แคสเปอร์สกี้ แลป เคยแจ้งเตือนว่าอาชญากรไซเบอร์จะเริ่มใช้ภัยคุกคามที่มีทูลและกลวิธีชั้นสูงและมีรัฐบาลระดับประเทศสนับสนุน ในการปล้นธนาคาร หนึ่งปีหลังจากนั้น แคสเปอร์สกี้ แลป ได้ประกาศว่า Carbanak กลับมาโจมตีอีกครั้งในชื่อ Carbanak 2.0 นอกจากนี้ ยังค้นพบกลุ่มโจรไซเบอร์ที่ปฏิบัติการร้ายลักษณะเดียวกัน นั่นคือ Metel และ GCMAN ซึ่งมุ่งโจมตีองค์กรการเงินโดยใช้การสอดแนมซ่อนเร้นแบบ APT ใช้มัลแวร์ที่ดัดแปลงซ่อนภายในซอฟต์แวร์ถูกกฎหมายและขโมยเงินจากองค์กรโดยตรง
กลุ่ม Metal มีกลวิธีมากมายในตำรา แต่ความน่าสนใจอยู่ที่วิธีการอันชาญฉลาด นั่นคือ การเข้าควบคุมเครื่องคอมพิวเตอร์ภายในธนาคารที่สามารถเข้าถึงธุรกรรมการเงินได้ (เช่น เครื่องในแผนกคอลเซ็นเตอร์ แผนกดูแลด้านเทคนิค) เพื่อยกเลิกคำสั่งในการทำธุรกรรมที่ตู้เอทีเอ็มได้อัตโนมัติ
การยกเลิกคำสั่งนี้จะสั่งการแสดงยอดเงินในบัตรเดบิตให้คงเหลือเท่าเดิมแม้ว่าจะมีธุรกรรมเกิดขึ้นที่ตู้เอทีเอ็มก็ตาม ตัวอย่างเช่น ในประเทศรัสเซีย กลุ่มโจรไซเบอร์จะขับรถไปทั่วเมืองเพื่อปล้นเงินจากตู้เอทีเอ็มโดยใช้บัตรเดบิตซ้ำไปซ้ำมาทั้งคืน
เซอร์เกย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป กล่าวว่า “ปัจจุบัน ช่วงเวลาปฏิบัติการโจมตีไซเบอร์นั้นมีระยะเวลาที่สั้นลงเรื่อยๆ เมื่อโจรไซเบอร์เริ่มช่ำชองในงานที่ทำ ก็จะใช้เวลาเพียงแค่ไม่กี่วันหรือเพียงสัปดาห์เดียวเพื่อขโมยสิ่งที่ต้องการและจากไป”
ในระหว่างที่สืบสวนด้านนิติเวชนั้น ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบว่า กลุ่ม Metel ประสบความสำเร็จในการแพร่กระจายเชื้อผ่านอีเมลสเปียร์ฟิชชื่งที่มีไฟล์แนบต้องสงสัย และผ่านไนทิริสเอ็กพลอต์ มุ่งโจมตีช่องโหว่ที่เว็บเบราเซอร์ของเหยื่อ เมื่อเข้าไปในเน็ตเวิร์กได้แล้ว โจรไซเบอร์จะใช้ทูลทดสอบการเจาะระบบที่ถูกกฎหมายในการเคลื่อนย้าย จี้โดเมนคอนโทรลเลอร์ และแทรกแซงเข้าควบคุมคอมพิวเตอร์ของพนักงานธนาคารที่รับผิดชอบดูแลเรื่องบัตรกดเงินสดต่างๆ
กลุ่ม Metel ยังคงปฏิบัติการอยู่และการสืบสวนกิจกรรมของกลุ่มนี้ยังดำเนินอยู่ต่อไป พบว่าปัจจุบันกลุ่ม Metel นี้มุ่งโจมตีเฉพาะในประเทศรัสเซียเท่านั้น แต่ยังมีหลักฐานให้สงสัยได้ว่าการแพร่เชื้อนี้จะขยายวงกว้างออกไปยังธนาคารทั่วโลก จึงขอให้ธนาคารทั้งหลายตรวจสอบการติดเชื้ออย่างละเอียด
กลุ่มโจรไซเบอร์ทั้งสามกลุ่มได้เปลี่ยนแนวปฏิบัติการฉ้อโกงโดยใช้มัลแวร์ที่มากับซอฟต์แวร์แทนการเขียนทูลมัลแวร์ขึ้นใหม่ เนื่องจากมัลแวร์ที่แนบไปกับซอฟต์แวร์จะทำงานได้มีประสิทธิภาพมากกว่า และตรวจจับได้ยากกว่า
แต่กลุ่ม GCMAN ล้ำหน้ากว่าในเรื่องการขโมย หลายครั้งที่กลุ่ม GCMAN สามารถโจมตีองค์กรได้สำเร็จโดยไม่ต้องใช้มัลแวร์เลยสักตัว โดยการใช้เพียงทูลทดสอบการเจาะระบบที่ถูกกฎหมายเท่านั้น ในเคสที่ตรวจสอบโดยผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบว่า GCMAN ใช้ยูทิลิตี้ Putty, VNC, และ Meterpreter ในการเคลื่อนย้ายผ่านเน็ตเวิร์กจนกระทั่งผู้โจมตีเข้าถึงเครื่องที่จะใช้เป็นจุดโอนเงินไปยังบริการออนไลน์อื่นๆ โดยที่ระบบธนาคารไม่แจ้งเตือน
ในการโจมตีครั้งหนึ่ง แคสเปอร์สกี้ แลป ตรวจพบว่าโจรไซเบอร์อยู่ในเน็ตเวิร์กนานถึงหนึ่งปีครึ่งก่อนเริ่มโจรกรรม เงิน จำนวน 200 เหรียญซึ่งเป็นจำนวนสูงกว่าที่กำหนดจะถูกโอนเพื่อจ่ายให้ผู้รับที่ไม่เปิดเผยชื่อในรัสเซีย ทุกๆ นาที CRON ซึ่งเป็นโปรแกรมตั้งเวลาจะยิงสคริปต์ต้องสงสัยและยอดเงินจะถูกโอนไปยังบัญชีเงินออนไลน์ คำสั่งธุรกรรมจะถูกส่งไปยังเกตเวย์ที่ดูแลเรื่องจ่ายเงินของธนาคารโดยตรง และยังซุกซ่อนไม่ปรากฏตัวในระบบส่วนอื่นของธนาคารอีกด้วย
และสุดท้าย กลุ่ม Carbanak 2.0 คือกลุ่มโจมตีด้วยภัยคุกคามต่อเนื่องขั้นสูง หรือ APT ที่ใช้ทูลและเทคนิคต่างๆ เหมือนกับ Carbanak แรก แต่ต่างกันที่ประเภทของเหยื่อและวิธีการในการปล้นเงินที่ล้ำหน้ากว่า
ในปี 2015 เป้าหมายของ Carbanak 2.0 ไม่ได้มีแค่ธนาคารแต่รวมถึงแผนกต่างๆ ที่ทำหน้าที่เกี่ยวกับงบประมาณและการบัญชีขององค์กร อีกหนึ่งเหตุการณ์ตัวอย่างที่ผู้เชี่ยวชาญสังเกตคือ กลุ่ม Carbanak 2.0 เข้าถึงสถาบันการเงินและดำเนินการเปลี่ยนข้อมูลส่วนบุคคลของเจ้าของบริษัทขนาดใหญ่ ข้อมูลผู้ถือหุ้น ที่ประกอบด้วยหมายเลขบัตรประชาชน
เซอร์เกย์ กล่าวเตือนว่า “การโจมตีสถาบันการเงินที่ถูกเปิดโปงในปี 2015 ที่ผ่านมานั้น ชี้ให้เห็นถึงกระแสที่น่ากังวลที่เหล่าโจรไซเบอร์ใช้วิธีการโจมตีแบบ APT อย่างแข็งกร้าว ดุดัน กลุ่ม Carbanak เป็นเพียงกลุ่มแรกเท่านั้น และยังจะมีตามมาอีกมาก โจรไซเบอร์สามารถเรียนรู้การใช้เทคนิคใหม่ๆ ได้ไว และเปลี่ยนจากการโจมตีผู้ใช้งานเป็นโจมตีธนาคารโดยตรง เพียงแค่หลักการง่ายๆ นั่นคือ ธนาคารคือแหล่งเงิน แคสเปอร์สกี้ แลป ตั้งเป้าว่าจะค้นคว้าวิจัยเพื่อเปิดเผยว่าโจรไซเบอร์จะขโมยเงินได้จากที่ไหนอย่างไร ในกรณีของ GCMAN ควรมีการตรวจสอบการป้องกันเว็บเซิร์ฟเวอร์ของธนาคาร ส่วนกรณีของ Carbanak ขอแนะนำให้ป้องกันดาต้าเบสที่มีข้อมูลเจ้าของบัญชีด้วย ไม่ใช่แค่ข้อมูลยอดเงินในบัญชีเท่านั้น”
ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและบล็อกการทำงานของมัลแวร์จากกลุ่ม Carbanak 2.0, Metel และ GCMAN ได้อย่างดีเยี่ยม และได้เผยแพร่ข้อมูลเพื่อบ่งชี้ปัญหา (Indicators of Compromise – IOC) และช่วยให้องค์กรสามารถค้นหาร่องรอยกลุ่มโจรไซเบอร์ภายในเน็ตเวิร์กขององค์กรได้
แคสเปอร์สกี้ แลป ขอเตือนให้องค์กรทุกแห่งให้สแกนเน็ตเวิร์กของตน เพื่อค้นหากลุ่ม Carbanak, Metel และ GCMAN หากตรวจพบให้กำจัดออกจากระบบและแจ้งหน่วยงานทางกฎหมายโดยด่วน
ข้อมูลเพิ่มเติม กรุณาอ่านที่เว็บไซต์ Securelist.com https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/