แฮ็กเกอร์มุ่งเป้าโจมตีระบบเน็ตเวิร์คของธนาคารด้วย Rootkit ตัวใหม่ เพื่อขโมยเงินจากตู้ ATM

พบผู้โจมตีที่มีจุดมุ่งหมายทางด้านการเงิน มีการใช้ rootkit ที่ไม่เคยถูกพบมาก่อน มุ่งเป้าโจมตีไปยังระบบ Oracle Solaris โดยมีเป้าหมายที่จะเข้าควบคุมเครือข่ายของตู้ ATM ซึ่งจะทำให้สามารถถอนเงินสดได้โดยไม่ได้รับอนุญาตจากธนาคารต่างๆ ด้วยการใช้บัตร ATM ปลอม

Mandiant บริษัทผู้เชี่ยวชาญด้านภัยคุกคาม และการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์ กำลังติดตามกลุ่มผู้โจมตีภายใต้ชื่อ UNC2891 ซึ่งมีเทคนิค และขั้นตอนบางอย่างของกลุ่มที่คล้ายกับผู้โจมตีอีกกลุ่มที่ชื่อ UNC1945

นักวิจัยของ Mandiant ระบุในรายงานฉบับใหม่ที่เผยแพร่ในสัปดาห์นี้ว่า "การโจมตีนี้เป็นปฏิบัติการจากผู้มีความเชี่ยวชาญขั้นสูง มีการใช้ทั้งมัลแวร์ที่เป็นที่รู้จัก และยังไม่เป็นที่รู้จัก มีการใช้เครื่องมือ และ Script ต่างๆ ในการพยายามปกปิดหลักฐานในการกระทำความผิด"

ยิ่งไปกว่านั้นการโจมตีเหล่านี้กินเวลาหลายปี ในระหว่างที่ผู้กระทำความผิดยังคงไม่ถูกตรวจพบ ด้วยการใช้ Rootkit ที่ชื่อว่า CAKETAP ซึ่งออกแบบมาเพื่อปกปิดการเชื่อมต่อผ่านเครือข่าย กระบวนการทำงาน และไฟล์ต่างๆที่เกี่ยวข้อง

Mandiant สามารถกู้คืนข้อมูล memory forensic ได้ในเครื่อง ATM ที่ตกเป็นเหยื่อ สังเกตว่า Rootkit มาพร้อมกับความสามารถในการดักรับข้อมูลยืนยันตัวตน และรหัสของบัตร ATM และใช้ข้อมูลนั้นเพื่อถอนเงินจากตู้เอทีเอ็ม

นอกจากนี้ยังมีการใช้แบ็คดอร์ที่รู้จักกันในชื่อ SLAPSTICK และ TINYSHELL ซึ่งทั้งคู่เคยถูกใช้จาก UNC1945 เพื่อทำให้เข้าถึงระบบที่มีความสำคัญจากระยะไกลได้ตลอดเวลา และสามารถดำเนินการถ่ายโอนไฟล์ผ่าน rlogin, telnet หรือ SSH

เพื่อให้ดูแนบเนียนในระบบที่ใช้ Unix และ Linux UNC2891 มักตั้งชื่อ และกำหนดค่าแบ็คดอร์ TINYSHELL ด้วยชื่อที่คล้ายกับ Service ปกติ เช่น systemd (SYSTEMD), name service cache daemon (NCSD) และ Linux at daemon (ATD)" นักวิจัยกล่าว

นอกจากนี้การโจมตียังใช้มัลแวร์ที่หลากหลาย และเครื่องมือต่างๆ ซึ่งรวมทั้ง

  • STEELHOUND – STEELCORGI in-memory dropper ที่ใช้ในการถอดรหัสเพย์โหลดที่ฝังตัว และเข้ารหัสไบนารีใหม่
  • WINGHOOK – Keylogger สำหรับ Linux และ Unix ใช้สำหรับดักจับหน้าจอ และคีย์บอร์ดในรูปแบบการ encoded
  • WINGCRACK – เครื่องมือที่ใช้ในการแปลงข้อมูลจากการ encoded ที่สร้างโดย WINGHOOK
  • WIPERIGHT – ELF utility ที่ใช้ลบ log ที่เกี่ยวข้องกับผู้ใช้งานใดผู้ใช้งานหนึ่ง บนระบบ Linux และ Unix
  • MIGLOGCLEANER – ELF utility ที่ใช้ลบ log หรือคำบางคำใน log บนระบบ Linux และ Unix

"[UNC2891] ใช้ทักษะและประสบการณ์ของพวกเขาเพื่อใช้ประโยชน์จากมาตรการรักษาความปลอดภัยของ Unix และ Linux ที่มักจะน้อยกว่ามาตรการรักษาความปลอดภัยบนระบบปฏิบัติการอื่นๆ" นักวิจัยกล่าว "ในขณะที่พฤติกรรมบางอย่างระหว่าง UNC2891 และ UNC1945 นั้นมีความคล้ายกัน แต่ก็ไม่ใช่ข้อสรุปเพียงพอที่จะระบุถึงการโจมตีว่ามาจากกลุ่มเดียวกัน"

ที่มา: thehackernews