจ้าหนึ่งโดยเฉพาะ ผู้เชี่ยวชาญตรวจพบมัลแวร์เวอร์ชั่นล่าสุดเมื่อต้นเดือนพฤษภาคมที่ผ่านมานี่เอง
ทั้งนี้พบการระบาดของมัลแวร์สกิเมอร์แล้วในวงกว้างที่ประเทศสหรัฐอาหรับเอมิเรตส์ ฝรั่งเศส สหรัฐอเมริกา รัสเซีย เขตปกครองพิเศษมาเก๊า จีน ฟิลิปปินส์ สเปน เยอรมนี จอร์เจีย โปแลนด์ บราซิล และสาธารณรัฐเช็ก
เซอร์เจย์ โกโลวานอฟ ผู้เชี่ยวชาญความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าวว่า “ในกรณีเช่นนี้ จำเป็นต้องมีมาตรการโต้ตอบเพิ่มเติมจากปกติ แบ็คดอร์ Backdoor.Win32.Skimer ในตู้เอทีเอ็มจะสื่อสารและตรวจสอบข้อมูลเลขเก้าหลักกับบัตรแถบแม่เหล็กพิเศษของแฮกเกอร์เพื่อสั่งดำเนินการต่างๆ ซึ่งข้อมูลเลขเก้าหลักที่เราตรวจเจอนี้ เราได้ประสานและส่งต่อให้กับธนาคารต่างๆ เพื่อใช้ค้นหาและกำจัดมัลแวร์ในระบบประมวลผลของตู้เอทีเอ็ม”
เพื่อป้องกันภัยคุกคามนี้ แนะนำธนาคารดำเนินการสแกนไวรัสตามตารางพื้นฐานที่ใช้เทคโนโลยี Whitelisting รวมถึงการกำหนดนโยบายจัดการอุปกรณ์ที่ดี ดิสก์เข้ารหัสอยู่เสมอ ปกป้อง BIOS ของตู้เอทีเอ็มด้วยรหัสผ่าน อนุญาตการบูตเครื่องฮาร์ดดิสก์เท่านั้น และแยกเน็ตเวิร์กของตู้เอทีเอ็มออกจากเน็ตเวิร์กภายในอื่นๆ ของธนาคารด้วย
ข้อมูลเพิ่มเติม
- ATM infector
https://securelist.com/blog/research/74772/atm-infector/
- ATM Infector: Skimer malware in action คลิปแสดงการทำงานของมัลแวร์สกิเมอร์