NCR ผู้ผลิตตู้ ATM ที่ธนาคารออมสินใช้งานและติดมัลแวร์จน คนร้ายได้เงินไป 12 ล้านบาท ออกรายงานถึงมัลแวร์ "ที่ติดในสถาบันการเงินแห่งหนึ่งในไทย"
รายงานระบุว่าคนร้ายเข้าถึงเครือข่ายภายในของธนาคารได้ และปลอมตัวเป็นเซิร์ฟเวอร์อัพเดตเพื่อส่งมัลแวร์ไปติดตั้งในตู้ โดยตัวตู้ติดตั้งซอฟต์แวร์ SDMS 2.3.0 ของบริษัท InfoMindz เอาไว้ และตอนนี้ไม่พบว่ามีการโจมตีซอฟต์แวร์เวอร์ชั่นอื่น
ทาง NCR วิเคราะห์มัลแวร์พบว่ามีทั้งหมด 4 เวอร์ชั่น และเวอร์ชั่นหนึ่งมีค่า MD5 เป็น 15632224b7e5ca0ccb0a042daf2adc13
ตรงกับที่ FireEye ได้รับเมื่อสัปดาห์ที่แล้ว
พร้อมกับระบุว่าตัวมัลแวร์มีเป้าหมายโจมตีผู้ผลิตตู้เอทีเอ็มรายอื่นๆ ด้วยเช่นกัน
NCR แนะนำให้ป้องกันเพิ่มเติมด้วยการจำกัดไอพีเซิร์ฟเวอร์ SDMS, จำกัดช่วงเวลาที่ส่งอัพเดตได้, ติดตั้งซอฟต์แวร์ VPN ในตู้เพื่อเชื่อมต่อกับเครือข่ายธนาคาร, และมอนิเตอร์ตู้ที่การเชื่อมต่อหลุดไปเป็นเวลานาน
ที่มา - NCR
Comments
ถึงขั้นปลอมเป็นเครื่อง serv ได้ก็ไม่อยากจะคิดแล้ว #รัฐราชการไหมหล่ะ
ถ้าเข้าถึงเน็ตเวิร์คได้ การปลอมเป็นเซิร์ฟเวอร์คงไม่ใช่เรื่อง "ถึงขั้น" อะไรนักนะครับ (พวก DNS poisoning, DHCP poisoning ก็ปลอมเป็นเซิร์ฟเวอร์ทั้งนั้น)
lewcpe.com , @wasonliw
แหม่ เค้าจะมา ปล้นธนาคารนะครับ ถ้าเข้าถึงการเชื่อมต่อระดับเน็ตเวิร์กได้ กะแค่ปลอมไอพี หลอกชื่อเครื่องในทางเทคนิคเป็นเรื่องทำได้อยู่แล้วครับ
อันที่จริงก็ไม่ใช่น่าแปลกใจ เพราะตู้เอทีเอ็มตามที่ต่างๆ เล่นวางกล่องโมเด็มกันหราขนาดนั้น ดีไม่มีมีช่องให้เสียบสายแลนได้อีกต่างหาก
ก็ถือคติพจน์ If it ain't broke, don't fix it หรือ รอให้วัวหายกันก่อน ค่อยล้อมคอกก็ยังไม่สาย ก็รอเรื่องอื่นๆกันต่อไปละกัน
บางทีก็คิดนะว่า เออจะได้กระตุกต่อมความปลอดภัยกันมั่ง โทเค็นไม่ใช้ ซอฟท์โทเค็นก็ไม่ใช้ ใช้ OTP ทางโทรศัพท์ไปละกัน ไม่อยากเสียเงินอ่ะ อ้อลูกค้าโดนปลอมตัวทำธุรกรรมไปเงินหมดบัญชีรึ ก็ไล่แก้ปัญหาเป็นกรณีๆไปละกัน มันฟ้องรึ ทนายเราเยอะกว่า ดึงได้นานกว่าอยู่แล้ว อย่างมากก็เอาเงินฟาดไปจะให้เงียบๆ แล้วก็ต่างคนต่างอยู่
อาจจะเข้าทาง USB แล้วเปิด backdoor จากนั้นคงเข้าอยู่นานพอสมควรจึงอัพมัลแวรจริงอีกที
ดูเหมือนตัว software นั้นใช้ในการส่งไฟล์ update ต่างๆ ไปยังตู้ ATM ดังนั้นมันจึงมี agent run อยู่บนตู้ที่มี privilege พอสมควร ทีนี้พอระบบมันมีช่องโหว่ทำให้ hacker สามารถปลอมตัวเป็น software distribution server ได้คราวนี้ก็จบเห่ครับจะส่งอะไรไปลงก็ได้
http://www.infomindz.com/banking.html
ยอมเสีย 12 ล้านบาทเพื่ออัพเกรดระบบความปลอดภัยกับจ้างผู้เชี่ยวชาญยังได้ของใช้งาน+ให้งานทำ และซื้อความเชื่อมั่นให้ลูกค้า. ยังดีกว่าปล่อยให้ใครก็ไม่รู้เข้ามาขโมยไปหน้าด้านๆตั้ง 12 ล้านบาทแถมไม่ได้อะไรเลย...
ที่เลือกธนาคารออมสินน่าจะมีนัยยะสำคัญ
หรือว่าง่ายสุด
ผมว่าง่ายสุด 5555
HR ที่นึงส่งเงินเดือนให้ธนาคารผ่าน USB แล้วได้ ransomeware กลับมา เลยให้ส่งผ่าน email แทน
ติดจากเครือข่ายภายใน มีคนในเข้าถึงระบบ ATM ได้มากขนาดนั้นเลยหรือ ไม่ได้แยกส่วนๆ หรือ
อาจจะหมายถึงเครือข่ายวง ATM ที่อยู่หลัง VPN หรือ private network แบบอื่นๆ เองก็ได้ครับ ต่อให้แยกส่วนก็คือเข้าถึง network ที่ ATM ใช้คุยกับเซิร์ฟเวอร์อื่นแล้ว
lewcpe.com , @wasonliw
โดยตัวตู้ติดตั้งซอฟต์แวร์ SDMS 2.3.0 ของบริษัท InfoMindz เอาไว้ และตอนนี้ไม่พบว่ามีการโจมตีซอฟต์แวร์เวอร์ชั่นอื่น
แสดงว่าทีผิดคือซอฟท์แวร์ตัวนี้ช่องโหว่
เขาไม่สรุปอย่างนี้กันครับ คนร้ายอาจจะได้ตัวอย่างซอฟต์แวร์ไปแล้วมั่นใจว่าเจาะเวอร์ชั่นนี้ได้แล้วระวังไม่เจาะเวอร์ชั่นอื่นก็ได้ (เพื่อป้องกันการโดยเจอก่อน)
ข้อมูลมีแค่ว่าเวอร์ชั่นนี้โดนเจาะก็ต้องสอบสวนต่อไปครับ ว่าใช้ช่องโหว่อะไร แล้วกระทบเวอร์ชั่นอื่นไหม
lewcpe.com , @wasonliw