FireEye ออกรายงานวิเคราะห์มัลแวร์ RIPPER (ชื่อโครงการในตัวอย่างมัลแวร์ว่า ATMRIPPER) ถูกส่งไปวิเคราะห์บน VirusTotal เมื่อวันที่ 23 สิงหาคมที่ผ่านมาจากไอพีในประเทศไทย ก่อนการรายงานข่าวการแฮกตู้เอทีเอ็มของธนาคารออมสินเพียงไม่กี่นาที มีค่า MD5 เป็น 15632224b7e5ca0ccb0a042daf2adc13
โดยมัลแวร์มุ่งควบคุมระบบจ่ายธนบัตรในตู้เอทีเอ็ม และสามารถรับคำสั่งจากเจ้าของมัลแวร์หากตู้ได้รับบัตร EMV ที่กำหนดไว้
รายงานของ FireEye ไม่ได้ระบุว่าตัวมัลแวร์เข้าไปในตู้ได้อย่างไร แต่เมื่อเข้าไปแล้วหาสั่งรันด้วยอาร์กิวเมนต์ service install
มันจะเข้าไปแทนที่ DBackup Service และหากรันด้วยอาร์กิวเมนต์ /install
จะติดตั้งตัวเองแทนที่ซอฟต์แวร์ของผู้ผลิต พร้อมกับแก้ registry เพื่อให้รันใหม่ทุกครั้งที่บูตเครื่อง
เมื่อรันโดยไม่มีอาร์กิวเมนต์ ตัวมัลแวร์จะเชื่อมต่อกับกล่องจ่ายธนบัตร, ตัวอ่านการ์ด, และแป้นพิมพ์ จากนั้นรอให้ตู้ได้รับการ์ด EMV (บัตรชิป) ที่ตรงตามเงื่อนไข (ตรงกับที่พล.ต.อ.ปัญญา ระบุว่าต้องใช้บัตรอิเล็กทรอนิกส์ แต่เป็นการใช้เพื่อยืนยันว่าคนร้ายอยู่หน้าตู้ ไม่ใช่การติดตั้ง) จะขึ้นหน้าจอรับคำสั่ง รวมถึงคำสั่งคำสั่งจ่ายเงินจากกล่องจ่ายเงิน (ไม่เกินครั้งละ 40 ใบ), คำสั่งปิดเน็ตเวิร์ค
รายงานของ FireEye ระบุว่ามัลแวร์ตัวนี้มุ่งเป้าไปที่ผู้ผลิตตู้ ATM หลายราย ขณะที่ข่าวการแฮกตู้เอทีเอ็มของธนาคารออมสินมักระบุว่ากระทบตู้เอทีเอ็มจากผู้ผลิตรายเดียว ทาง FireEye ระบุว่ามัลแวร์ RIPPER อาจเกี่ยวข้องกับการแฮกตู้เอทีเอ็มในไทย จากความเชื่อมโยงกัน แต่การยืนยันคงต้องรอธนาคารออมสินหรือธนาคารแห่งประเทศไทยยืนยันต่อไป
ที่มา - FireEye
Comments
เจ้าหน้าที่ชอบดูข่าว Clickbait พวกข่าวโป๊ๆ เผลอไปคลิกเข้าให้
ไม่มีอะไรบอกว่ามันติดเพราะมีใครคลิกลิงก์นะครับ
คอมเมนต์มั่วๆ แบบนี้ควรคิดก่อนไปกล่าวหาคนอื่น
lewcpe.com, @wasonliw
ตามโพลิซีของฝ่ายไอทีที่ดูแลระบบธนาคารผมว่าเขาไม่เอาคอมที่เซิฟเน็ตทั่วไปหรือใช้งานจิปาถะได้มาอยู่ในวงเดียวกับระบบสำคัญที่ทำธุรกรรมอยู่แล้วนะครับ
ในรายงานเขาบอกว่าติดตั้งโดยใช้บัตร ATM พิเศษ ที่ยืนยันตัวด้วยชิป EMV ครับ
ใช้ประตูลับ ประตูหลัง กันเลย
ถ้าแบบนี้ จะว่า ผิดที่ผู้ผลิตตู้ เหมาะสมมั้ย
คิดว่ามาจากประโยคนี้ "RIPPER is installed on the ATM by inserting a specially manufactured ATM card with an EMV chip that serves as the authentication mechanism."
อันนี้ผมงงๆ อยู่ว่าเขาหมายถึงอะไร เพราะอย่างแรกเลยคือ FireEye (ในรายงานนี้) ไม่ได้รับตัวอย่างเครื่องที่โดนแฮก ได้เพียงตัวอย่างมัลแวร์ การเห็นไฟล์แล้วทำให้รู้ได้อย่างไรว่าไฟล์มันลงไปได้อย่างไร
อย่างที่สองคือที่อื่นๆ ในบทความเขียนระบุเพียงว่าใช้การ์ด EMV เพื่อยืนยันตัวคนร้ายเท่านั้น ไม่ได้ระบุถึงรายละเอียดของประโยคนี้อีก ผมจึงละไปจนกว่าจะมีข้อมูลเพิ่มเติมครับ
lewcpe.com, @wasonliw
Sample file ที่ถูกส่งขึ้น VirusTotal น่าจะถูกส่งขึ้นไปโดยฝ่าย IT ของธนาคารหรือบริษัทที่ดูแลตู้คือ NCR มากกว่า
หรืออาจจะไม่เกี่ยวกันเลย เป็นมัลแวร์อื่นที่มีคนอัพโหลดก็ได้เหมือนกันครับ
รายงานเลยบอกว่ามีความเชื่อมโยง ระยะเวลาตรงกัน แต่ก็ไม่ได้ฟันธงว่าใช่ตัวเดียวกัน
lewcpe.com, @wasonliw